Cloudflare lanzó una beta abierta este lunes de su AI-powered Web and API Vulnerability Scanner, una nueva herramienta de seguridad que detecta automáticamente fallos complejos en aplicaciones web y APIs. El escáner, integrado en el servicio API Shield de Cloudflare, utiliza inteligencia artificial para mapear comportamientos de API e identificar vulnerabilidades críticas como Broken Object Level Authorization, abordando la principal amenaza que enfrentan los servicios web modernos.
El nuevo escáner emplea un enfoque stateful que entiende secuencias lógicas y dependencias de datos dentro de las APIs, un cambio significativo frente a las herramientas de seguridad tradicionales stateless que tratan cada solicitud de forma independiente, según el anuncio de Cloudflare. Esta metodología apunta específicamente a fallos de lógica de negocio que escáneres convencionales pasan por alto.
Cómo funciona
El escáner opera a través de un proceso sofisticado de múltiples pasos. Primero, procesa la especificación OpenAPI de un cliente para construir un «API call graph» que mapea las relaciones entre diferentes endpoints. Workers AI de Cloudflare luego analiza este grafo para inferir automáticamente dependencias de datos, incluso cuando las convenciones de nomenclatura difieren entre los endpoints.
El sistema ejecuta escaneos utilizando dos contextos autenticados: un «propietario» que crea recursos y un «atacante» que intenta acceder sin autorización. Cuando el atacante manipula con éxito recursos que no debería controlar, el escáner señala una vulnerabilidad crítica.
Impacto en el mercado
El lanzamiento beta, disponible ahora para todos los clientes API Shield, se centra inicialmente en Broken Object Level Authorization (BOLA), clasificado como la principal amenaza en la lista OWASP API Security Top 10. Cloudflare planea ampliar la cobertura para incluir vulnerabilidades de inyección SQL y cross-site scripting en un futuro cercano, indicó la empresa.
Este lanzamiento posiciona a Cloudflare directamente contra proveedores especializados de seguridad API como Salt Security y Noname Security, así como contra proveedores tradicionales de pruebas de seguridad de aplicaciones, incluyendo Checkmarx e Invicti. Al incorporar capacidades de escaneo avanzadas en su suite de seguridad existente, Cloudflare ofrece a los clientes una alternativa atractiva a soluciones independientes.
La profunda integración del escáner con la red de borde de Cloudflare crea una ventaja única. Combina análisis de tráfico pasivo de herramientas de API Discovery con pruebas activas de vulnerabilidades, permitiendo la verificación en tiempo real de amenazas potenciales identificadas en tráfico en vivo, todo dentro de una misma plataforma.
Para la protección de los datos, Cloudflare utiliza el Vault Transit Secret Engine de HashiCorp para cifrar las credenciales de los clientes, asegurando que permanezcan seguras durante el proceso de escaneo. La empresa aún no ha divulgado métricas específicas de precisión de detección ni modelos de precios futuros para el servicio.
Sources
- blog.cloudflare.com
