La semana pasada, auditando los tokens API de mi cuenta de Cloudflare, encontré uno que yo nunca había creado: «Cloudflare Agent Token – 2026-04-28», creado por el asistente de IA del panel de Cloudflare («Ask AI»).
El propio tooltip de Cloudflare dice que existe para que la IA pueda «entender tu entorno y actuar en tu nombre».
Lo que concede de verdad, según la página de resumen del token: acceso de lectura sobre todas las cuentas, todas las zonas y todos los usuarios — más de 160 permisos. Todos terminan en :Read: no puede modificar nada. Pero «solo lectura» se queda corto. La lista incluye Secrets Store:Read, Access: Keys:Read, Access: Service Tokens:Read, Zero Trust: PII:Read, Logs:Read, Account Audit Logs:Read, Billing:Read, API Tokens:Read, y toda la configuración de DNS, Access e identity providers que tengas.
Y además no caduca nunca.
Que se filtre un token así no es «un atacante reconfigura tu infraestructura». Es reconocimiento y exfiltración de datos totales: tu postura de seguridad, tus logs, tu PII, la estructura de tu organización y tus usuarios — todo legible de una sola pasada. Para la mayoría de equipos eso es, por sí solo, una brecha notificable.
Usé la función «Ask AI». Eso acuñó una credencial permanente, de ámbito total sobre la cuenta, que llevaba tres semanas en mi cuenta antes de que diera con ella por casualidad — y, al no caducar, habría seguido siendo válida para siempre. Nadie me informó de forma significativa de que hacer una pregunta provocaría esto, y «Ask AI» no sugiere «aprovisiona un agente permanente que puede leer todo lo que tengo».
Un asistente que responde una pregunta necesita acceso de lectura acotado a esa pregunta, durante esa conversación. Una credencial permanente que lee todo tu patrimonio digital es otra cosa distinta, y tiene que ser una decisión deliberada, informada y visible.
Comprueba el tuyo: dash.cloudflare.com/profile/api-tokens. Si ves «Cloudflare Agent Token» y no usas el agente, revócalo.
Sí: es de solo lectura, de primera parte y revocable. Pero no caduca nunca, y nunca se me mostró — así que «revocable» no significa nada si no sabes ya que tienes que ir a buscarlo. Nada de eso hace que el acceso de lectura permanente a tus secretos, tus logs y tu PII sea proporcionado a «le hice una pregunta a un chatbot».
Read this article in English.
