Cloudflare mengumumkan pencabutan penuh pembatasan OAuth, pengembang AI Agent tidak lagi memerlukan peninjauan manual.

Cloudflare mengumumkan pembukaan OAuth yang dikelola sendiri untuk semua pengembang, tidak lagi memerlukan tinjauan manual untuk bergabung. Di baliknya adalah pertumbuhan eksplosif dalam permintaan delegasi otorisasi oleh alat agen AI (AI Agent), serta perpindahan generasi mesin yang mendasarinya yang melibatkan migrasi 130 juta baris data.
(Ringkasan sebelumnya: Data Cloudflare: 34% lalu lintas di internet bukan manusia, crawler AI tumbuh 8 kali lebih cepat )
(Latar belakang tambahan: UBS dan TD Cowen secara bersamaan menaikkan target harga Arm menjadi 475 dolar AS, dengan alasan pendapatan CPU yang dikembangkan sendiri di masa depan)

Daftar Isi

Toggle

• Mengapa dibuka sekarang?
• Penggantian mesin dasar yang melibatkan 130 juta baris data
• Masalah kegagalan berantai refresh token di klien MCP

Cloudflare, yang mengelola 20% lalu lintas internet global, membuat keputusan penting minggu ini: memungkinkan semua pengembang untuk membuat dan mengelola klien OAuth sendiri, tanpa perlu tinjauan manual satu per satu untuk bergabung. Pendorong di balik ini adalah permintaan besar dari alat agen AI untuk "delegasi otorisasi". Ketika model AI perlu mengakses sumber daya Cloudflare atas nama pengguna, di masa lalu hanya bisa mengandalkan token API, yang sulit dikelola dan tidak cocok untuk alur kerja agen yang memerlukan ruang lingkup persetujuan yang jelas.

Mengapa dibuka sekarang?

Cloudflare bukanlah pemula dalam OAuth. Bahkan ketika pengembang menggunakan alat Wrangler CLI atau menghubungkan layanan mitra seperti PlanetScale, OAuth telah berjalan secara diam-diam di latar belakang. Namun, integrasi ini semua adalah mode tertutup "bergabung secara manual", dan pengembang pihak ketiga sama sekali tidak dapat membuat alur OAuth standar sendiri.

Cloudflare menunjukkan dalam blog resminya bahwa dalam setahun terakhir mereka secara bertahap memperkenalkan mitra awal, terus menyempurnakan mekanisme persetujuan, proses pencabutan, dan model keamanan. Namun, seiring dengan pertumbuhan platform pengembang dan meningkatnya permintaan alat agen AI untuk akses yang didelegasikan, "membuka OAuth untuk semua pengguna" menjadi kondisi yang diperlukan untuk kesuksesan platform, bukan pilihan.

OAuth yang dikelola sendiri memungkinkan pengembang untuk menyediakan alur otorisasi standar: pengguna secara langsung memberikan akses dengan ruang lingkup terbatas, aplikasi dapat mengetahui apa yang diizinkan untuk dilakukan, dan pengguna dapat mencabut akses kapan saja. Ini adalah infrastruktur yang lebih bersih daripada token API untuk membangun integrasi SaaS, platform pengembang internal, dan berbagai alat agen AI.

Penggantian mesin dasar yang melibatkan 130 juta baris data

Namun, untuk membuka OAuth secara massal, Cloudflare harus terlebih dahulu menyelesaikan masalah rekayasa: mesin otorisasi dasar Hydra sudah tidak mampu lagi menahan beban.

Hydra adalah mesin OAuth sumber terbuka yang digunakan Cloudflare bertahun-tahun lalu untuk mendukung infrastruktur OAuth platformnya. Kinerjanya stabil selama periode penggunaan terbatas, tetapi seiring dengan perluasan platform pengembang dan populernya alur kerja AI, hambatan kinerja dan keterbatasan fungsional dari Hydra asli menjadi semakin jelas.

Rencana peningkatan dilaksanakan dalam dua tahap. Tahap pertama adalah peningkatan versi Hydra 1.X. Para insinyur menemukan bahwa bahkan untuk migrasi versi kecil, skala perubahan struktur basis data tidak bisa dianggap remeh. Mereka menulis ulang skrip migrasi SQL, menggunakan teknik seperti CREATE INDEX CONCURRENTLY yang tidak mengunci penulisan, dan menyesuaikan versi build Hydra, mengganti kueri SELECT * asli dengan kolom yang ditentukan secara eksplisit untuk mengurangi transfer data yang tidak perlu.

Tahap kedua adalah penerapan biru-hijau (blue-green deployment) untuk Hydra 2.X. Yang dimaksud dengan penerapan biru-hijau adalah mempertahankan dua sistem lama dan baru berjalan secara bersamaan, lalu lintas dialihkan secara bertahap setelah sistem baru terbukti stabil, dan rollback dapat dilakukan kapan saja secara instan, mengurangi risiko gangguan sistem mendekati nol. Cloudflare menyatakan bahwa dalam kerangka ini mereka membangun sistem antrian berbasis Cloudflare Queues, memungkinkan peristiwa pencabutan disinkronkan dengan benar antara sistem lama dan baru.

Skala migrasi basis data cukup besar: total 132,5 juta baris data diperbarui, 114,7 juta baris data baru dimasukkan, menghasilkan 136,97 GB data sementara.

Masalah kegagalan berantai refresh token di klien MCP

Setelah penyebaran biru-hijau selesai, data pemantauan menunjukkan sinyal yang tidak terduga: tingkat kesalahan refresh token meningkat.

Setelah melacak penyebabnya, ditemukan bahwa Hydra versi baru menerapkan mekanisme pembatalan yang lebih ketat untuk penggunaan ulang refresh token. Setelah mendeteksi bahwa refresh token yang sama digunakan kembali, seluruh set kredensial akses (access token dan refresh token) akan dicabut bersama.

Ini menyebabkan masalah bagi klien Wrangler dan MCP, karena alat-alat semacam ini, dalam situasi jaringan tidak stabil atau permintaan bersamaan, secara alami dapat memicu penggunaan ulang refresh token.

Solusinya adalah menambahkan "mekanisme penggabungan refresh token" ke Worker yang merutekan lalu lintas OAuth: ketika mendeteksi banyak permintaan pembaruan untuk token yang sama masuk secara bersamaan, sistem menggabungkannya menjadi satu permintaan untuk diproses, menghindari memicu logika kegagalan berantai. Perbaikan ini mengembalikan perilaku integrasi klien MCP ke keadaan normal.

Episode ini juga mengungkapkan kenyataan: pola perilaku otorisasi alat agen AI secara struktural berbeda dengan alur OAuth yang dioperasikan secara tradisional oleh manusia. Alat agen dapat menghasilkan banyak permintaan pembaruan token bersamaan dalam waktu singkat, sementara implementasi OAuth tradisional tidak dirancang untuk skenario penggunaan seperti ini.

Setelah peningkatan selesai, peningkatan berbagai metrik kinerja cukup signifikan. Latensi API P95 turun dari 185 milidetik menjadi 101 milidetik, penurunan 45%; penggunaan memori residen turun dari 888MB menjadi 763MB, berkurang 14%; alokasi memori heap Go turun dari 449MB menjadi 271MB, berkurang 40%; jumlah Goroutine turun dari 4.015 menjadi 3.076, berkurang 23%; penggunaan CPU turun dari 1,07 inti menjadi 0,67 inti, menghemat 37%.

Cloudflare menyatakan bahwa pembukaan OAuth yang dikelola sendiri memungkinkan pengembang untuk membangun solusi integrasi dengan ruang lingkup persetujuan pengguna yang lebih transparan dan pencabutan yang lebih mudah. Ini sangat penting untuk kesehatan ekosistem alat agen AI. Ketika model AI mengoperasikan layanan atas nama manusia, "apa yang diotorisasi untuk dilakukan oleh agen ini" dan "bagaimana cara mencabut aksesnya" akan menjadi masalah yang tak terhindarkan dalam kerangka kepercayaan.