Cloudflare deixa sense accés a la majoria d’intel·ligències artificials

Cloudflare · Bots d’IA · Ciberseguretat · SEO

Quan una part important d’Internet passa per Cloudflare, qualsevol canvi (o incidència) a la seva capa de seguretat pot tenir un efecte dominó: plataformes, apps i fins i tot eines d’IA poden fallar temporalment… i, alhora, els bots que rastregen webs per entrenar o alimentar IA poden trobar portes tancades.

• No és el mateix una caiguda puntual que una política de control de rastrejadors.
• Cloudflare ha impulsat un model de permís explícit per a bots d’IA (bloquejar, permetre o cobrar).
• Si tens web, la decisió clau és: vols ser citat per IA? I, si sí, quin accés vols concedir.
• Et deixem una checklist perquè màrqueting i IT vagin alineats.

Què vol dir exactament que Cloudflare “deixa sense accés” la IA?

A la pràctica, aquesta frase s’utilitza per descriure dos escenaris diferents que sovint es barregen. Separar-los és clau per prendre bones decisions (i no fer canvis “a cegues” al teu web o als teus processos).

El més important és entendre el teu punt de partida: vols protegir contingut, vols visibilitat (Google i/o respostes amb IA), o necessites un punt intermig? La resposta defineix la configuració correcta.

18 de novembre de 2025: la caiguda que va fer que “tot” semblés bloquejat

El 18/11/2025 Cloudflare va patir una interrupció de servei que va afectar trànsit i serveis a gran escala. Quan això passa, és habitual veure errors 5xx, intermitències o pantalles de verificació (els famosos “challenges”), i algunes aplicacions poden deixar de funcionar durant hores.

Llegir l’informe oficial de la incidència (Cloudflare)

El canvi de fons: control dels rastrejadors d’IA (permís, bloqueig i cobrament)

Més enllà de les incidències, hi ha un canvi estructural: la relació entre “crawling” i benefici mutu. Durant anys, permetre que un bot rastregés el teu web tenia sentit perquè portava trànsit (i, sovint, ingressos). Amb la irrupció de rastrejadors d’IA, aquesta simbiosi no sempre es manté.

Per què això fa que “moltes IA” es quedin sense accés?

Perquè no estem parlant d’una sola web: Cloudflare és una capa molt estesa. Quan molts dominis passen de “obert per defecte” a “permís per defecte”, una gran part del contingut disponible per a rastrejadors d’IA es redueix de cop.

Pay Per Crawl: què és i per què es parla d’un “402 Payment Required”?

El model de cobrament per rastreig introdueix un mecanisme perquè el propietari del lloc pugui establir un preu per sol·licitud. Si un rastrejador intenta accedir a un recurs de pagament, pot rebre una resposta d’HTTP que indica que cal pagament per continuar.

Explicació oficial de Pay Per Crawl (Cloudflare)

AI Labyrinth: quan “bloquejar” no és només dir-ho a robots.txt

Una realitat incòmoda: robots.txt és voluntari. Si un bot decideix ignorar-lo, pot continuar rastrejant. Per això apareixen enfocaments més “durs” a nivell d’infraestructura. Un exemple és l’AI Labyrinth, pensat per “entretenir” rastrejadors que no respecten les normes i registrar-ne el comportament.

Documentació d’AI Labyrinth (Cloudflare)

Com t’afecta segons el teu cas

Si utilitzes IA per recerca, continguts o processos (sense ser “crawler”)

Encara que no “rastris” webs de manera massiva, et pots trobar amb limitacions quan una eina d’IA necessita accedir a fonts externes i topa amb verificacions, restriccions o intermitències. Aquí la clau és operativa: tenir alternatives i no basar decisions crítiques en una sola font.

• Planifica un fallback (fonts internes, repositoris, documentació pròpia, caches, connectors).
• Separa “recerca” de “producció”: el que serveix per explorar no sempre és estable per executar processos.
• Defineix un criteri de qualitat: si una font falla, què es fa? Qui valida? Quan s’atura el flux?

Si el teu producte/agent depèn de dades web (scraping o recollida contínua)

Aquest és el cas que més canvia: si tens un agent, un pipeline o un sistema que necessita rastrejar webs, és probable que vagis trobant més bloquejos, més fricció i més costos. L’estratègia guanyadora sol ser una combinació de:

• Dades pròpies (first‑party): el que controles i pots actualitzar amb govern.
• Dades amb llicència (third‑party): quan necessites cobertura i estabilitat.
• Arquitectura de dades i monitoratge: per detectar caigudes, canvis i desviacions (drift) abans que afectin el negoci.

Si tens un web i vols leads: el punt delicat és la visibilitat

El dilema no és “IA sí o no”. El dilema és: què vols que la IA pugui fer amb el teu contingut i com protegeixes el valor del que publiques sense perdre capacitat d’arribar al teu públic.

Què fer ara: pla pràctic en 7 passos

Aquest pla està pensat per a equips que volen passar de “què està passant?” a “què fem aquesta setmana?”. No requereix canviar-ho tot: requereix ordre i prioritat.

1. Defineix l’objectiu: protegir contingut, guanyar visibilitat (Google/IA), o equilibrar-ho. Sense objectiu, qualsevol configuració és un tret a l’aire.
2. Fes inventari del que depèn de la web: quins processos, agents o dashboards “fallen” si una font externa no respon. Això separa el que és “nice to have” del que és crític.
3. Audita la teva capa de seguretat (Cloudflare o equivalent): WAF, gestió de bots, verificacions, rate limits. Molts problemes de visibilitat venen de bloquejos “col·laterals”, no d’una decisió conscient.
4. Decideix què permets a bots d’IA: per exemple, permetre certes seccions (docs, blog, recursos) i restringir-ne d’altres (àrees premium). El control per secció acostuma a ser més rentable que el “tot o res”.
5. Revisa robots.txt i senyals d’ús: diferenciar indexació vs ús per entrenament és cada cop més important. Aquí convé fer-ho bé per no perjudicar el trànsit orgànic.
6. Implementa monitoratge: logs d’accés, alertes per 4xx/5xx, canvis sobtats de bots, i proves periòdiques. El que no mesures, et sorprèn.
7. Construeix una estratègia de dades: reforça fonts internes, repositoris i connectors per reduir dependència del “web obert”. Això és el que fa que la IA sigui estable en producció.

Errors típics (i com evitar-los)

• Bloquejar-ho tot sense criteri i després preguntar-se per què baixa la descoberta (o per què una IA no et pot citar).
• Confondre seguretat amb invisibilitat: una regla massa agressiva pot frenar bots útils (o usuaris reals) i baixar conversions.
• No separar usos: entrenament, indexació i “cerca dins d’una app” no són el mateix (i no haurien de tenir el mateix permís).
• Dependre del scraping com a “pla A”: és fràgil. A la mínima, canvia el joc (bloquejos, costos, canvis legals).
• No monitorar: si no mires logs i tendències, el problema el veuràs tard (quan ja afecta leads o operacions).

Costos i models: de “scraping gratis” a dades amb llicència

Un dels canvis més importants és econòmic: a mesura que s’estén el model de permís, accedir a contingut per via automatitzada pot deixar de ser “gratuït per defecte”. Això obliga a reavaluar ROI, risc i estratègia de dades.

Quan té sentit plantejar-se un model de cobrament?

• Quan tens contingut propi de valor (recerca, dades, comparatives, guies) i vols control sobre l’ús.
• Quan el teu model depèn de trànsit i veus que la “consumició” via IA no retorna visites de manera proporcional.
• Quan vols negociar acords amb claredat: “aquest accés té un cost i unes condicions”.

Alternatives pràctiques (quan el teu objectiu és producció i estabilitat)

• RAG amb dades pròpies: bases documentals, manuals, intranets, catàlegs, FAQs i tickets.
• Integracions amb sistemes (CRM, ERP, helpdesk) perquè la IA treballi amb informació fiable i actualitzada.
• Dades de tercers amb llicència per cobrir buits (i evitar dependència de “portes obertes”).

Serveis recomanats si vols passar de dubtes a acció

Si aquest tema t’afecta (per visibilitat, per dades o per estabilitat operativa), el més eficient és atacar-ho per blocs: estratègia → implementació → govern → creixement.