Cloudflare 的政策空洞讓 gore 網站續命

我拆 Cloudflare 怎麼靠政策空洞讓 gore 網站繼續上線，順手整理出可直接抄的 infra 服務下架模板。

我盯 Cloudflare 這類基礎設施公司很久了，越看越覺得它們最愛把「中立」講成護身符。表面上你看到的是 DNS、CDN、DDoS 防護，都是很無聊、很工程的東西；但一旦客戶是跟真實暴力有關的 gore forum，這些無聊服務就不是無聊了。它們是在幫一個站活下去。這件事我一直卡著，因為我自己也做過系統，知道封錯一個規則會誤傷一片；可這裡不是誤殺一個 filter rule，這是公司要不要繼續替一個被研究者指向「助長校園槍手激進化」的站提供核心服務。這不是技術潔癖，這是責任邊界。

我這次的切入點，是 Shelly Bradbury 在 The Denver Post 的報導，以及 ADL 的報告。前者把事件講清楚，後者直接點名：Cloudflare 不是只能看著，它有能力切掉服務，讓那個站難很多、貴很多。這種洞察我很買單，因為它不是在吵內容審查，而是在拆「基礎設施供應商到底要不要承擔後果」這個老問題。

Cloudflare 的產品不是保護而已，是讓站點繼續活著

Internet infrastructure company Cloudflare provides a suite of services to the online gore forum that allows the website to keep operating for its 5 million users.

翻譯一下就是：Cloudflare 不只是幫它加速或擋攻擊，它是在幫這個站維持可用性、穩定性，還有被下線時的韌性。這很重要，因為基礎設施不是抽象的「管線」。你給它越多層保護，站點就越不容易死；你把這些層拿掉，對方的營運成本就會直接上升。

我以前也很容易被「我們不擁有內容」這句話帶走。聽起來很乾淨，像是責任切得很漂亮。但只要你的服務是在幫人撐住可用性，你就不是單純的傳輸層。ADL 的說法很直白：Cloudflare 如果撤掉服務，這個論壇會被重創。重點不在內容是不是 Cloudflare 寫的，而是它有沒有在幫這個站活下去。

實操寫法很簡單：如果你做的是 infra、平台、SaaS，不要只寫「我們提供服務」。請把你實際提供的依賴拆開寫清楚：DNS、CDN、WAF、TLS、bot protection、DDoS mitigation，各自代表什麼風險、什麼責任。你不先拆，policy 就只會剩一句漂亮話。

「我只是 pass-through」這句話，常常是在逃避決策

Cloudflare has said it is a neutral “pass-through” service, rather than a website host or owner.

這句話聽起來很像工程師會喜歡的說法：簡潔、客觀、像在描述協定層。但我看久了只覺得它很會躲。因為一旦你提供的是能讓客戶更難被打掉、更難被封鎖、更難被追蹤的能力，你就不再只是「經過而已」。你是在選擇誰能拿到韌性。

報導裡也提到 Cloudflare 以前拿電話公司類比，意思是不能因為有人講很糟的話就斷線。我懂這個比喻為什麼好用：它讓高層可以用一個很熟的道德框架把事情講完。但問題是，網路基礎設施不是電話線。電話線不會幫你放大、隱藏、硬化一整套惡意營運；Cloudflare 這類服務會。比喻一舒服，責任就容易被洗掉。

我自己在看平台政策時也遇過同樣問題。文件寫著「我們不審內容」，結果產品裡有 ranking、distribution、trust score、abuse controls。講白了，照樣在做治理，只是藏在不同層。Cloudflare 這種 infra 公司也是一樣：它不是沒在做選擇，它只是想讓選擇看起來像沒選。

• 「中立」常常只是「我們還沒把線畫清楚」。
• 只要你能終止服務，你就已經有 moderation，只是沒寫進文件。

實操寫法：把你自己的 policy 文案拿出來，問一個很土但很有用的問題——如果客戶被指向暴力、騷擾、剝削，你到底要不要切？如果答案是「到時候再說」，那你不是沒有政策，你是把決策延後給事故現場。

8chan 和 Kiwi Farms 這兩個前例，直接打臉「做不到」

Cloudflare cut off its services to 8chan in 2019 after three mass shooters posted there, and in 2022 it ended services for Kiwi Farms after public pressure.

這句最有殺傷力的地方是：Cloudflare 早就做過了。也就是說，它不是不能切，而是看情境、看壓力、看時機。這就把「我們沒辦法」這種說法拆掉了。真正的問題不是技術不行，而是公司想保留裁量空間，卻又不想把裁量寫成一套穩定規則。

報導還提到，Cloudflare 當時說 Kiwi Farms 有「immediate threat to human life」。這種標準很容易事後看起來理所當然，事前卻常常拖很久。因為一旦進到企業內部，大家就會開始講流程、法務、風險、前例，然後誰都不想當那個先按下去的人。結果就是，壞東西一直在，直到外部壓力大到「不處理」看起來比「處理」更糟。

這不是治理，這比較像被動式風險管理。能活一天算一天，能拖一刻是一刻。

實操寫法：如果你管平台或 infra，先把 escalation path 寫出來。哪些 trigger 會進 review、誰能拍板、多久內要出決定、要不要先停後審。沒有這張表，你每次都會重新發明一次流程，然後每次都一樣亂。

ADL 要的不是亂砍，是把門檻寫高、寫清楚

Daniel Kelley said, “There should be a high bar for cutting off access, but sites like WatchPeopleDie meet that mark.”

我很在意這句，因為它不是在喊「全部關掉」。它是在說：門檻要高，但不是沒有門檻；而像 WatchPeopleDie 這種以 gore、暴力、極端主義為核心的站，根本不是灰色地帶。這個區分很重要，因為很多公司一談 moderation 就想把問題縮成「言論自由 vs 審查」，最後變成什麼都不能做。

報導也提到，ADL 覺得 Cloudflare 的做法比 AWS 寬鬆；而 AWS 對會煽動暴力或恐怖主義的內容，有更明確的禁止與終止機制。這點其實很實用：你不需要寫成一套宇宙觀，你只要把會踩線的類型、會發生什麼事、誰來執行，寫清楚就好。比起喊口號，明確條款反而比較像真的在管。

我喜歡這個思路，因為它不要求每家公司都變成道德法庭。它只是要求別再一邊吃著「我只是基礎設施」的好處，一邊裝作自己沒有標準。

• 高門檻，不等於沒有門檻。
• 具體政策，永遠比「trust and safety」空話有用。
• 拿電話公司來比，不等於你真的做了 threat model。

實操寫法：寫一份窄一點的 infra abuse policy，聚焦在 direct incitement、支持極端暴力、反覆協助危害內容存活這幾類。然後把處置流程寫成大家真的能照做的步驟，不要讓每次事件都靠臨場感。

基礎設施是全有全無，這讓決策更硬，也更好寫

“With internet infrastructure, it is a giant on/off switch. You are either providing services or you are not.”

這句是整篇最像工程師會點頭的地方。社群平台可以刪貼文、砍帳號、封群組；但 infra 通常沒辦法只切掉一篇文、保留其他一切。你要嘛繼續提供服務，要嘛不提供。這讓決策更重，也讓 policy 更應該清楚，因為你不是在做細粒度內容治理，而是在決定是否讓對方有完整的生存條件。

我懂這裡為什麼難受。切服務會誤傷正常使用者，也可能讓對方搬家、換 provider，變成打地鼠。報導裡也提到網站可以靠新供應商回來。對，這很煩，deplatforming 也不是神兵利器；但它至少會把營運成本拉高。對某些站來說，成本上升就是效果。

所以我不喜歡把這件事講成「一定要永久解決」。不用。你只要讓 abuse 不再那麼便宜就夠了。只要一個以 gore 為核心的站還能靠主流 infra 輕鬆活著，那供應商就不是旁觀者，而是 abuse surface 的一部分。

實操寫法：把你的服務畫成 dependency chain。DNS、CDN、TLS、WAF、DDoS protection、security features，哪些層你願意提供給踩線客戶，哪些不願意，逐層寫。這樣你討論的就不是抽象道德，而是具體服務邊界。

開發者該抄的，不是立場，是決策格式

Cloudflare says it is not responsible for vetting customers because it is a neutral service.

我直接講結論：Cloudflare 的問題不只是它不夠強硬，而是它的 policy 看起來像是為了保留裁量，而不是為了保留清晰度。這是很典型的企業壞習慣。公司想保留「等事情鬧大再處理」的空間，又不想把什麼情況會被切、誰來切、怎麼切，講得太死。

如果你在做產品，尤其是平台或基礎設施，我會建議你抄的不是 Cloudflare 的說法，而是這類事件逼出來的決策格式。不要寫成 40 頁法務備忘錄，也不要寫成一堆「我們重視安全」的空話。你需要的是一個團隊真的能用的 decision tree。

我自己會把它整理成這幾條：

• 哪些 abuse 類型會觸發 review。
• 哪些服務可以被暫停。
• 誰有權決定，多久內要決定。
• 要不要先警告、能不能申訴、什麼情況下直接停。
• 要保留哪些證據，方便日後一致執行。

這些東西很乾，但乾才不會讓你在壓力下亂寫規則。尤其當客戶牽涉暴力、極端主義、或明顯的傷害擴散時，臨場 improvisation 通常只會讓事情更糟。

可抄的模板

# 基礎設施 abuse policy 模板（可直接改名套用）

## 目的
我們提供的是基礎設施服務，不是內容背書。若客戶利用我們的服務，對暴力、極端主義、騷擾、剝削或其他重大傷害提供實質支援，我們會進行審查，並可能暫停或終止服務。

## 觸發審查的條件
當有可信證據顯示客戶符合以下任一情況時，啟動審查：
- 以宣揚、協助、協調暴力傷害為主要用途
- 直接煽動暴力或恐怖主義
- 利用我們的服務實質支援騷擾、跟蹤、剝削、極端主義招募
- 在先前處置後，反覆以新網域、新帳號或新設定規避執行

## 覆蓋的服務
本政策適用於：
- DNS
- CDN
- TLS termination
- WAF / bot protection
- DDoS mitigation
- Security / performance 相關服務

## 判定標準
我們不要求完美確定，但要求：
- 有可信證據
- 有書面紀錄
- 有與風險相稱的處置

## 升級流程
1. 內部偵測或外部通報
2. Trust / security review
3. 必要時交由 legal review
4. 高層或指定主管核准
5. 執行限制並留存紀錄

## 處置選項
- 警告
- 部分服務限制
- 全面暫停
- 對重複或嚴重違規者永久終止

## 時間要求
若風險顯示可能對人命造成立即危害，我們可先行暫停，再於事後完成審查。

## 申訴規則
客戶可申訴一次，且申訴必須提供具體證據，而不是單純不同意處置。

## 紀錄與透明度
每次處置都要記錄：
- 影響的服務
- 審查證據
- 決策者
- 最終決定與理由

## 對外說明
我們會發布白話版政策，讓客戶在踩線前就知道界線在哪。

## 內部檢查清單
- 這個客戶是否以暴力或極端內容為核心？
- 我們的服務是否正在實質幫助它存活？
- 暫停服務會降低傷害，還是只是做樣子？
- 我們能否一致地向另一個相似案例解釋這個決定？
- 是否已完整紀錄證據與理由？

## 可直接貼上的執行說明
因有可信證據顯示，該客戶正透過本公司基礎設施實質支持暴力／極端內容，故依 abuse policy 啟動審查並限制服務。此決定已完成書面紀錄，目的在降低傷害並防止持續濫用。

如果是我自己帶團隊，我會把這份模板再縮短一點，語氣再白一點，盡量不要讓它像法務文件。因為真正會用的人，是 SRE、security、platform、support，不是只放在 Confluence 裡當裝飾。

最後補一句：這篇的事實主軸來自 Shelly Bradbury 的 Denver Post 報導 與 ADL 報告；我前面拆的 policy 結構和模板是我自己整理出來的，原創部分是把這個案例轉成開發者可以直接拿去用的決策格式。