El problema
El desafío administrado de Cloudflare (protección contra bots) bloquea las solicitudes HTTP automatizadas — incluyendo las de agentes de IA. Si tu sitio está detrás de Cloudflare con la configuración predeterminada, los agentes no pueden acceder a tus endpoints de API, puertas de pago ni archivos de descubrimiento.
agentgrade detecta esto por sonda. Cuando una verificación es bloqueada, verás "Blocked by Cloudflare" en lugar de un resultado de aprobado/fallido. Tu puntuación puede parecer baja no porque falten capacidades, sino porque Cloudflare impidió la verificación.
Qué se bloquea
El desafío de Cloudflare se activa con solicitudes que:
- No ejecutan JavaScript (todas las solicitudes de API/agentes)
- Carecen de huellas de navegador (TLS, encabezados, cookies)
- Provienen de rangos de IP de centros de datos o la nube
Esto significa que cada endpoint orientado a agentes es potencialmente bloqueado: MCP, OpenAPI, llms.txt, x402.json, puertas de pago, etc.
Cómo solucionarlo
Opción 1: Omitir el desafío para rutas de API (recomendado)
En las reglas WAF de Cloudflare, crea una regla que omita el desafío administrado para las rutas orientadas a agentes:
Expresión:
(http.request.uri.path matches "^/\\.well-known/.*" or
http.request.uri.path matches "^/api/.*" or
http.request.uri.path eq "/mcp" or
http.request.uri.path eq "/openapi.json" or
http.request.uri.path eq "/llms.txt" or
http.request.uri.path eq "/agents.txt" or
http.request.uri.path eq "/skills.json" or
http.request.uri.path eq "/robots.txt")
Acción: Skip → Managed Challenge
Esto mantiene la protección contra bots en tus páginas HTML mientras permite que los agentes accedan a los endpoints orientados a máquinas.
Opción 2: Lista blanca de User-Agents específicos
Crea una regla WAF que omita el desafío para User-Agents de agentes conocidos:
(http.user_agent contains "agentgrade" or
http.user_agent contains "Claude" or
http.user_agent contains "GPTBot")
Opción 3: Usar los niveles de Bot Management de Cloudflare
Los planes Enterprise y Business de Cloudflare ofrecen gestión de bots más granular que puede distinguir entre "bots buenos" (clientes de API, agentes) y bots maliciosos.
Verificando la solución
Después de actualizar tus reglas de Cloudflare, escanea tu sitio nuevamente en agentgrade. Las verificaciones previamente bloqueadas deberían ahora mostrar resultados de aprobado/fallido en lugar de "Blocked by Cloudflare."