最近,Cloudflare 发布了 Cloudflare One 套件,这是一个开源的代理技能库,可以为 AI 代理提供规划、部署、管理和迁移零信任环境所需的知识,而且不需要从业人员事先学习完整的产品套件。这些技能以两个轻量级文件的形式发布,任何智能代理均可以加载:cloudflare-one 用于提供产品指导,cloudflare-one-migration 用于实现供应商间的转换,其中包含从 Zscaler 和 Palo Alto Networks 迁移的明确逻辑。来自 Cloudflare 的 AJ Gerstenhaber 和 Abe Carryl 写道:
各团队已经开始使用智能代理来编写代码、筛选警报以及自动化工作流。但仅凭智能代理本身,并不能掌握组织特有的网络拓扑或供应商配置的细微差别。
迁移功能是最能让安全团队立即受益的部分。只需让智能助手将你的 Zscaler Private Access 应用程序迁移到 Cloudflare Access,该技能便能自动将 Zscaler 应用程序的定义映射到 Cloudflare 的对等功能,转换用户组和策略,通过 Cloudflare API 创建资源,并生成一份汇总报告,列明那些项已经迁移完成,哪些项需要人工审核。该迁移采用了与 Cloudflare Descaler 和 Deskope 计划相同的逻辑。这两项计划已经帮助企业客户在数小时内(而非数月)从 Zscaler 和 Netskope 迁移至 Cloudflare。该技术栈使任何客户或合作伙伴都可以自行迁移,无需预约任何专项服务。
每个技能文件都包含结构化知识、决策树和工具定义,当上下文匹配时,代理会自动加载这些内容。此外,cloudflare-one 技能涵盖了完整的生命周期:使用 Cloudflare Access 替代 VPN;通过 Gateway 保障用户和网络安全;通过 Tunnel、Mesh 和 WAN 实现连接;使用数字体验监控(DEX)工具包进行故障排除;根据实时账户中观察到的流量提供自动规则建议。只需要求代理替换你的 VPN 基础设施,该技能便会盘点现有的应用程序,将每个应用程序映射到相应的 Cloudflare 基础组件,生成一套能最大限度减少切换期间服务中断的部署序列,并在应用任何更改之前生成配置摘要供团队审核。
当与 Cloudflare 代码模式 MCP 服务器配合使用时,这些技能将获得一个 Cloudflare API 的类型化接口。这样一来,代理就可以查询实时账户配置,检查策略,并通过经过精心设计的流程进行修改,而非通过临时的 API 调用。由于 MCP 服务器会单独处理身份验证凭据,所以这些凭据不会进入模型上下文。
实际的问题在于,安全团队是否已经准备好让代理参与零信任配置。该技术栈采用“应用前审核”的模式:代理提出变更建议并生成摘要,但在任何变更提交之前,必须由安全从业人员进行审核和批准。正如一位安全从业人员在 X 上指出的那样:
这并非取代安全团队,而是缩短了从意图到配置策略的流程。企业需要考虑的是,是否生成的每项变更都附有审批、差异对比、负责人及回滚信息。
安全基础设施的边界需得把握得当,否则配置错误的网关策略或不正确的访问应用程序映射可能会导致内部服务暴露或用户被锁定。
对于 Cloudflare 的合作伙伴网络而言,该技术栈相当于一整套打包的专业知识。为客户部署 Cloudflare One 的合作伙伴可以利用这些技能加快部署速度、更准确地排查故障,并减少此前需要手动操作且容易出错的供应商转换工作所耗费的时间。
Cloudflare One 技术栈现已在 GitHub 上发布。针对更多迁移来源和高级故障排除工作流的新技能正在开发当中。
原文链接:https://www.infoq.com/news/2026/06/cloudflare-one-stack-agents/





