Cloudflare、AI活用の API vulnerability scanner をオープンベータ公開

Cloudflareは2026年3月9日のX投稿で Web and API Vulnerability Scanner を告知し、あわせて詳細な発表記事を公開した。会社はこの製品を API security 向けの active defense レイヤーとして位置づけており、最初の提供は API Shield 顧客向けの open beta から始まるとしている。初期対象は OWASP API Top 10 の中でも影響が大きい Broken Object Level Authorization、つまり BOLA だ。

Cloudflareの主張は、多くの重要な API 攻撃はプロトコル上は不正に見えないという点にある。認証済みユーザーによる正しい形式の request でも、business logic を破ることはできる。発表記事の例では、攻撃者が正規の endpoint と権限のない resource ID を組み合わせて、他人の注文を書き換える。構文が正しいため、従来型の WAF signature だけでは足りず、workflow と authorization state を理解する security tooling が必要になるという説明だ。

そのために Cloudflare は、scanner が OpenAPI specification から API call graph を構築し、owner と attacker の両方の context でその graph をたどると説明している。発表記事によれば、Workers AI と structured outputs を使って data dependency を推定し、不完全な schema を補い、security-sensitive な flow を再現する request 順序を計画する。各 request を独立に扱う単純な DAST ではなく、stateful に動くことが差別化要因だ。

運用面の統合も前面に出している。結果は Security Insights に既存の findings と並んで表示され、API Discovery と Schema Learning が scan plan の土台になる。バックエンドは Temporal による orchestration、Rust の control plane、HashiCorp Vault Transit による credential encryption を採用するという。Cloudflareは Cloudflare API 経由で scan 実行と結果取得を提供し、CI/CD pipeline や security dashboard に組み込みやすくするとしている。

今回の意味はかなり実務的だ。説明どおりに機能すれば、security team は攻撃経路を毎回手作業で組み立てなくても authorization logic を事前に検証できる。より大きな流れとしては、API security tooling が static signature 中心から application behavior を解釈する AI-assisted な方向へ移っていることも示している。Cloudflareは BOLA が出発点にすぎず、今後はより広い API と web vulnerability へ拡張する計画だとしている。