2026年2月12日、Cloudflareは有料プラン向け新機能「Markdown for Agents」を発表した。AIエージェントがWebページをリクエストする際、Cloudflareのエッジが自動的にHTMLをMarkdownに変換して提供する機能である。しかし翌2月13日、SEOコンサルタントのデイビッド・マクスウィーニー氏がこの実装に重大な欠陥があると指摘した。
同氏の検証によると、AIエージェントが送信する Accept: text/markdown ヘッダーがCloudflareを経由してオリジンサーバーにそのまま転送されるため、サイト運営者は人間向けとエージェント向けで異なるコンテンツを出し分けるクローキングが可能になる。同氏はCloudflare Pro環境で概念実証を行い、エージェントにのみ「汚染された」ページが提供されることを確認した。
この仕組みは間接的プロンプトインジェクションにも悪用されうるとし、修正案としてCloudflareがエッジでAcceptヘッダーを除去または無害化すべきだと提言している。
From: The Shadow Web: How Cloudflare’s “Markdown for Agents” Unintentionally Breaks the Web’s Trust Model
【編集部解説】
Cloudflareは世界のWebトラフィックの約20%を処理し、4100万以上のWebサイトにサービスを提供するインフラ企業です。その同社がAIエージェント向けにWebページを自動変換する機能を提供したことの影響は、単なる一機能のリリースにとどまりません。
今回の「Markdown for Agents」が注目される背景には、AIエージェントによるWeb閲覧が急速に拡大している現実があります。Cloudflareの2025年年次レポートによると、AIボットからのHTMLリクエストは年間平均でHTML全体の4.2%を占め、ピーク時には6.4%に達しました。こうしたAIトラフィックの増大に対応するインフラ整備は、業界全体にとって避けられない課題となっています。
機能そのものの利点は明確です。Cloudflare自身のブログ記事を例にとると、HTMLで16,180トークンだったものがMarkdown変換後は3,150トークンとなり、約80%の削減を実現しています。トークン数はAIの処理コストと直結するため、大量のWebページを処理するAIシステムにとっては大幅なコスト削減につながります。
一方で、マクスウィーニー氏が指摘した問題の核心は、Cloudflareが Accept: text/markdown ヘッダーをオリジンサーバーにそのまま転送する設計にあります。これにより、サイト運営者はリクエスト元が「AIエージェントか人間か」を容易に判別でき、それぞれに異なるコンテンツを出し分けることが技術的に可能になります。同氏はCloudflare Pro環境で実際にこの動作を確認しており、概念実証としての信頼性は高いと考えられます。
ただし、この問題を評価する際にはいくつかの文脈を押さえておく必要があります。まず、HTTPコンテンツネゴシエーション自体は長年使われてきた標準的な仕組みであり、たとえばWebPとJPEGのように同一コンテンツを異なるフォーマットで提供すること自体は正当な技術です。Cloudflare側の意図は、あくまでフォーマットの最適化であって、コンテンツの差し替えではありません。
また、Search Engine Journalの報道では、Googleのジョン・ミューラーがMarkdown専用ページの作成について懸念を示した発言は、User-Agentに基づく出し分け(従来型クローキング)を指したものであり、コンテンツネゴシエーションによる形式変換とは異なる文脈であったことが指摘されています。GoogleはコンテンツネゴシエーションによるMarkdown提供がクローキングポリシーに該当するかどうかについて、現時点で公式見解を示していません。
とはいえ、マクスウィーニー氏の懸念を「杞憂」と片付けることもできません。テクニカルSEOコンサルタントのジョノ・アルダーソン氏もSearch Engine Landの取材に対し、機械専用の表現が生まれた時点で「ページの2つ目の候補となる現実」が生まれると述べています。意図が善であっても、悪用可能な構造が残っている限り、リスクは存在し続けます。
特に注視すべきは「エージェンティックWeb」への影響です。現在のAIエージェントは、単にWebを閲覧するだけではなく、ユーザーの代わりに商品の購入やフライトの予約、APIの操作まで行います。もしエージェントに対して人間とは異なる価格情報やポリシーが提示される仕組みが定着すれば、その被害は従来のSEOスパムとは比較にならない規模に及ぶ可能性があります。
もう一つの論点は、Webの「発見モデル」の整合性です。AI検索は従来の検索エンジンのインデックスに依存して結果を取得しています。検索エンジンが人間向けHTMLでインデックスした内容と、エージェントがMarkdownリクエストで受け取る内容が異なれば、検索結果の信頼性そのものが揺らぎかねません。
Yoast SEOの開発者であるヨースト・デ・ファルク氏は、Cloudflareの発表とほぼ同時期にWordPress向けのMarkdown Alternateプラグインを公開しました。こちらは <link rel="alternate" type="text/markdown"> タグにより、エージェント側からMarkdown版の存在を発見できる設計です。Cloudflareのアプローチとは補完関係にあり、この領域のエコシステムが急速に形成されつつあることがわかります。
今回の事案は、AIとWebの境界面で起きている構造的な変化を象徴しています。効率化の追求とセキュリティの確保、パブリッシャーの権利保護とAIエージェントの利便性。これらの均衡点を見つける作業は始まったばかりであり、Cloudflareがヘッダー転送の設計を見直すかどうかが、今後の業界標準を左右する一つの分岐点となりそうです。
【用語解説】
Markdown(マークダウン)
テキストの書式設定を簡易な記号(#、*、-など)で記述する軽量マークアップ言語である。HTMLに比べて装飾情報が少なく、AIが処理する際のトークン消費を大幅に削減できる。
エッジ(Edge)
CDN(コンテンツ配信ネットワーク)においてユーザーに最も近い拠点のこと。Cloudflareのエッジでの変換とは、オリジンサーバーではなくCloudflareのネットワーク上でHTML→Markdown変換を行うことを指す。
オリジンサーバー(Origin Server)
Webサイトの元データを保持するサーバーのこと。CDNはこのオリジンからコンテンツを取得し、キャッシュを経由してユーザーに配信する。
クローキング(Cloaking)
検索エンジンのボットと人間のユーザーに対して異なるコンテンツを提示する手法である。Googleのウェブマスターガイドラインでは、ランキング操作を目的としたクローキングをポリシー違反として扱っている。
コンテンツネゴシエーション(Content Negotiation)
HTTPの標準的な仕組みで、クライアントがAcceptヘッダーで希望するフォーマット(HTML、Markdown、JSONなど)を指定し、サーバーが適切な形式で応答する仕組みである。
プロンプトインジェクション(Prompt Injection)
LLMに対して悪意ある指示を紛れ込ませ、意図しない動作をさせる攻撃手法である。間接的プロンプトインジェクションは、Webページなど外部ソースに攻撃用の指示を埋め込む形態を指す。
トークン(Token)
LLMがテキストを処理する際の最小単位である。単語や文字の断片に相当し、AIの処理コストやコンテキストウィンドウのサイズはトークン数で計算される。
エージェンティックWeb(Agentic Web)
AIエージェントが自律的にWebを閲覧し、ユーザーの代わりに購入や予約などの操作まで実行するWeb利用形態を指す概念である。
User-Agent
HTTPリクエストに含まれるヘッダーの一つで、リクエスト元のブラウザやボットの種類を識別する情報である。従来のクローキングではこの値を基にボットと人間を判別していた。
【参考リンク】
Cloudflare公式サイト(外部)
世界のWebトラフィックの約20%を処理するCDN・セキュリティ企業。4100万以上のWebサイトが利用している。
Markdown for Agents 公式ドキュメント(外部)
Cloudflareが提供するMarkdown for Agents機能の公式技術ドキュメント。設定方法やAPI仕様を掲載している。
Cloudflare Radar – AI Insights(外部)
Cloudflareが公開するAIボット・クローラーのトラフィック分析ダッシュボード。コンテンツタイプ別の配信状況を確認できる。
Content Signals Policy(contentsignals.org)(外部)
Cloudflareが提唱するフレームワーク。コンテンツの利用許可範囲を機械可読な形式で表明できる。
QueryBurst(外部)
デイビッド・マクスウィーニー氏が創業したSEO企業。今回の脆弱性指摘記事の発信元でRAG最適化サービスを提供している。
【参考記事】
Introducing Markdown for Agents(外部)
Cloudflare公式による機能発表。HTML→Markdown変換でトークン数を約80%削減できる事例を紹介している。
Cloudflare’s Markdown for Agents AI feature has SEOs on alert(外部)
Search Engine Landの報道。クローキング懸念やジョノ・アルダーソン氏の見解、Google・Microsoftの立場を紹介。
Cloudflare’s New Markdown for AI Bots: What You Need To Know(外部)
Search Engine Journalの解説。ジョン・ミューラーの発言がコンテンツネゴシエーションとは異なる文脈であった点を指摘。
Cloudflare turns websites into faster food for AI agents(外部)
The Registerの報道。トークン削減の具体的数値を算出し、Cloudflareの戦略転換についても指摘している。
The 2025 Cloudflare Radar Year in Review(外部)
Cloudflareの2025年年次レポート。AIボットのHTMLリクエスト比率が平均4.2%、ピーク時6.4%に達したと報告。
Google and Bing say no: separate markdown pages for AI violate search policies(外部)
ジョン・ミューラーとファブリス・カネル両氏がMarkdown専用ページに否定的見解を示した経緯をまとめた記事。
【編集部後記】
先刻Cloudflare「Markdown for Agents」のトークン削減効果や機能面を紹介する記事を公開しました。今回はその同じ機能に対する、セキュリティ上の懸念という別の角度からの報道です。
技術の「光」と「影」は常に表裏一体であり、どちらか一方だけでは全体像は見えてきません。AIエージェントが私たちの代わりにWebを閲覧し行動する時代、「自分のエージェントは正しい情報を見ているのか」という問いを、ぜひ一緒に考えていきたいです。
