AI Security for Apps ist jetzt allgemein verfügbar

Cloudflare AI Security for Apps erkennt und wehrt Bedrohungen für KI-gestützte Anwendungen ab. Heute geben wir bekannt, dass es allgemein verfügbar ist.

Wir führen neue Funktionen wie die Erkennung von benutzerdefinierten Themen ein und stellen die Erkennung von KI-Endpunkten für alle Cloudflare-Kunden kostenlos bereit – auch für Kunden mit Free-, Pro- und Business-Tarif. So erhalten alle unsere Kunden einen Überblick darüber, wo KI in ihren Internetanwendungen eingesetzt wird.

Wir kündigen außerdem eine erweiterte Zusammenarbeit mit IBM an, das Cloudflare ausgewählt hat, um KI-Sicherheit für seine Cloud-Kunden bereitzustellen. Zudem arbeiten wir mit Wiz zusammen, um gemeinsamen Kunden eine einheitliche Sicht auf ihre KI-Sicherheitslage zu ermöglichen.

Traditionelle Webanwendungen verfügen über definierte Vorgänge: einen Kontostand prüfen, eine Überweisung tätigen. Sie können deterministische Regeln schreiben, um diese Interaktionen zu sichern. 

KI-gestützte Anwendungen und Agenten unterscheiden sich grundlegend. Sie akzeptieren natürliche Sprache und erzeugen nicht vorhersehbare Antworten. Es gibt keinen festen Satz an Vorgängen, die erlaubt oder blockiert werden können, da Ein- und Ausgaben probabilistisch sind. Angreifer können große Sprachmodelle manipulieren, um unbefugte Aktionen auszuführen oder sensible Daten preiszugeben. Prompt Injection, die Offenlegung sensibler Informationen und unbegrenzte Ressourcennutzung sind nur einige der Risiken, die in den OWASP Top 10 für LLM-Anwendungen katalogisiert sind.

Diese Risiken nehmen weiter zu, wenn KI-Anwendungen zu Agenten werden. Erhält eine KI Zugriff auf Tool-Aufrufe – etwa zur Bearbeitung von Rückerstattungen, zur Änderung von Konten, zur Vergabe von Rabatten oder zum Zugriff auf Kundendaten – kann bereits ein einzelner bösartiger Prompt zu einem unmittelbaren Sicherheitsvorfall führen.

Unsere Kunden sagen uns, was sie zu bewältigen haben. „Die meisten Teams von Newfold Digital implementieren ihre eigenen Sicherheitsmaßnahmen für generative KI. Doch Innovation schreitet so schnell voran, dass zwangsläufig irgendwann Lücken entstehen“, sagt Rick Radinger, Principal Systems Architect bei Newfold Digital, das Bluehost, HostGator und Domain.com betreibt.

Um dieses Problem zu lösen, haben wir AI Security for Apps entwickelt. Es befindet sich als Teil des Reverse Proxys von Cloudflare vor Ihren KI-gestützten Anwendungen – unabhängig davon, ob Sie ein Modell eines Drittanbieters verwenden oder Ihr eigenes Modell betreiben. Es hilft Ihnen, (1) KI-gestützte Anwendungen in Ihrer Webumgebung zu entdecken, (2) bösartiges oder richtlinienwidriges Verhalten gegenüber diesen Endpunkten zu erkennen und (3) Bedrohungen über den vertrauten WAF-Regel-Builder zu mindern.

Bevor Sie Ihre LLM-gestützten Anwendungen schützen können, müssen Sie wissen, wo sie verwendet werden. Wir hören oft von Sicherheitsteams, die keinen vollständigen Überblick über die KI-Implementierungen in ihren Anwendungen haben, insbesondere da sich der LLM-Markt weiterentwickelt und Entwickler Modelle und Anbieter wechseln. 

AI Security for Apps identifiziert automatisch LLM-gestützte Endpunkte in Ihren Webanwendungen, unabhängig davon, wo sie gehostet werden oder um welches Modell es sich handelt. Ab heute ist diese Funktion für alle Cloudflare-Kunden kostenlos, einschließlich der Free-, Pro- und Business-Tarife. 

^{Cloudflare-Dashboard-Seite mit Web-Assets, die zwei Beispiel-Endpunkte zeigt, die als cf-llm gekennzeichnet sind}

Um diese Endpunkte automatisch zu erkennen, ist mehr als nur die Übereinstimmung mit gängigen Pfadmustern wie /chat/completions erforderlich. Viele KI-gestützte Anwendungen haben keine Chat-Schnittstelle: etwa Produktsuche, Tools zur Immobilienbewertung oder Empfehlungsmaschinen. Wir haben ein Erkennungssystem entwickelt, das das Verhalten von Endpunkten analysiert, nicht danach, wie sie genannt werden. Zur zuverlässigen Identifizierung von KI-gestützten Endpunkten ist ausreichend gültiger Traffic erforderlich.

Entdeckte KI-gestützte Endpunkte werden unter Sicherheit → Web-Assets angezeigt, bezeichnet als cf-llm. Für Kunden mit einem Free-Tarif wird die Endpunkterkennung eingeleitet, wenn Sie zum ersten Mal die Discovery-Seite aufrufen. Bei Kunden mit einem kostenpflichtigen Tarif erfolgt die Erkennung automatisch im Hintergrund in regelmäßigen Abständen. Wenn Ihre KI-gestützten Endpunkte entdeckt wurden, können Sie sie sofort überprüfen.

Die Erkennung von AI Security for Apps folgt dem Always-on-Ansatz (immer aktiv) für den Datenverkehr zu Ihren KI-gestützten Endpunkten. Jeder der Prompts wird durch mehrere Erkennungsmodule auf Prompt Injection, Offenlegung persönlich identifizierbarer Informationen und sensible oder toxische Themen geprüft. Die Ergebnisse – ob der Prompt bösartig war oder nicht – werden als Metadaten angehängt, die Sie in benutzerdefinierten WAF-Regeln zur Durchsetzung Ihrer Richtlinien verwenden können. Wir suchen ständig nach Möglichkeiten, unser globales Netzwerk, das den Traffic von etwa 20 % des Internets erfasst, zu nutzen, um neue Angriffsmuster bei Millionen von Websites zu erkennen, bevor sie Ihres erreichen.

Das Produkt verfügt über eine integrierte Erkennung für gängige Bedrohungen: Prompt Injections, PII-Extraktion und toxische Themen. Aber jedes Unternehmen hat seine eigene Definition davon, was verboten ist. Ein Finanzdienstleister muss vielleicht Diskussionen über bestimmte Wertpapiere erkennen. Ein Unternehmen im Gesundheitswesen muss möglicherweise Gespräche kennzeichnen, die Patientendaten betreffen. Ein Einzelhändler möchte vielleicht wissen, wenn Kunden nach Konkurrenzprodukten fragen.

Die neue Funktion für benutzerdefinierte Themen ermöglicht es Ihnen, solche Kategorien selbst zu definieren. Sie legen das Thema fest, wir analysieren den Prompt und geben einen Relevanzwert aus, den Sie zum Protokollieren, Blockieren oder für andere von Ihnen festgelegte Maßnahmen verwenden können. Unser Ziel ist es, ein erweiterbares Werkzeug zu schaffen, das sich flexibel an Ihre Anwendungsfälle anpasst.

^{Prompt-Relevanzbewertung innerhalb von AI Security for Apps}

AI Security for Apps setzt Schutzleitplanken durch, bevor unsichere Prompts Ihre Infrastruktur erreichen können. Um Erkennungen präzise auszuführen und Schutz in Echtzeit bereitzustellen, müssen wir zunächst den Prompt innerhalb des Request-Payloads identifizieren. Prompts können sich an beliebiger Stelle im Request-Body befinden, und verschiedene LLM-Anbieter strukturieren ihre APIs unterschiedlich. OpenAI und die meisten Anbieter verwenden für Chat-Completions $.messages[*].content. Die Batch-API von Anthropic verschachtelt Prompts in $.requests[*].params.messages[*].content. Ihr benutzerdefiniertes Tool zur Immobilienbewertung könnte $.property_description verwenden.

Wir unterstützen standardmäßig die Standardformate, die von OpenAI, Anthropic, Google Gemini, Mistral, Cohere, xAI, DeepSeek und anderen verwendet werden. Wenn wir ein bekanntes Muster nicht zuordnen können, wenden wir einen standardmäßigen Sicherheitsstatus an und führen die Erkennung über den gesamten Anfragetext durch. Dies kann zu falsch-positiven Ergebnissen führen, wenn die Nutzlast Felder enthält, die vertraulich sind, aber nicht direkt an ein KI-Modell eingespeist werden, so könnte beispielsweise ein Feld $.customer_name neben dem eigentlichen Prompt unnötigerweise eine Erkennung von personenbezogenen Daten auslösen.

Bald können Sie eigene JSONPath-Ausdrücke definieren, um genau festzulegen, wo wir den Prompt finden sollen. Das reduziert Fehlalarme und ermöglicht präzisere Erkennungen. Zudem entwickeln wir eine Prompt-Learning-Funktion, die sich im Laufe der Zeit automatisch an die Struktur Ihrer Anwendung anpasst.

Sobald eine Bedrohung erkannt und bewertet wurde, können Sie sie blockieren, protokollieren oder individuelle Antworten auslösen – über dieselbe WAF-Regel-Engine, die Sie bereits für die übrige Sicherheit Ihrer Anwendungen nutzen. Die Stärke der gemeinsamen Cloudflare-Plattform besteht darin, dass Sie KI-spezifische Signale mit allen anderen Informationen zu einer Anfrage kombinieren können, die im WAF über Hunderte von Feldern verfügbar sind. Ein Prompt-Injection-Versuch ist verdächtig. Ein Prompt-Injection-Versuch von einer IP-Adresse, die zuvor Ihre Login-Seite sondiert hat, mit einem Browser-Fingerprint aus früheren Angriffen und über ein rotierendes Botnetz ausgeführt wird, ist jedoch eine ganz andere Geschichte. Einzellösungen, die nur die KI-Ebene sehen, können diese Verbindungen nicht herstellen.

Diese einheitliche Sicherheitsebene ist genau das, was Newfold Digital benötigt, um KI-Endpunkte zu erkennen, zu kennzeichnen und zu schützen, so Radinger: „Wir freuen uns darauf, sie bei all diesen Projekten als Absicherung einzusetzen.“

AI Security for Applications wird auch über das wachsende Ökosystem von Cloudflare verfügbar sein, unter anderem durch die Integration in IBM Cloud. Über IBM Cloud Internet Services (CIS) können Endnutzer bereits fortschrittliche Lösungen für die Anwendungssicherheit beziehen und direkt über ihr IBM Cloud-Konto verwalten. 

Wir arbeiten außerdem mit Wiz zusammen, um AI Security for Applications mit Wiz AI Security zu verknüpfen. So erhalten gemeinsame Kunden einen einheitlichen Überblick über ihre KI-Sicherheitslage, von der Modell- und Agentenerkennung in der Cloud bis hin zu Leitplanken auf der Anwendungsschicht an der Edge.

AI Security for Apps ist jetzt für Cloudflare-Enterprise-Kunden verfügbar. Kontaktieren Sie Ihr Kundenserviceteam, um loszulegen, oder sehen Sie das Produkt in Aktion mit einer selbstgeführten Tour.

Wenn Sie einen Free-, Pro- oder Business-Tarif haben, können Sie die KI-Endpunkterkennung heute nutzen. Loggen Sie sich in Ihr Dashboard ein und rufen Sie Sicherheit → Web-Assets auf, um zu sehen, welche Endpunkte wir identifiziert haben. Halten Sie die Augen offen – wir planen, dass wir in Kürze alle Funktionen von AI Security for Apps für alle Kunden mit allen Tarifen verfügbar machen.

Einzelheiten zur Konfiguration finden Sie in unserer Dokumentation.