这项动态的影响程度如何？

该情报被评估为对企业具有重大影响，建议技术决策者关注。

Cloudflare 2026-06-17

Product Launch 影响: Major 置信: 85%

Cloudflare One Stack：用AI Agent技能文件重构SASE迁移生态，直击Zscaler软肋

Q: 为什么Cloudflare的这项动态对企业重要？

表面上，Cloudflare One Stack 是帮助用户自动化零信任部署的善意工具，但本质上这是一场精心设计的**生态围剿战**，目标直指 Zscaler、Netskope 和 Palo Alto Networks。 **防御与合围**：通过将迁移逻辑打包成 Agent 技能，Cloudflare 试图将竞争对手的客户迁移流程“商品化”——用户不再需要昂贵的咨询或漫长的手动迁移，只需一个 Agent 就能完成。这直接降低了用户离开 Zscaler 的心理和操作门槛，是对 Zscaler 现有客户基础的精准挖角。 **隐性锁定**：一旦用户使用 Cloudflare One Stack 完成配置，其整个零信任环境的描述、策略和网络拓扑都将以 Cloudflare API 和 MCP 服务器为中心。Agent 技能文件虽然声称“可搭配任何 Agent”，但实际依赖 Cloudflare 特有的 API 类型定义和推荐工作流。未来若想迁移到其他平台，用户需要反向翻译这些技能文件，而 Cloudflare 显然不会提供反向翻译工具——这是**新的供应商锁定**，从“锁定在 Zscaler”变为“锁定在 Cloudflare”。 **隐藏的物理限制与成本陷阱**：原文强调“数小时迁移”，但未提及迁移后的性能差异。Zscaler 的全球云架构与 Cloudflare 的全球网络在延迟、丢包和路由策略上存在本质差异。Agent 进行的“概念翻译”可能忽略某些高级安全策略（如精细的 SSL 检查、自定义 DLP 规则）的等效实现，导致用户迁移后不得不降低安全水位或接受更高的尾部延迟。此外，**MCP 服务器**的实时 API 访问意味着所有配置变更都经过 Cloudflare 的控制平面，增加了对 Cloudflare 网络可用性的依赖——一旦 Cloudflare 出现故障，用户的整个零信任运维将瘫痪。

内容摘要

Cloudflare 发布 Cloudflare One Stack，一套供AI Agent加载的技能文件，能自动化零信任环境的评估、部署和迁移，尤其内置了从Zscaler和Palo Alto Networks迁移的专用逻辑。该工具通过MCP服务器与Cloudflare API深度绑定，意图大幅降低用户切换成本，加速竞争对手客户流失。

核心要点

Cloudflare 发布 Cloudflare One Stack，这是一套轻量级技能文件（cloudflare-one 和 cloudflare-one-migration），可供任何 AI Agent 加载。其核心逻辑基于 Cloudflare 团队数千小时的客户迁移经验，覆盖从评估、部署到运维的全生命周期。

关键能力包括：

自动映射：将现有 VPN 应用、Zscaler Private Access 或 Netskope 配置自动转换为 Cloudflare Access、Gateway、Tunnel 等原语。
网络拓扑解析：能够读取并生成网络图，帮助团队可视化变更。
厂商概念翻译：直接在 Zscaler、Palo Alto 与 Cloudflare 之间翻译策略和对象定义。
与MCP服务器集成：通过 cloudflare code mode MCP server 提供类型安全的 API 接口，Agent 可直接查询账户、检查配置并执行推荐工作流。
迁移逻辑复用：该技能文件中的迁移逻辑与 Cloudflare 已有的 Descaler 和 Deskope 项目相同，这些项目曾帮助企业在数小时内完成从 Zscaler 和 Netskope 的迁移。

此外，Stack 还包含 Digital Experience Monitoring (DEX) 工具包和自动规则推荐，用于持续运维。Cloudflare 强调，合作伙伴也可以利用该工具加速客户部署。

重要性说明

表面上，Cloudflare One Stack 是帮助用户自动化零信任部署的善意工具，但本质上这是一场精心设计的生态围剿战，目标直指 Zscaler、Netskope 和 Palo Alto Networks。

防御与合围：通过将迁移逻辑打包成 Agent 技能，Cloudflare 试图将竞争对手的客户迁移流程“商品化”——用户不再需要昂贵的咨询或漫长的手动迁移，只需一个 Agent 就能完成。这直接降低了用户离开 Zscaler 的心理和操作门槛，是对 Zscaler 现有客户基础的精准挖角。

隐性锁定：一旦用户使用 Cloudflare One Stack 完成配置，其整个零信任环境的描述、策略和网络拓扑都将以 Cloudflare API 和 MCP 服务器为中心。Agent 技能文件虽然声称“可搭配任何 Agent”，但实际依赖 Cloudflare 特有的 API 类型定义和推荐工作流。未来若想迁移到其他平台，用户需要反向翻译这些技能文件，而 Cloudflare 显然不会提供反向翻译工具——这是新的供应商锁定，从“锁定在 Zscaler”变为“锁定在 Cloudflare”。

隐藏的物理限制与成本陷阱：原文强调“数小时迁移”，但未提及迁移后的性能差异。Zscaler 的全球云架构与 Cloudflare 的全球网络在延迟、丢包和路由策略上存在本质差异。Agent 进行的“概念翻译”可能忽略某些高级安全策略（如精细的 SSL 检查、自定义 DLP 规则）的等效实现，导致用户迁移后不得不降低安全水位或接受更高的尾部延迟。此外，MCP 服务器的实时 API 访问意味着所有配置变更都经过 Cloudflare 的控制平面，增加了对 Cloudflare 网络可用性的依赖——一旦 Cloudflare 出现故障，用户的整个零信任运维将瘫痪。

PRO 决策建议

【厂商（Zscaler、Netskope、Palo Alto Networks）】立即推出反制性 Agent 技能文件，提供从 Cloudflare 反向迁移的自动化工具，并强调 Cloudflare One Stack 在复杂策略映射中的工程短板（如高级 DLP 规则丢失、WAN 优化差异）。同时，强化自身 API 的开放性与 Agent 兼容性，防止 Cloudflare 定义 Agent 工作流标准。

【企业（CIO/架构师）】对 Cloudflare One Stack 进行零信任技术审计：要求 PoC 阶段必须测试从 Zscaler 迁移后的尾部延迟增量和安全策略保真度。警惕 MCP 服务器带来的单点故障风险，要求 Cloudflare 提供离线配置回退方案。在合同中明确数据可移植性条款，确保未来能反向导出所有策略定义。

【投资者】看穿 Cloudflare 此举的防御性本质：它反映 Zscaler 客户粘性仍强，迫使 Cloudflare 用自动化工具降低迁移摩擦。关注 Zscaler 是否迅速推出反制工具——若 Zscaler 反应迟缓，则 Cloudflare 可能短期获得客户增量，但长期看 Agent 技能文件会加剧行业价格战，压缩所有 SASE 厂商的利润率。

来源： blog

查看原文 →

觉得这篇分析有用？

每周收到3-5条AI基础设施关键信号 →

内容摘要

核心要点

重要性说明

PRO 决策建议

觉得这篇分析有用？

💬 评论 (0)