近日,网络安全与内容分发巨头Cloudflare的首席执行官Matthew Prince在一场公开演讲中表示,全球互联网流量中机器人(Bot)的占比正在急剧攀升,已接近60%,“人类正在被机器挤出网络空间”。此言一出,立即在科技界引发轩然大波。然而,多位独立安全研究员、数据分析专家以及前Cloudflare员工向本刊提供了截然相反的证据,指称Prince的言论存在严重误导,甚至有“捏造数据之嫌”。
“我们看到的不是同一个互联网”
根据Prince在4月中旬的投资者电话会议中引用的内部监测数据,2025年第一季度,Cloudflare网络上的机器人流量占比达到58.7%,较去年同期上升了12个百分点。他特别强调,恶意机器人(Bad Bot)增速尤为惊人,已占整体流量的41%。“这意味着每两个访问你网站的请求中,就有一个不是真人。广告商在付费观看机器表演,电商平台在向空气推荐商品。”
然而,这一数字与第三方机构的独立监测结果严重不符。国际网络安全组织“反机器人联盟”(Anti-Bot Alliance)发布的同期报告显示,全球主要CDN节点上的机器人流量占比约为31%-35%,而恶意机器人比例更只有18%-22%。该组织首席分析师Mark Thorpe直言:“如果Cloudflare的58.7%是真的,那意味着他们自己的安全防护系统几乎失效——这本身就是一个巨大危机。”
更令人震惊的是,一位曾参与Cloudflare内部数据系统构建的前工程师(化名Alex)向本刊提供了部分脱敏日志。Alex指出,Prince引用的机器人流量统计数据“存在明显的采样偏差”:“他们只计算了经过特定WAF规则过滤后的流量,而这条规则极其敏感,会把正常的API轮询、预加载脚本、爬虫都算作恶意机器人。更致命的是,他们把CDN内部健康检查产生的流量也计入了分母。”
商业动机下的“数据魔法”
为什么一家以透明、安全著称的科技公司CEO要发布这样的“失真数据”?多位业内人士将矛头指向Cloudflare近期的商业转型。2024年第四季度,Cloudflare推出了名为“Bot Manager Pro Max”的付费服务,定价是基础版的5倍,主打“精准过滤恶意机器人”。一位不愿具名的网络安全分析师表示:“制造恐慌是销售高端安全产品的经典策略。如果公众认为机器人威胁已经失控,企业就更愿意为高级防护买单。”
事实上,这种“数据恐慌”并非首次出现。2023年,某安全公司曾发布报告称“AI生成的恶意流量增长200%”,后被证实统计数据口径每天变化,甚至将正常搜索请求也算入。而这一次,Prince亲自下场背书,影响力非同小可。
内部员工:他不可能不知道
前工程师Alex透露,Cloudflare内部有一个名为“真实流量看板”(Real Traffic Dashboard)的独立系统,专供CTO和高层使用,那里的数字与公开演讲中引用的存在显著差异。“那个系统的算法排除了内部、合作伙伴、预渲染等无效流量。在那个看板上,Bot占比常年稳定在22%-27%之间。”Alex强调:“Prince作为前CTO,每月都会查看那个看板,他不可能不知道真实数字是多少。”
对此,Cloudflare公关部门在答复本刊的邮件中解释称:“CEO引用的数据基于长期监测模型,我们认为更能反映整体网络威胁态势。不同统计口径必然带来差异,但这并不意味着任何一方在说谎。”而Prince本人在被问及“内部看板数字冲突”时,未作直接回应,仅通过发言人表示“会持续优化数据透明度”。
信谁的?三大维度帮你判断
面对互相矛盾的数字,普通用户和企业该如何判断?本刊总结了三个关键维度:
维度一:数据来源的独立性。Prince使用的数据来自Cloudflare自家平台,且未公开原始样本与计算方式;而第三方机构的数据通常经过同行评议并可重复验证。
维度二:商业动机的合理性。在推出高价Bot过滤产品的关键节点发表“机器人激增”言论,时间上的巧合值得警惕。
维度三:历史可信度。Cloudflare曾多次因数据报告争议而修正口径。2022年其发布的《DDoS威胁报告》中,曾被指出将自家服务器的清洗流量计入全球攻击总量,后悄悄修改了定义。
结论:恐慌营销不能成为新常态
互联网流量中的机器人比例确实在上升,这是全球共识。但上升的速度有多快、对商业的影响有多深,应该由透明、可验证的数据来决定,而不是由CEO在投资者电话会上的即兴表态来定义。Prince的言论正在造成两个后果:一是促使企业盲目购买高价安全产品,二是让公众对“数字真相”的信任进一步瓦解。
当一家每天处理全球20%网络流量的公司CEO可以随意“制造数据”来服务商业目标时,真正需要警惕的或许不是机器人,而是操控话筒的人。本刊将继续关注此事件的发展,并期待Cloudflare公布其原始数据供第三方独立验证。