Cloudflare、AIで資格情報流出が5倍速まるなか自動失効scannable tokenを導入

このポストが示した変化

Secret managementは長く人間developerのミスとして語られてきた。だがCloudflareが2026年4月14日にXへ書いた一文は、焦点をagent側へ移している。

“AI agents are leaking secrets 5x faster than humans.”

フックになっているのはCloudflare API tokenの新しい形式だ。同社はscannable tokenにprefixとchecksumを持たせ、secret scannerが露出credentialを高い確度で見つけ、public repositoryに出た瞬間に自動失効までつなげられるようにしたという。agentsが複数のAPIをまたいで動くチームにとって、静かなcredential spillを検知可能で回復可能な事故へ変える試みと読める。

なぜ今効くのか

@Cloudflareはnetwork、security、developer platformの新機能を短いX threadで切り出す使い方が多い。今回は blog記事 が背景を補っている。CloudflareはGitGuardianのデータを引き、昨年public GitHub repositoryに露出したsecretが28 millionを超え、AIが漏えい速度を5x fasterにしていると書く。そこにscannable token、OAuth visibility、resource-scoped permissionsをまとめ、non-human identityをleast-privilegeへ寄せる設計を示した。

運用面で最も具体的なのはGitHub Secret Scanningとの連携だ。Cloudflareはpublic repoで見つかったtokenを自動失効できるとし、新formatのprefixとchecksumがscanner側の識別精度を上げると説明する。blogではConnected Applications viewも案内しており、どのOAuth appが何へアクセスしているかを見直しやすくした。tokenの見た目変更だけではなく、露出から失効までのdwell timeを短くするための一連の更新だ。

次に見るべきは導入摩擦である。既存tokenはそのまま動くため、実際の効果は利用者がどれだけ早くreissueするか、そしてscanner ecosystemが新formatをどれだけ広く拾えるかにかかる。それでもagents、scripts、third-party toolingが同時にAPIへ触れる時代に、credential hygieneを人間中心の話からnon-human identity管理へ移したという点で、このpostの意味は小さくない。

Sources: Cloudflare X post · Cloudflare blog