こんにちは、あさひです 🙋♂️ 今週の Cloudflare のアップデートをまとめていきます!
この記事の主旨
この記事では、前週に Cloudflare のサービスにどんな変更があったかをざっくりと理解してもらい、サービスに興味を持ってもらうことを目的としています。そのため、変更点を網羅することを優先します。
2026/05/03 ~ 2026/05/09 の変更
Wrangler
4.88.0
マイナーアップデート
-
wrangler ai-search createが builtin storage に対応-
--type builtinを指定すると、R2 や Web crawler ではなく Cloudflare 管理のストレージを使う AI Search instance を作成できます - builtin storage では
--source、--prefix、--include-items、--exclude-itemsは指定できません
-
-
wrangler ai-search createで custom metadata を設定可能に- interactive wizard、
--custom-metadata field:type、--custom-metadata-schemaで index 対象の metadata schema を指定できます -
text、number、boolean、datetimeの型を指定できます
- interactive wizard、
-
wrangler deployが不足している name とcompatibility_dateを対話的に確認するように- 設定ファイルや CLI 引数に project name / compatibility date がない場合、すぐ失敗せずにプロンプトで補完できます
- 設定ファイルがない場合は、補完した値を
wrangler.jsoncに保存する導線も追加されています
-
secrets設定が安定版に-
secrets.requiredを Wrangler 設定に書いても experimental warning が出なくなりました - local development、deploy、type generation で必要な secret の source of truth として扱われます
-
パッチアップデート
-
wrangler deployで--aliasCLI フラグが正しく反映されるよう修正 -
unsafe.bindingsのtype: "service"に対してwrangler typesがFetcher型を生成するよう修正 -
wrangler previewがpreviews.flagshipを受け取り、Preview deployment に Flagship binding を含められるよう修正 -
unstable_getMiniflareWorkerOptionsで service binding のpropsやfetchertype binding が落ちる問題を修正 -
wrangler versions deployで CLI 引数に version が渡されている場合、確認プロンプトをスキップするよう修正 -
wrangler dev --host利用時にOrigin/Refererheader の port を保持するよう修正 - 依存関係を更新
workerd@1.20260501.1workerd@1.20260504.1miniflare@4.20260504.0
サンプル
wrangler ai-search create docs --type builtin
wrangler ai-search create docs \
--type r2 --source docs-bucket \
--custom-metadata title:text \
--custom-metadata updated_at:datetime
{
"secrets": {
"required": ["API_KEY", "DB_PASSWORD"]
}
}
4.89.0
マイナーアップデート
- Workers の
cache設定を追加- Wrangler 設定に
{ cache: { enabled: true } }を書くことで、Worker のfetchhandler の前段に HTTP cache を有効化できます -
[previews]側にも設定でき、Preview deployment ではpreviews.cacheが top-level のcacheを上書きします
- Wrangler 設定に
- Miniflare-backed commands が local
workerdruntime をTZ=UTCで起動するよう変更-
wrangler dev、wrangler kv、wrangler d1、wrangler r2、wrangler checkなどで、ローカルと本番の timezone 差分を減らせます - ローカル timezone 前提の
Date/Intl処理がある場合は、明示的に timezone を指定する必要があります
-
パッチアップデート
-
_routes.jsonが invalid JSON の場合に、無言でスキップせず分かりやすいエラーを出すよう修正 -
wrangler types --check --env-fileが.dev.varsの存在により stale types を見逃す問題を修正 -
wrangler previewで Preview deployment にassetsbinding が伝播しない問題を修正 -
wrangler whoamiと interactive account picker で、現在の認証から利用できる account のみを表示するよう修正 -
wrangler containers --helpとwrangler containers ssh --helpにcontainers sshを表示するよう修正 - 依存関係を更新
workerd@1.20260506.1workerd@1.20260507.1miniflare@4.20260507.0
サンプル
{
"cache": {
"enabled": true
},
"previews": {
"cache": {
"enabled": false
}
}
}
4.89.1
パッチアップデート
- Workers for Platforms の user worker で Container deployment がスキップされる問題を修正
-
--dispatch-namespaceを使った deploy でも、Durable Object namespace と image を紐づける container-app registration が実行されるようになりました
-
- 依存関係を更新
miniflare@4.20260507.1
4.90.0
マイナーアップデート
- Queue producer binding の
delivery_delayに deprecation warning を追加-
[[queues.producers]]のdelivery_delayは 2024 年以降実際には効果がなかったため、今後は queue-level settings をwrangler queues updateで設定するよう案内されます - 将来のバージョンで削除予定です
-
パッチアップデート
- Containers SSH config を修正
- Account API Token 利用時に
wrangler whoamiと account selection が失敗する問題を修正-
/membershipsfallback のエラーコード判定を修正し、必要に応じて/accountsへ fallback できるようになりました
-
- 依存関係を更新
miniflare@4.20260507.1
Workers AI
Workers AI の一部モデルが非推奨化予定に
Workers AI のモデルカタログ更新に伴い、一部モデルが 2026/05/30 に非推奨化される予定です。@cf/moonshotai/kimi-k2.5 は当初 2026/05/10 に非推奨化予定でしたが、2026/05/30 まで延長され、同日に @cf/moonshotai/kimi-k2.6 へ自動 alias されます。
推奨移行先として、@cf/zai-org/glm-4.7-flash、@cf/google/gemma-4-26b-a4b-it、@cf/moonshotai/kimi-k2.6 が案内されています。Kimi K2.6 は価格も変わるため、本番利用している場合は移行前にモデルの応答品質とコストを確認しておくとよさそうです。
-fast や -lora の variant は引き続き利用できますが、LoRA models も将来的には非推奨化される可能性があります。
Workers
React / Next.js 脆弱性に対する WAF と adapter 側の対応
React Server Components と Next.js に関連する複数の脆弱性について、Cloudflare 側の WAF protections と framework adapter の状況が公開されました。DoS、middleware / proxy bypass、SSRF、XSS、cache poisoning など幅広い影響があり、React と Next.js の patched version への更新が強く推奨されています。
Cloudflare WAF では、既存の React DoS 向け managed rules が新たに公開された DoS 脆弱性にも coverage を提供しているとのことです。一方で、WAF では安全に防げない脆弱性もあるため、アプリケーション側の依存関係更新が前提になります。
Cloudflare の Next.js 関連 adapter では、Vinext は影響を受ける実装と異なる構成で vulnerable ではなく、OpenNext on Cloudflare は adapter 側の hardening と fixture / example の更新が行われています。Next.js アプリを Workers に載せている場合は、adapter だけでなくアプリ側の Next.js version も確認しておきたい内容です。
Worker-to-Worker / Durable Object subrequest の自動 tracing
Workers の automatic tracing が、Worker-to-Worker subrequest、service binding、Durable Object 呼び出しをまたいだ単一 trace に対応しました。これまで別 trace として分かれていた呼び出しが nested child span として見えるようになります。
複数 Worker や Durable Object で構成されたアプリケーションでは、1 つの request がどこで遅くなっているかを追いやすくなります。Cloudflare dashboard での確認だけでなく、OpenTelemetry export と組み合わせて外部 observability platform へ送る運用にも向いています。
利用には Wrangler 設定で tracing を有効にしておく必要があります。
Cloudflare One Appliance
DHCP server の custom options に対応
Cloudflare One Appliance が LAN の DHCP server として動作している場合、lease に custom DHCP options を設定できるようになりました。PXE / iPXE boot、VoIP phone provisioning、vendor-specific client configuration などに利用できます。
各 option は option_number、value、text / integer / hex / ip の value type で定義します。設定は appliance 側で検証され、無効な設定は適用されないため、誤った option が稼働中の DHCP service を壊しにくい形になっています。
source-based breakout と prioritization を追加
Cloudflare One Appliance の breakout / traffic prioritization rules が、destination application だけでなく source でも match できるようになりました。source LAN interface、source IP address、range、CIDR block を条件に指定できます。
たとえば guest VLAN だけを local Internet へ breakout したり、特定 subnet からの traffic を優先したりする場合に、destination application を列挙せず自然に表現できます。
Virtual Appliance を API から self-serve provisioning 可能に
Cloudflare One Virtual Appliance の instance と license key を、API と Terraform から作成、rotate、削除できるようになりました。
POST /accounts/{account_id}/magic/connectors で device.provision_license: true を指定すると virtual appliance と license key を作成できます。既存 appliance の license key rotate は PATCH /accounts/{account_id}/magic/connectors/{connector_id} で行えます。License key は作成または rotate 時に一度だけ返るため、安全な保管が必要です。
Security Center
RFI history の CSV export と page density 調整に対応
Security Center の Requests for Information history を CSV export できるようになりました。RFI data を外部の reporting、auditing、調査用ツールへ渡しやすくなります。
また、dashboard view で 1 page あたり 10 / 25 / 50 件の RFI records を読み込めるようになり、大量の履歴を扱う場合の確認がしやすくなっています。Cloudforce One subscribers 向けの改善です。
Threat Events API が TAXII format に対応
Cloudforce One Threat Events API が TAXII を output format としてサポートしました。SIEM、TIP、SOAR など、TAXII 形式の threat intelligence feed を扱うセキュリティ基盤へ Cloudflare の threat data を直接取り込みやすくなります。
利用時は Threat Events API の format query parameter に taxii を指定します。STIX / TAXII ベースで indicator data を同期している組織では、独自変換スクリプトを減らせそうです。
Stream
Stream Bindings for Workers が利用可能に
Workers から Stream video library を扱える Stream binding が追加されました。REST API call や signing key 管理を Worker 側で直接実装しなくても、video upload、direct upload link の作成、metadata 管理、signed playback token の生成などができます。
動画生成 AI と組み合わせて生成結果を直接 Stream に upload したり、Worker 内で video metadata や captions、downloads、watermarks を管理したりする pipeline を組みやすくなります。
Wrangler 設定では stream.binding に binding 名を指定します。
サンプル
{
"stream": {
"binding": "STREAM"
}
}
const token = await env.STREAM.video(videoId).generateToken();
const details = await env.STREAM.video(videoId).details();
Email Security
PhishNet O365 に Cloudy summaries を追加
PhishNet users が email investigation experience の中で Cloudy summaries を確認できるようになりました。メールの header、body、detection signals を手作業で読み解かなくても、AI-generated summary でメッセージの性質や重要な context を把握できます。
この summary は customer data で training されるものではなく、既存の detection models と analysis systems の output から生成されます。まずは Office 365 向けに提供され、Gmail support は四半期末までに提供予定です。
Cloudflare One
Cloudflare Mesh が IPv6 CIDR routes に対応
Cloudflare Mesh nodes が IPv6 CIDR routes を advertise できるようになりました。IPv4 と IPv6 の subnet を Mesh nodes 経由で公開できるため、IPv6-only や dual-stack の private network に enrolled device から到達しやすくなります。
IPv4 route と同じ手順で、dashboard または API から IPv6 CIDR を追加できます。Mesh を使って private network 接続を統一している環境では、IPv6 の扱いがかなり自然になります。
Radar
TLD authoritative nameserver performance insights を追加
Radar に TLD authoritative nameserver の performance insights が追加されました。Cloudflare の 1.1.1.1 resolver infrastructure から TLD nameservers へ forwarding したときの response time を観測できます。
TLD detail page では、aggregate nameserver latency、nameserver ごとの median latency、data center country ごとの geographic distribution、TLD ranking over time、rank change deltas などを確認できます。
TLD Performance API として、summary と timeseries groups の endpoints も提供されています。レジストリや DNS 運用に関わる人にとって、TLD 側の応答性能を外部から把握しやすくなるアップデートです。
Routing section に新しい widgets を追加
Radar の Routing section に、country pages の Top ASes by announced IP space chart と、RPKI sub-page の RPKI ROA deployment timeseries widget が追加されました。
Top ASes by announced IP space では、国ごとの IPv4 / IPv6 address space がどの autonomous system から announce されているかを確認できます。RPKI ROA deployment timeseries では、valid ROA で cover されている BGP space の割合を prefix share または IP address space share で追跡できます。
これらの data は BGP API の /bgp/ips/top/ases と /bgp/rpki/roas/timeseries からも取得できます。
Cache
Cloudflare cache が Pingora ベースの proxy へ移行
Cloudflare の cache が、Rust ベースの framework である Pingora 上に構築された新しい proxy で動作するようになりました。接続再利用による per-request overhead の削減、cache retention 改善による MISS 削減、HTTP caching standard に沿った挙動の改善などが含まれます。
新機能として、asynchronous stale-while-revalidate と unbuffered bypass by default が挙げられています。stale content を即返しながらバックグラウンドで revalidation することで、期限切れ直後の request が origin を待つ時間を減らせます。cache bypass の response は buffer せず直接 client へ stream されるため、uncacheable content の TTFB 改善にもつながります。
挙動変更として、Vary: * の response は cache bypass になり、cacheable asset の MISS / EXPIRED response でも Set-Cookie が strip され、floating-point TTL は切り捨てられるようになっています。
Cloudflare Fundamentals
Cloudflare dashboard に keyboard shortcuts を追加
Cloudflare dashboard で keyboard shortcuts が利用できるようになりました。? を押すと shortcuts 一覧を確認できます。
g h で Home、g a で account overview、g z で zone overview、g w で Workers & Pages、g o で Zero Trust など、主要ページへキーボードだけで移動できます。tab 移動、table pagination、quick search、account / zone switching、dark mode toggle、current URL copy などの操作にも shortcut が用意されています。
Dashboard を日常的に操作する人にとって、細かな移動時間を減らせる便利な改善です。不要な場合は profile settings から無効化できます。
Pipelines
Pipelines と R2 Data Catalog が Terraform に対応
Cloudflare Pipelines と R2 Data Catalog を Terraform から管理できるようになりました。Cloudflare Terraform provider v5.19.0 でサポートされています。
追加された resource は、R2 bucket で data catalog を有効化する cloudflare_r2_data_catalog、ingestion 用 stream の cloudflare_pipeline_stream、R2 Data Catalog や R2 へ書き込む sink の cloudflare_pipeline_sink、stream と sink を SQL でつなぐ cloudflare_pipeline です。
ログやイベントを Pipelines で取り込み、R2 Data Catalog の Iceberg table に保存する構成を IaC として管理しやすくなります。データ基盤の環境差分を Terraform でレビューしたい場合に使いやすそうです。
WAF
WAF リリース(2026-05-04)
Command Injection、SQL injection、PHP Object Injection、Remote Code Execution、XSS などに対する Managed Ruleset の検出が拡充されました。
主な変更は以下のとおりです。
- XSS / HTML Injection Object Tag: Body / Headers / URI 向けの検出を整理し、一部は
LogからBlockへ移行 - Command Injection Generic 9: Body / Header / URI vector 向けの beta rule を追加
- Command Injection Sleep: Body / Headers / URI 向け検出を追加または整理
- Fortinet FortiSandbox Command Injection(CVE-2026-39808)を
Blockで追加 - SmarterMail Remote Code Execution(CVE-2026-24423)を
Blockで追加 - SQLi DROP 2、PHP Object Injection 2、Remote Code Execution Common Bash Bypass などの検出を追加
一部 rule は Block から Disabled へ変更されています。Managed Ruleset の action を独自に調整している場合は、Security Events dashboard で影響を確認しておくとよさそうです。
Next.js middleware / proxy bypass 向けの緊急 WAF リリース
Next.js App Router の middleware / proxy bypass attempt を検出する新しい WAF rule が追加されました。対象は CVE-2026-44575 で、segment-prefetch routes を通じて authorization checks を回避される可能性がある脆弱性です。
Cloudflare Managed Ruleset には新しい検出が追加されていますが、根本対応として Next.js 15.5.16 または 16.2.5 以降への更新が推奨されています。すぐ更新できない場合でも、middleware だけに authorization を依存させず、route / page logic 側でも認可を強制する必要があります。
Discussion