Lecture: 5 min.
La solution Cloudflare AI Security for Apps détecte et atténue les menaces visant les applications soutenues par IA. L'article d'aujourd'hui annonce sa mise en disponibilité générale.
Nous lançons de nouvelles fonctionnalités (comme les mesures de détection personnalisées des sujets) et rendons le processus d'identification des points de terminaison IA gratuit pour tous les clients Cloudflare (y compris les souscripteurs d'une offre gratuite, Pro et Business) afin que chacun d'eux dispose d'une visibilité concernant l'endroit où leurs outils IA sont déployés sur leurs applications en contact avec Internet.
Nous annonçons également l'élargissement de notre collaboration avec IBM, qui a choisi Cloudflare pour proposer la sécurité de l'IA à ses clients cloud. Enfin, nous avons également signé un partenariat avec Wiz pour permettre à nos clients mutuels de disposer d'une vue unifiée sur leur niveau de sécurité de l'IA.
Une nouvelle sorte de surface d'attaque
Les opérations réalisables par les applications web traditionnelles sont définies : consulter un solde bancaire, effectuer un virement, etc. Vous pouvez rédiger des règles déterministes pour sécuriser ces interactions.
Les applications et les agents soutenus par IA sont différents. Ils acceptent le langage naturel et génèrent des réponses imprévisibles. Il n'existe pas d'ensemble fixe d'opérations à autoriser ou à refuser, car les données saisies (entrées) et les données produites (sorties) sont probabilistes. Les acteurs malveillants peuvent manipuler les grands modèles linguistiques (LLM, Large Language Models) afin d'effectuer des actions non autorisées ou de faire fuiter des données sensibles. L'injection d'invite, la divulgation d'informations sensibles et la surconsommation de ressources ne constituent qu'une partie des risques recensés dans le Top 10 de l'OWASP consacré aux applications LLM.
Ces risques s'intensifient à mesure que les applications IA se transforment en agents. Lorsqu'une IA peut effectuer des appels d'outils (traiter un remboursement, modifier des informations sur un compte, proposer une réduction ou accéder aux données d'un client), la moindre invite malveillante devient immédiatement un incident de sécurité.
Les clients nous parlent de ce à quoi ils doivent faire face. « La plupart des équipes de Newfold Digital mettent en place leurs propres garde-fous en matière d'IA générative, mais tous les acteurs innovent tellement vite que des lacunes finiront inévitablement par apparaître », déclare Rick Radinger, Principal Systems Architect chez Newfold Digital, l'entreprise qui exploite Bluehost, HostGator et Domain.com.
L'utilité de la solution AI Security for Apps
Nous avons développé la solution AI Security for Apps pour répondre à cette problématique. Que vous utilisiez un modèle tiers ou que vous hébergiez le vôtre, la solution vient se placer devant vos applications soutenues par IA afin de protéger vos ressources dans le cadre du proxy inverse proposé par Cloudflare. Elle vous aide ainsi (1) à identifier les applications soutenues par IA sur l'ensemble de vos propriétés web, (2) à détecter les comportements malveillants ou non conformes à vos politiques sur ces points de terminaison et (3) à atténuer les menaces à l'aide du générateur de règles WAF que vous connaissez déjà.
L'identification, désormais gratuite pour tous
Avant de pouvoir protéger vos applications soutenues par LLM, vous devez savoir à quel endroit elles sont utilisées. Les équipes de sécurité nous indiquent souvent qu'elles ne disposent pas d'une vision complète concernant les déploiements d'outils IA sur l'ensemble de leur parc applicatif, notamment à l'heure où le marché des LLM évolue et où les développeurs changent de modèles et de fournisseurs.
La solution AI Security for Apps identifie automatiquement les points de terminaison assistés par LLM sur l'ensemble de vos propriétés web, indépendamment de l'endroit où ils sont hébergés ou du modèle utilisé. À compter d'aujourd'hui, cette fonctionnalité est gratuite pour tous les clients Cloudflare, y compris les souscripteurs d'une offre gratuite, Pro ou Business.
La page du tableau de bord Cloudflare consacrée aux ressources web affiche ici deux exemples de points de terminaison étiquetés sous la dénomination cf-llm.
L'identification automatique de ces points de terminaison nécessite plus que la simple mise en correspondance de schémas d'adressage courants, comme /chat/completions. De nombreuses applications assistées par l'IA ne disposent pas d'une interface de discussion, comme les applications de recherche de produits, les outils d'évaluation de propriétés immobilières ou les moteurs de recommandation, par exemple. Nous avons ainsi développé un système de détection qui s'intéresse au comportement des points de terminaison et pas à leur dénomination. Une quantité suffisante de trafic valide est requise pour identifier en toute confiance les points de terminaison soutenus par IA.
Les points de terminaison identifiés par ce processus seront visibles sous Security → Web Assets (Sécurité → Ressources web) et étiquetés sous la dénomination cf-llm. Pour les clients titulaires d'une offre gratuite, l'identification des points de terminaison sera lancée lorsque vous accéderez pour la première fois à la page Discovery (Identification). Pour ceux qui ont souscrit une offre payante, le processus d'identification s'effectue automatiquement en arrière-plan, à intervalles réguliers. Vous pourrez examiner immédiatement vos points de terminaison assistés par IA une fois ces derniers identifiés.
Les mesures de détection de la solution AI Security for Apps suivent l'approche « Active en permanence » concernant la gestion du trafic vers vos points de terminaison assistés par IA. Chaque invite passe par plusieurs modules de détection conçus pour révéler la présence d'attaques par injection d'invite, l'exposition d'informations d'identification personnelle (PII, Personally Identifiable Information) et les sujets sensibles ou toxiques. Que l'invite soit malveillante ou non, les résultats sont joints sous forme de métadonnées que vous pouvez utiliser au sein de vos règles WAF personnalisées afin de mieux appliquer vos politiques. Nous cherchons en permanence des moyens de tirer parti de notre réseau mondial (qui voit passer le trafic d'environ 20 % d'Internet) afin d'identifier les nouveaux schémas d'attaque sur des millions de sites web avant qu'ils n'atteignent le vôtre.
Nouvelle fonctionnalité en disponibilité générale : détection personnalisée des sujets
Le produit est doté d'une fonctionnalité de détection intégrée des menaces courantes : les attaques par injection d'invite, l'extraction d'informations d'identification personnelle et les sujets toxiques. Chaque entreprise dispose toutefois de sa propre définition des sujets contraires à ses politiques. Une entreprise de services financiers peut ainsi avoir besoin de détecter les discussions traitant de titres spécifiques. Un acteur de la santé pourrait avoir besoin de signaler les conversations qui concernent les données des patients. Un commerçant pourrait souhaiter savoir à quel moment les clients s'informent sur les produits de ses concurrents.
La nouvelle fonctionnalité de personnalisation des sujets vous permet de définir ces catégories. Vous spécifiez le sujet, nous inspectons l'invite et générons un score de pertinence que vous pouvez utiliser comme vous le décidez (journalisation, blocage ou traitement). Notre objectif consiste à créer un outil extensible qui s'adapte à l'ensemble de vos scénarios d'utilisation.
Un score de pertinence des invites proposé au sein de la solution AI Security for Apps
La solution AI Security for Apps met en place des garde-fous autour des invites non sécurisées avant qu'elles ne puissent entrer en contact avec votre infrastructure. Pour exécuter les mesures de détection avec précision et assurer une protection en temps réel, nous devons d'abord identifier l'invite qui figure dans le contenu malveillant de la requête. Les invites peuvent résider à n'importe quel endroit du corps d'une requête et les fournisseurs de LLM structurent leurs API de manière différente. OpenAI et la plupart des fournisseurs utilisent le format $.messages[*].content pour les réponses par chat. L'API de traitement par lots (batch) d'Anthropic imbrique les invites au sein de la formule $.requests[*].params.messages[*].content. Votre outil d'évaluation des biens personnalisé pourrait utiliser la forme $.property_description.
Nous prenons actuellement en charge les formats standard utilisés par OpenAI, Anthropic, Google Gemini, Mistral, Cohere, xAI, DeepSeek et d'autres. Lorsque nous ne parvenons pas à obtenir une correspondance avec un modèle connu, nous appliquons la posture de sécurité par défaut et exécutons le processus de détection sur l'ensemble du corps de la requête. Cette approche peut introduire des faux positifs lorsque le contenu malveillant contient des champs sensibles, mais qui n'alimentent pas directement un modèle IA (un champ $.customer_name situé à côté de l'invite réelle pourrait déclencher inutilement les mesures de détection des PII, par exemple).
Vous pourrez bientôt définir vos propres expressions JSONPath afin de nous indiquer exactement à quel endroit trouver l'invite. Cette opération nous permettra de réduire le nombre de faux positifs et d'améliorer la précision de nos mesures de détection. Nous sommes également en train de développer une capacité d'apprentissage des invites qui s'adaptera automatiquement à la structure de votre application au fil du temps.
Une fois une menace identifiée et évaluée, vous pouvez la bloquer, la journaliser ou proposer des réponses personnalisées à l'aide du même moteur de règles WAF que celui que vous utilisez déjà pour le reste de vos activités de sécurité des applications. La puissance de la plateforme partagée Cloudflare réside dans la possibilité de combiner des signaux spécifiques à l'IA avec tout ce que nous savons d'une requête, c'est-à-dire des connaissances représentées par les centaines de champs du pare-feu WAF. Une tentative d'injection d'invite est déjà suspecte par essence. Une tentative d'injection issue d'une adresse IP qui a sondé votre page de connexion, utilise les empreintes numériques d'un navigateur associé à des attaques précédentes et « fait tourner » les adresses à l'aide d'un botnet entre dans une catégorie tout à fait différente. Une solution dédiée qui ne voit que la couche IA ne peut pas établir ces connexions.
Cette couche de sécurité unifiée est exactement ce dont Newfold Digital a besoin pour identifier, étiqueter et protéger les points de terminaison IA. Comme le précise Radinger : « Nous sommes impatients d'utiliser cette technologie sur l'ensemble de ces projets en tant que mécanisme de sécurité. »
Un écosystème en croissance
La solution AI Security for Applications sera également disponible au sein de l'écosystème en pleine expansion de Cloudflare, notamment grâce à l'intégration avec IBM Cloud. Les utilisateurs finaux peuvent déjà se procurer des solutions avancées de sécurité des applications par l'intermédiaire de la plateforme IBM Cloud Internet Services (CIS) et les gérer directement depuis leur compte IBM Cloud.
Nous avons également conclu un partenariat avec Wiz afin de connecter la solution AI Security for Applications à leur plateforme Wiz AI Security. Nous pourrons ainsi proposer à nos clients mutuels une vue unifiée sur leur stratégie de sécurité de l'IA, de l'identification des modèles et des agents dans le cloud aux garde-fous protégeant la couche applicative déployés à la périphérie du réseau.
La solution AI Security for Apps est désormais disponible pour les clients Enterprise de Cloudflare. Contactez l'équipe chargée de votre compte pour essayer le produit ou découvrez-le en action dans le cadre d'un tour d'horizon en autonomie.
Si vous êtes titulaires d'une offre gratuite, Pro ou Business, vous pouvez utiliser la fonctionnalité d'identification des points de terminaison IA dès aujourd'hui. Connectez-vous à votre tableau de bord et cliquez sur Security → Web Assets (Sécurité → Ressources web) pour découvrir les points de terminaison que nous avons identifiés. Restez à l'écoute : nous prévoyons de mettre l'ensemble des fonctionnalités de la solution AI Security for Apps prochainement à la disposition de tous nos clients, quel que soit leur niveau d'offre.
Consultez notre documentation pour plus d'informations sur la configuration.