こんにちは、あさひです 🙋♂️ 今週の Cloudflare のアップデートをまとめていきます!
この記事の主旨
この記事では、前週に Cloudflare のサービスにどんな変更があったかをざっくりと理解してもらい、サービスに興味を持ってもらうことを目的としています。そのため、変更点を網羅することを優先します。
2026/04/26 ~ 2026/05/02 の変更
Wrangler
4.85.0
マイナーアップデート
- custom domain routes に
enabledとpreviews_enabledを追加- production traffic と preview traffic の有効化状態を、custom domain route ごとに制御可能に
- 省略時は API 側のデフォルトが使われ、production は有効、preview は無効として扱われます
パッチアップデート
-
wrangler deployで継承されたai_search_namespacesバインディングの表示を修正- 以前は bindings table に
Symbol(inherit_binding)が表示されていたものが、(inherited)と表示されるようになりました
- 以前は bindings table に
- Cloudflare WAF によって API リクエストがブロックされた場合のエラーメッセージを改善
- HTML の WAF block page を malformed response として扱う代わりに、Firewall にブロックされたことと Ray ID を表示
-
workflows_preserve_non_retryable_error_message互換性フラグ有効時に、NonRetryableErrorの message と name を保持するよう修正 - Wrangler 内部の console method のバインド方法を修正
-
@clack/coreと@clack/promptsを v1.2.0 に更新 - 依存関係を更新
workerd@1.20260422.1workerd@1.20260423.1workerd@1.20260424.1miniflare@4.20260424.0@cloudflare/unenv-preset@2.16
4.86.0
マイナーアップデート
-
wrangler ai-searchコマンドに namespace サポートを追加-
create、list、get、update、delete、stats、searchで--namespace/-nを指定可能に -
wrangler ai-search namespaceサブコマンドで namespace の作成・一覧・取得・更新・削除が可能に
-
-
wrangler dev --tunnelを追加- Cloudflare Quick Tunnels を使ってローカル開発サーバーを公開 URL で共有できます
- アカウントや設定なしで
*.trycloudflare.comの URL が発行され、dev session 終了時に tunnel も停止します
-
wrangler tailが stack trace をログ出力するように- sourcemap をアップロードしている場合は、解決済みのフレームを含む stack trace を確認できます
- Flagship bindings を local dev でも常に remote mode として扱うよう変更
- AI bindings と同様に、ローカルスタブではなく実際の Flagship サービスを参照します
-
wrangler queues consumer list系のサブコマンドを追加wrangler queues consumer list <queue-name>wrangler queues consumer worker list <queue-name>wrangler queues consumer http list <queue-name>
パッチアップデート
- CLI フラグのテレメトリ分類を改善し、
--remote、--json、--dry-run、--forceなどの安全な boolean flag を再び記録対象に - dev registry 経由で別の
wrangler devインスタンスに接続する service binding / tail consumer のpropsが失われる問題を修正 -
unstable_startWorkerの teardown で esbuild context や listener が残り、Node.js が終了しないことがある問題を修正 - Container image build をユーザーが中断したときに、不要な
[wrangler:error] Docker build exited with code: <n>ログが出る問題を修正 - remote proxy session の auth 情報を保持し、不要な session 再作成を避けるよう修正
-
wrangler types --checkが明示的な boolean flag で生成された types file に対して例外を投げる問題を修正 -
wrangler tail終了後に signal-exit listener が残る問題を修正 - Hydrogen project を unsupported framework として認識し、React Router と誤判定しないよう修正
- Pages commands で
CLOUDFLARE_ACCOUNT_IDを cached account id より優先するよう修正 - 依存関係を更新
workerd@1.20260426.1miniflare@4.20260426.0
サンプル
wrangler ai-search list --namespace blog
wrangler ai-search create my-instance --namespace blog --type r2 --source my-bucket
wrangler ai-search namespace create blog --description "Blog content"
wrangler dev --tunnel
wrangler queues consumer list my-queue
wrangler queues consumer worker list my-queue
wrangler queues consumer http list my-queue
4.87.0
マイナーアップデート
- Node.js 20.x 以下をサポート対象外に
- Node.js 20 が 2026-04-30 に EOL となったため、Wrangler の最小サポートバージョンが Node.js 22.0.0 になりました
-
experimental_generateTypes()programmatic API を追加-
wrangler typesと同じロジックをパッケージルートから呼び出し、Worker 型をコード上で生成できます -
env、runtime、結合済み出力を構造化して受け取れます
-
パッチアップデート
-
--configを指定したwrangler deployでは auto-config detection と OpenNext delegation をスキップするよう修正- 明示した Worker 設定ではなく OpenNext 側へ委譲され、意図しない Worker が deploy される問題を防ぎます
-
config-schema.jsonにmarkdownDescriptionを出力し、エディタの JSON Schema hover 表示を改善 - user-facing Wrangler errors のテレメトリ分類を改善
-
getPlatformProxyとunstable_getMiniflareWorkerOptionsが、設定された assets directory がまだ存在しない状態でも起動できるよう修正- dev 時に assets directory が build output として後から作成されるフレームワークで扱いやすくなります
- 依存関係を更新
workerd@1.20260429.1workerd@1.20260430.1miniflare@4.20260430.0@cloudflare/kv-asset-handler@0.5.0
Workflows
Dynamic Workers 内で Workflow を実行可能に
@cloudflare/dynamic-workflows ライブラリにより、Dynamic Worker の中で Workflows を実行できるようになりました。Workflow instance に tenant ID などの metadata を付与し、Workflow が再開されるたびに Worker Loader が該当する Dynamic Worker を再ロードします。
これにより、SaaS のテナントごとの自動化、AI エージェントが実行時に生成する複数ステップの計画、顧客ごとに処理ロジックが異なるジョブシステムなど、Workflow のコード自体が動的なユースケースでも耐久実行を扱いやすくなります。
サンプル
import {
createDynamicWorkflowEntrypoint,
DynamicWorkflowBinding,
wrapWorkflowBinding,
type WorkflowRunner,
} from "@cloudflare/dynamic-workflows";
export { DynamicWorkflowBinding };
interface Env {
WORKFLOWS: Workflow;
LOADER: WorkerLoader;
}
function loadTenant(env: Env, tenantId: string) {
return env.LOADER.get(tenantId, async () => ({
compatibilityDate: "2026-01-01",
mainModule: "index.js",
modules: { "index.js": await fetchTenantCode(tenantId) },
env: { WORKFLOWS: wrapWorkflowBinding({ tenantId }) },
}));
}
export const DynamicWorkflow = createDynamicWorkflowEntrypoint<Env>(
async ({ env, metadata }) => {
const stub = loadTenant(env, metadata.tenantId as string);
return stub.getEntrypoint("TenantWorkflow") as unknown as WorkflowRunner;
},
);
Queues
リアルタイムの backlog metrics を追加
Queues で、未処理メッセージの状況をリアルタイムに把握する backlog metrics が利用可能になりました。ダッシュボード、REST API、JavaScript API、GraphQL Analytics API から確認できます。
新たに backlog_count、backlog_bytes、oldest_message_timestamp_ms が追加され、queue にどれだけメッセージが溜まっているか、最も古い未 ack メッセージがいつのものかを見られます。consumer の遅延検知や autoscaling 判断、障害時の滞留確認に使いやすそうです。
env.QUEUE.metrics() で取得できるほか、env.QUEUE.send() と env.QUEUE.sendBatch() のレスポンスにも metrics object が含まれるようになりました。
サンプル
const {
backlogCount,
backlogBytes,
oldestMessageTimestamp,
} = await env.QUEUE.metrics();
R2
ダッシュボードから bucket empty と folder delete が可能に
R2 ダッシュボードから、bucket 内の全オブジェクト削除と folder delete ができるようになりました。Bucket を削除する前には empty が必要ですが、これまではスクリプトや lifecycle rules を使う必要がありました。
Settings タブの Empty Bucket から bucket 自体や設定は残したまま中身だけを削除できます。大きな bucket ではバックグラウンドで処理され、進捗も表示されます。
R2 はフラットな object structure ですが、ダッシュボードでは prefix を folder として表示できます。Objects タブで folder を選択して削除すると、その prefix 配下の object をまとめて削除できます。
Hyperdrive
Workers VPC 経由で private database に接続可能に
Hyperdrive が Workers VPC service を通じて private database に接続できるようになりました。Public Internet に公開していない database へ Hyperdrive を接続するための推奨手段として提供されています。
Cloudflare ダッシュボードで Hyperdrive configuration を作成するときに Connect to private database から Workers VPC を選択し、既存の VPC service を選ぶか、Cloudflare Tunnel と origin host / TCP port を指定して新しく作成できます。
Wrangler からは --service-id を指定して作成できます。Workers VPC services は Hyperdrive configuration 間で再利用でき、Worker に直接 bind することもできます。
サンプル
npx wrangler hyperdrive create my-vpc-database \
--service-id <YOUR_VPC_SERVICE_ID> \
--database <DATABASE_NAME> \
--user <DATABASE_USER> \
--password <DATABASE_PASSWORD> \
--scheme postgresql
DLP
Data Classification を追加
Cloudflare DLP に Data Classification が追加されました。管理者は labels、templates、reusable data classes を使って、機密コンテンツを分類・ラベル付けできます。
sensitivity schemas / levels、data tag groups / tags などを定義し、Cloudflare managed templates から構築することもできます。作成した分類は custom DLP profiles で利用できるため、どの種類・重要度の機密情報が存在するかを一貫して判定しやすくなります。
Detection entries の管理が拡充
DLP の predefined detection entries が拡充され、GitHub PAT、OpenAI API Key、Slack Webhook、Discord Webhook、US Physical Address、Bitcoin Wallet などが追加されました。特定の credential、webhook、住所、税務 ID、金融情報、crypto wallet などを検出できます。
また、detection entries を profile の外で作成・表示・管理できるようになりました。従来は個別 profile の中に隠れていた detection entry を Detection entries section から直接管理し、custom DLP profiles で再利用できます。
PII Record 用の事前定義 DLP profile を追加
PII Record を検出する新しい predefined profile が追加されました。通常の predefined / custom DLP profiles は有効な detection entry のいずれかにマッチすると検出しますが、PII Record profile は近接範囲で少なくとも 3 種類の detection entry が見つかった場合にのみマッチします。
単独のメールアドレスや電話番号ではなく、個人情報レコードらしいまとまりを検出しやすくするための profile です。Standalone の値による false positive を抑えたい場合に使いやすそうです。
Digital Experience Monitoring
認証付きリソースへの DEX test と設定拡張
Digital experience tests が、Cloudflare Access や third-party authentication で保護されたアプリケーションのテストに対応しました。認証に必要な secrets は Cloudflare Secret Store で管理されます。
あわせて HTTP methods に DELETE、PATCH、POST、PUT が追加され、Secret Store headers、plain text headers、custom request bodies、redirect follow、response body / headers、untrusted certificate の許可など、テスト設定の幅も広がっています。
Internet outage 通知と Cloudflare One Client speed tests
Digital Experience で、Cloudflare One Client device の地域やネットワーク接続に影響する Internet outage や traffic anomaly がある場合、ダッシュボード通知が表示されるようになりました。データは Cloudflare Radar から取得されます。
また、Cloudflare One Client から Cloudflare network edge への speed test をリモート実行できるようになりました。download / upload throughput、latency、jitter、network quality score などを確認できます。
Gateway
Gateway Authorization Proxy と hosted PAC files が GA
Gateway Authorization Proxy と Cloudflare-hosted PAC files が、すべての plan type で一般提供になりました。
Authorization proxy endpoints は source IP proxy endpoints に加えて、Cloudflare Access 認証でユーザーを確認してから Gateway filtering を適用できる選択肢です。Cloudflare One Client をインストールできない VDI やコンプライアンス制約のある端末などで有用です。
Hosted PAC files は Cloudflare One から PAC file を作成・配布でき、Cloudflare の global network 上で提供されます。
Cloudflare One
サードパーティ機器とのポスト量子 IPsec 相互運用性
Cloudflare IPsec が、対応するサードパーティ機器との post-quantum key agreement に対応しました。最初の検証済みベンダーは Cisco と Fortinet で、Cisco 8000 Series Secure Routers の IOS XR Release 26.1.1、Fortinet FortiOS 7.6.6 以降が対象です。
ML-KEM-768 または ML-KEM-1024 を classical Diffie-Hellman Group 20 と組み合わせ、IKEv2 の IKE_INTERMEDIATE phase で hybrid key agreement を行います。Harvest-now, decrypt-later 型のリスクに備えたいネットワーク接続で利用できます。
DNS
Account-level enforce DNS-only を追加
Account-level の enforce_dns_only setting により、アカウント内のすべての zone で Cloudflare reverse proxy を一括無効化できるようになりました。有効化すると、proxied record に対する DNS query でも Cloudflare anycast IP ではなく origin IP が返されます。
インシデント対応時に Cloudflare proxy を一時的に外して origin へ直接流したい場面を想定した kill switch です。DNS record 自体は変更しないため、設定を無効化すれば通常の proxy behavior に戻せます。
ただし origin IP が公開され、DDoS mitigation、WAF、cache など proxy-based feature が account 全体で外れるため、事前検証と慎重な運用が必要です。現在は API のみで利用できます。
Cache
Cache Response Rules が zone versioning に対応
Cache Response Rules が Version Management に対応しました。Cache Rules と同じように、response phase の cache settings を version 内で管理し、staging で検証してから production へ promote できます。
これまでは response-phase rules が zone versioning の対象外で、Cache-Control の変更、cache tags の管理、header stripping などが全 environment に即時反映されていました。今回の変更により、環境ごとに response-phase cache behavior を分けて安全に rollout できます。
Web Analytics
Navigation Type のレポートとフィルタリングを追加
Cloudflare Web Analytics が Navigation Type の reporting と filtering に対応しました。ユーザーが link click / form submission、reload、back / forward、bfcache など、どの navigation type でページを閲覧しているかを確認できます。
Back-forward navigation が多いのに Back-forward Cache が少ない、Reload が多い、といった傾向を見ることで、browser cache や bfcache の改善余地、ページ安定性の問題を見つけやすくなります。
ダッシュボードでは Navigation Type dimension を使い、equals、does not equal、in、not in で特定 type の include / exclude filtering が可能です。
Radar
Cloud Observatory の connection metrics を改善
Radar の Cloud Observatory で、cloud provider origin servers に対する TCP round-trip time、TCP handshake duration、TLS handshake duration、response header receive duration をより細かく見られるようになりました。
Overview では AWS、Google Cloud、Microsoft Azure、Oracle Cloud の provider 別に connection metrics を比較できます。Provider page では top five regions を lowest / highest で並べ替えられ、region page では 25th percentile、median、75th percentile の分布を確認できます。
これらの view は Origins API からも取得できます。
Radar が dark mode に対応
Cloudflare Radar が dark mode に対応しました。ページ右上の theme selector から Light、Dark、System を選択できます。
選択した theme は Radar 全体、shared graph、embedded graph にも一貫して適用されます。
WAF
WAF リリース(2026-04-27)
SQL インジェクション系の検出ルールを中心に、Cloudflare Managed Ruleset の更新が入りました。
主な変更は以下のとおりです。
- PostgreSQL - SQLi - COPY:
COPY構文を悪用する SQL インジェクション検出を Body / Headers / URI 向けに追加 - SQLi - AND/OR MAKE_SET/ELT: MySQL 関数を使った条件式ベースの SQL インジェクション検出を追加
- SQLi - Benchmark Function:
BENCHMARK関数を使った時間差・負荷系の SQL インジェクション検出を追加 - SQLi - Destructive Operations: 破壊的な SQL 操作を狙う検出を追加
多くのルールが Log から Block へ移行しているため、Managed Ruleset のアクションを独自に調整している場合は Security Events dashboard で影響を確認しておくとよいでしょう。
cPanel / WHM 認証バイパス向けの緊急 WAF リリース
cPanel & WHM の認証バイパス脆弱性(CVE-2026-41940)に対する検出ルールが追加されました。未認証のリモート攻撃者が管理画面への認証を回避できる可能性がある脆弱性で、Cloudflare Managed Ruleset では新しい検出が Block として追加されています。
WAF で攻撃リクエストを抑止しつつ、対象環境では cPanel & WHM 側の公式修正も適用しておく必要があります。
Security Center
Brand Protection に unified workspace を追加
Brand Protection に unified investigation workspace が追加されました。複数の saved queries を選択し、Combined Matches view として 1 つの table にまとめて調査できます。
クエリごとのページを行き来する代わりに、複数 brand query の結果を横断的に triage しやすくなります。Query extended views を tab として開けるため、複数の調査コンテキストを保ったまま切り替えられます。
Resource Tagging
Resource Tagging が public beta に
Resource Tagging が public beta になりました。Cloudflare resources に custom key-value metadata を付与し、account 全体から query できます。
Zone、custom hostnames、Cloudflare Tunnels、Workers、D1 databases、R2 buckets、KV namespaces、Durable Object namespaces、Queues、Stream videos、Images、Access applications、Gateway rules、AI Gateways など広い resource type に対応します。
Tag query は AND / OR、negation、key-only matching を組み合わせられ、1 query あたり最大 20 filters まで指定できます。API を中心に設計されていますが、Cloudflare dashboard の Manage Account > Resource Tagging から tagged resources の確認や tag の追加・編集もできます。
Cloudflare Fundamentals
Cloudflare 5xx error responses が構造化形式に対応
Cloudflare が生成する 5xx error responses が、agent から要求された場合に structured JSON / Markdown を返すようになりました。対象は Cloudflare 側で生成される 500、502、504、520〜526 で、origin が直接返す 5xx は対象外です。
JSON response は RFC 9457 Problem Details for HTTP APIs に沿い、error_category で origin、cloudflare、ssl のどこに原因があるかを示します。Retry 可能な 500、502、504、520〜524 では body の retry_after と同じ値の Retry-After header も返ります。
AI agent や監視ツールが Cloudflare error page を解釈するときに、HTML scraping ではなく構造化された fault attribution と retry hint を利用できるようになります。
Instant Bank Payments via Link に対応
US-based self-serve accounts で、Link を使った bank account payment が利用可能になりました。Checkout 時に Link に保存済みの bank account を選択でき、未登録の場合はその場で接続できます。
既存の card payment は引き続き利用でき、billing history では payment method が link、last four digits が 0000 として表示されます。
Support
ダッシュボードから Support Portal へ直接遷移
Cloudflare dashboard の global navigation header にある Support button が、dropdown menu ではなく Cloudflare Support Portal へ直接遷移するようになりました。
以前は Help Center や Cloudflare Community などのリンクが並ぶ dropdown が表示されていましたが、サポートが必要なときにすぐ portal へ移動できるようになります。
SDK
Go SDK v7.0.0 がリリース
Cloudflare Go SDK v7.0.0 が公開されました。ai_search、email_security、workers の 3 package に破壊的変更が含まれる major release です。
AI Search では SearchForAgents metadata 関連型が削除されました。Email Security では複数 sub-resource の path parameter type 変更、Investigate の parameter rename、Domains bulk delete method の削除、返り値 type の変更などがあります。Workers では observability telemetry filter parameter が nested filter groups を扱えるように再構成されています。
新機能として、organization audit logs、Browser Rendering DevTools の target close、Queues metrics、AI Search の synchronous indexing confirmation 用 WaitForCompletion parameter などが追加されています。
Python SDK v5.0.0 がリリース
Cloudflare Python SDK v5.0.0 が公開されました。Python 3.8 のサポートが終了し、最小バージョンは Python 3.9 になりました。typing-extensions の最小バージョンも >=4.14 に引き上げられています。
AI Search、Connectivity、Email Sending、Fraud、Google Tag Gateway、Organizations、R2 Data Catalog、Realtime Kit、Resource Tagging、Token Validation、Vulnerability Scanner など 11 の top-level resources が追加されました。
Async client では optional な aiohttp HTTP backend に対応し、Python 3.13 / 3.14 も test / support 対象になっています。
TypeScript SDK v6.0.0 がリリース
Cloudflare TypeScript SDK v6.0.0 が公開されました。11 の新しい top-level resources、50 以上の既存 resources に対する new sub-resources / methods、SDK infrastructure の改善、v5.x line からの破壊的変更を含む major release です。
Infrastructure 面では Retry-After handling、empty response handling、空文字環境変数の扱い、path query parameter merging が変更されています。Delete operations を中心に返り値が null になる method も増えています。
新しい top-level resources には AI Search、Connectivity、Email Sending、Fraud、Google Tag Gateway、Organizations、R2 Data Catalog、Realtime Kit、Resource Tagging、Token Validation、Vulnerability Scanner が含まれます。
Speed
Shared dictionaries passthrough が open beta に
Shared dictionaries passthrough がすべての plan で open beta になりました。Shared dictionaries は、origin が前回 version の resource を辞書として使い、差分だけを圧縮して送る仕組みです。
Passthrough mode では、Cloudflare が Use-As-Dictionary と Available-Dictionary headers を client / origin 間でそのまま転送し、dcb と dcz の Content-Encoding を end-to-end で扱います。Cache key も Available-Dictionary と Accept-Encoding で vary するため、delta-compressed variant が正しく cache されます。
Chrome 130 以降と Edge 130 以降が dcb / dcz を advertise する browser として対応しています。Origin 側で dictionary lifecycle を管理できる場合、JavaScript bundle などの転送量削減に効きそうです。
サンプル
curl "https://api.cloudflare.com/client/v4/zones/$ZONE_ID/settings/shared_dictionary_mode" \
--request PATCH \
--header "Authorization: Bearer $CLOUDFLARE_API_TOKEN" \
--json '{
"value": "passthrough"
}'
Discussion