こんにちは、あさひです 🙋♂️ 今週の Cloudflare のアップデートをまとめていきます!
この記事の主旨
この記事では、前週に Cloudflare のサービスにどんな変更があったかをざっくりと理解してもらい、サービスに興味を持ってもらうことを目的としています。そのため、変更点を網羅することを優先します。
2026/03/08 ~ 2026/03/14 の変更
Wrangler
4.73.0
マイナーアップデート
-
wrangler containers sshの SSH パススルーフラグを非推奨化-
--cipher、--log-file、--escape-char、--config-file、--pkcs11、--identity-file、--mac-spec、--option、--tagフラグが非推奨に - これらは OpenSSH 固有のオプションで、将来のリリースで SSH トランスポートが置き換えられる際に削除予定
-
-
unstable_startWorker()とunstable_dev()で永続化の無効化をサポート-
persist: falseを設定することで、前回の実行データを残さずクリーンな状態でテストを実行可能
-
サンプル
const worker = await unstable_startWorker({
entrypoint: "./src/worker.ts",
dev: {
persist: false,
},
});
パッチアップデート
-
wrangler d1 exportで複数テーブルの指定に再対応-
--table foo --table barのように複数テーブルを指定してエクスポート可能に
-
-
vectorizeコマンドの JSON 出力を修正-
list、info、create等のコマンドが正しい JSON を出力するように -
vectorize create --jsonにcreated_at、modified_on、descriptionフィールドを追加
-
- Astro v6 プロジェクトで autoconfig が wrangler 設定生成をスキップするよう修正
- Astro 6 以降はビルド時に独自の wrangler 設定を生成するため、衝突を防止
- VPC service host フラグのクライアント側バリデーションを追加
-
--hostname、--ipv4、--ipv6フラグが API に送信する前に入力を検証し、わかりやすいエラーメッセージを表示
-
- 依存関係を更新
workerd@1.20260312.1
4.72.0
マイナーアップデート
-
wrangler typesで inheritable bindings の型生成に対応- 複数環境を使用する際、トップレベルの
assetsバインディングが各環境に正しく継承されるように - 従来はオプショナル(
ASSETS?: Fetcher)として生成されていたものが、必須(ASSETS: Fetcher)として正しく型付け
- 複数環境を使用する際、トップレベルの
- Container のローカル開発で egress interception が
experimentalフラグなしで利用可能に-
interceptOutboundHttp()に必要なサイドカーイメージが常に準備されるよう変更 - Wrangler、Miniflare、Cloudflare Vite プラグインでデフォルトで利用可能
-
パッチアップデート
- node-forge を ^1.3.2 にバンプしてセキュリティ脆弱性に対処
- ASN.1 の無制限再帰、OID 整数の切り捨て、ASN.1 バリデーターの非同期化に関する脆弱性を修正
-
wrangler d1 execute --jsonで SQL NULL 値が"null"(文字列)ではなくnull(JSON null)として正しく出力されるよう修正 - Windows でモジュール名のクエリ文字列(
.wasm?module等)が出力ファイル名に含まれ ENOENT エラーが発生する問題を修正- Prisma Client と D1 アダプターの組み合わせで顕著だった問題
- remote dev の
exchange_urlをオプション化- 利用不可またはエクスチェンジ失敗時に初期トークンを直接使用するよう変更
- 依存関係を更新
workerd@1.20260310.1
Containers
実行中の Container インスタンスへの SSH 接続
Wrangler を使って実行中の Container インスタンスに SSH 接続できるようになりました。デバッグ、実行中プロセスの検査、ワンオフコマンドの実行に便利です。
利用するには、Container 設定で wrangler_ssh を有効にし、ssh-ed25519 公開鍵を authorized_keys に追加します。wrangler containers ssh <INSTANCE_ID> で対話シェルに接続でき、-- ls -al のようにコマンドを直接実行することも可能です。
サンプル
{
"containers": [
{
"wrangler_ssh": {
"enabled": true,
},
"authorized_keys": [
{
"name": "<NAME>",
"public_key": "<YOUR_PUBLIC_KEY_HERE>",
},
],
},
],
}
wrangler containers ssh <INSTANCE_ID>
wrangler containers ssh <INSTANCE_ID> -- ls -al
wrangler containers instances コマンドの追加
新しい wrangler containers instances コマンドで、Container アプリケーションの全インスタンスを一覧表示できるようになりました。ダッシュボードのインスタンスビューと同等の情報(ID、名前、状態、ロケーション、バージョン、作成日時)をコマンドラインから確認できます。
--json フラグで機械可読な JSON 出力にも対応しており、CI パイプラインなど非対話環境ではデフォルトで JSON 形式が使用されます。
Workers AI
NVIDIA Nemotron 3 Super が利用可能に
NVIDIA と提携し、@cf/nvidia/nemotron-3-120b-a12b が Workers AI で利用可能になりました。Mixture-of-Experts(MoE)アーキテクチャを採用したハイブリッド Mamba-Transformer モデルで、総パラメータ数 120B、フォワードパスあたりのアクティブパラメータ数は 12B です。
1 アプリケーションで多数の協調エージェントを動かすことに最適化されており、推論・ツール呼び出し・指示追従において高い精度を発揮します。主な特徴は以下のとおりです。
- 32,000 トークンのコンテキストウィンドウ
- Multi-Token Prediction(MTP)による長文生成の高速化
- ツール呼び出しサポート
- ハイブリッド Mamba-Transformer アーキテクチャにより、主要なオープンモデルと比較して 50% 以上高いトークン生成スループットを実現
Workers AI バインディング、REST API、OpenAI 互換エンドポイントのいずれからも利用可能です。
Browser Rendering
/crawl エンドポイントでウェブサイト全体をクロール(オープンベータ)
Browser Rendering に新しい /crawl エンドポイントがオープンベータとして追加されました。開始 URL を指定するだけで、ページの自動発見・ヘッドレスブラウザでのレンダリング・HTML / Markdown / 構造化 JSON での結果返却までを一括で行えます。クロールジョブは非同期実行で、robots.txt や AI Crawl Control を尊重する signed-agent として動作します。
主な機能は以下のとおりです。
- Static モード —
render: falseでブラウザを起動せずに静的 HTML を取得 - インクリメンタルクロール —
modifiedSince/maxAgeで変更のないページをスキップ - クロールスコープ制御 — 深度、ページ数上限、ワイルドカードパターンで対象範囲を制御
- 複数出力形式 — HTML、Markdown、構造化 JSON(Workers AI 搭載)
Workers Free / Paid の両プランで利用可能です。
サンプル
# クロールの開始
curl -X POST 'https://api.cloudflare.com/client/v4/accounts/{account_id}/browser-rendering/crawl' \
-H 'Authorization: Bearer <apiToken>' \
-H 'Content-Type: application/json' \
-d '{
"url": "https://blog.cloudflare.com/"
}'
# 結果の確認
curl -X GET 'https://api.cloudflare.com/client/v4/accounts/{account_id}/browser-rendering/crawl/{job_id}' \
-H 'Authorization: Bearer <apiToken>'
API Shield
Web & API Vulnerability Scanner(オープンベータ)
API Shield 向けの Web and API Vulnerability Scanner がオープンベータとしてリリースされました。ステートフルな Dynamic Application Security Testing(DAST)プラットフォームで、API のロジック上の欠陥をプロアクティブに検出します。
初期リリースでは Broken Object Level Authorization(BOLA)脆弱性の検出にフォーカスしており、API コールグラフを構築して攻撃者コンテキストとオーナーコンテキストをシミュレーションし、実際の HTTP リクエストを送信してテストします。現時点では Cloudflare API 経由で利用可能で、ダッシュボードからの利用は今後のリリースで提供予定です。
Cloudflare Fundamentals
1xxx エラーの JSON レスポンスと RFC 9457 サポート
Cloudflare が生成する 1xxx エラーが、Accept: application/json または Accept: application/problem+json ヘッダーの送信時に構造化 JSON レスポンスを返すようになりました。JSON レスポンスは RFC 9457(Problem Details for HTTP APIs)に準拠しており、標準メンバー(instance、detail、title、status、type)が含まれます。
前週に追加された Markdown レスポンスに続き、JSON 形式でも機械的な処理がしやすくなっています。
なお、Breaking Change として Markdown フロントマターのフィールド名が http_status から status に変更されています。
| リクエストヘッダー | レスポンス形式 |
|---|---|
Accept: application/json |
JSON(application/json) |
Accept: application/problem+json |
JSON(application/problem+json) |
Accept: text/markdown |
Markdown |
Accept: */* |
HTML(デフォルト) |
Audit Logs
Audit Logs v2 が GA に
Audit Logs v2 が全 Cloudflare ユーザー向けに一般提供開始されました。Cloudflare の API Shield / OpenAPI ゲートウェイ上に構築されており、個別プロダクトチームの手動計装なしに自動的にログが生成される統一されたシステムです。
GA 時点の主な特徴は以下のとおりです。
- 18 ヶ月のログ保持期間
- 認証方法、インターフェース(API / ダッシュボード)、Ray ID、アクタートークンなどの詳細コンテキスト
- 20 以上のフィルターパラメーターによる細やかな絞り込み
- Cloudflare プロダクトの約 95% をカバー(v1 の約 75% から拡大)
- 全プロダクトで統一されたログ形式
Logpush(audit_logs_v2 データセット)、API、ダッシュボードから利用可能です。なお、変更前後の値(Before/After)の表示機能は GA 後のリリースで追加予定で、それまでは v1 と並行運用が推奨されています。
Logs
MCP Portal Logs データセットと既存データセットの新フィールド
Logpush に新しい MCP Portal Logs データセットが追加されました。ClientCountry、ClientIP、Datetime、Method、PortalID、ToolCallName、UserEmail などのフィールドが含まれています。
また、既存の複数データセットにも新フィールドが追加されています。
- Zero Trust Network Session Logs:
SNI - WARP Config Changes / Toggle Changes:
UserEmail - Network Analytics Logs:
DNSQueryName、DNSQueryType、PFPCustomTag - HTTP Requests:
FraudEmailRisk、FraudUserID、PayPerCrawlStatus - Gateway DNS:
InternalDNSDurationMs - Gateway HTTP:
AppControlInfo、ApplicationStatuses - Firewall Events:
FraudUserID - DEX Device State Events:
ExperimentalExtra - DEX Application Tests:
HTTPRedirectEndMs、HTTPRedirectStartMs、HTTPResponseBody、HTTPResponseHeaders
Zero Trust WARP Client
WARP client for macOS (version 2026.3.566.1) Beta
主な更新内容
- 新しいビジュアルスタイルの導入(接続管理がトグルからボタンに変更、折りたたみ可能なナビゲーションバーの追加)
- ネットワーク未接続時のマネージドネットワーク検出チェック開始を修正(デバイスプロファイルのフラッピングを解消)
- 前の組織からの緊急切断状態が組織切り替え後も残る問題を修正
- プロキシモードでアップストリーム接続タイムアウトによりクライアントが応答しなくなる問題を修正
- 空の MDM ファイルを単一 MDM 設定として受け入れていた問題を修正
- トンネル輻輳制御アルゴリズムを Cubic に切り替え
- 診断ログに詳細な QUIC 接続メトリクスを追加
WARP client for Windows (version 2026.3.566.1) Beta
主な更新内容
- 新しいビジュアルスタイルの導入(接続管理がトグルからボタンに変更、折りたたみ可能なナビゲーションバーの追加)
- ネットワーク未接続時のマネージドネットワーク検出チェック開始を修正(デバイスプロファイルのフラッピングを解消)
- 前の組織からの緊急切断状態が組織切り替え後も残る問題を修正
- プロキシモードでアップストリーム接続タイムアウトによりクライアントが応答しなくなる問題を修正
- 空の MDM ファイルを単一 MDM 設定として受け入れていた問題を修正
- システム DNS 検索リストに予期しない文字が含まれる場合のトンネル接続失敗を修正
- DAD(重複アドレス検出)と NetBT 無効化のレースによるトンネルインターフェース起動時間の増加を修正
- マルチユーザーモードでの RDP 接続による不要な登録削除を修正
- SCCM VPN 境界サポートによるトンネルインターフェース名変更時のパケットキャプチャ失敗を修正
- トンネル輻輳制御アルゴリズムを Cubic に切り替え
- 診断ログに詳細な QUIC 接続メトリクスを追加
既知の問題
- Windows 11 24H2 環境で、マウス遅延や音声の途切れなどのパフォーマンス問題が発生する場合がある
- Windows 11 24H2 KB5062553 以上へのアップデートが推奨
- KB5055523 がインストールされた環境で、インストーラーが
Win32/ClickFix.ABAを誤検知する場合がある- Microsoft Security Intelligence を 1.429.19.0 以上に更新することで解消
- 単一 MDM 設定のセットアップ中にログインをキャンセルすると、認証を再開できない空のページが表示される場合がある
- クライアントを終了して再起動することで回避可能
WAF
WAF 緊急リリース(2026-03-12)
- 新規検出ルール
- Ivanti EPMM - Code Injection - CVE-2026-1281 / CVE-2026-1340
- 新規 Block(認証不要のリモートコード実行)
- Anomaly:Header:Content-Security-Policy
- 新規 Block(CSP ヘッダー内の XSS インジェクション検出)
- Ivanti EPMM - Code Injection - CVE-2026-1281 / CVE-2026-1340
Discussion