理解 Cloudflare 的最佳方式并非将其视为一个添加了安全功能的内容分发网络,而是将其视为一种刻意尝试,旨在将边缘分发转变为面向企业基础设施三个不同层面的通用控制平面:公共互联网流量、私有用户到应用的访问,以及开发者执行。该公司自身的措辞如今反映了这一雄心。它自称为“连接云”,声称在同一全球网络上运行“60 多项服务”,并强调一种设计,即每项服务在每个数据中心中运行,而不是在单独的专用堆栈上。这具有重要的经济意义。一个能够在同一数据包路径上进行检查、路由、保护和执行代码的供应商,可以基于已部署的覆盖范围销售多种更高价值的控制服务。就 Cloudflare 而言,当前企业页面显示其覆盖范围遍布 125 个以上国家的约 335 个城市,而该公司 2026 年 4 月的网络容量更新则描述了一个覆盖 125 个以上国家、330 多个城市的 500 Tbps 网络。不同页面数据之间的微小差异本身就揭示了问题:该网络规模庞大、仍在扩张,并被营销为一个活生生的运营平面,而非静态地图。

这一论题在财务报表中同样可见。在 2025 财年,Cloudflare 实现营收 21.68 亿美元,高于 2024 年的 16.70 亿美元和 2023 年的 12.97 亿美元。2026 年第一季度,营收达到 6.398 亿美元,同比增长 34%,而当前剩余履约义务同样增长了 34%。截至 2025 年底,付费客户增至超过 33.2 万个,年化营收超过 10 万美元的大型客户在 2025 年底达到 4298 个;投资者关系概览随后显示,截至 2026 年 3 月 31 日,拥有“4400 多”个大型客户,且 42%的财富 500 强企业为付费客户。这些并非一个狭窄缓存工具的特征,而是一个平台在保持极宽广的自助服务和中小企业漏斗的同时,向大型组织深入销售的标志。

由此得出的重要且不易察觉的教训是,随着互联网本身日益碎片化,Cloudflare 的基础设施角色已变得更加具有战略意义。企业越来越需要一种统一的结构来前端托管网站和 API、代理员工访问、连接分支机构和数据中心、终结僵尸网络和 DDoS 流量、在靠近用户的位置托管应用逻辑,并日益支持 AI 推理和代理流量。Cloudflare 正试图成为这一结构。其优势不在于其中任何单一产品无法被复制,而在于该公司能够在单一边缘、单一控制平面和单一销售账户上分发这些产品。这降低了 Cloudflare 的产品交付摩擦,也降低了客户的集成摩擦。这一机制是该公司故事的核心。

因此,核心的投资问题并非 Cloudflare 是否是某个 Gartner 式分类中的“领导者”,而是该公司能否以快于市场将底层分发商品化的速度,将网络覆盖转化为软件附加率。迄今为止的证据表明可以,但存在重要的前提条件。营收增长依然强劲,企业渗透率不断上升,国际业务组合广泛,平台范围显著扩大。但毛利率已面临压力,因为公司在服务器、网络容量、第三方技术和较新的人工智能密集型工作负载上持续投资。与此同时,由于平台在设计上是共享的,基础设施故障和控制平面错误可能同时传播到许多服务。Cloudflare 最大的优势和最深层的风险源于同一个架构选择:一个网络、一个堆栈、无处不在。

商业模式与收入逻辑

从表面上看,Cloudflare 报告的营收仍然像一家经典的订阅软件企业。公司表示,几乎所有营收都来自随时间确认的订阅和支持收入。客户在合同期内获得对 Cloudflare 网络和产品的持续访问权,相关的固定对价通常在直线基础上确认。然而,2025 年的文件也明确表明,基于用量的费用是模式的一部分,KPMG 的关键审计事项明确将营收描述为来自“即用即付和签约客户”,并包括订阅费、支持服务和基于用量的费用。这是一个关键的区别。Cloudflare 既不是纯粹的按席位 SaaS 公司,也不是纯粹的用量网络工具商。它日益成为一种混合的经常性收入加用量模式,这正是人们对一个横跨安全控制、网络传输和开发者工作负载的平台所期望的。

在 2025 年 Form 10-K 中披露的收入构成显示了业务的拓展方式。从地区来看,美国在 2025 年贡献了 49%的收入,欧洲、中东和非洲(EMEA)占 28%,亚太地区占 15%,其他地区占 8%。管理层另外指出,2025 年收入的 51%来自国际客户,高于 2024 年的 49%和 2023 年的 48%。这并非一个以美国为中心的软件故事,附带一些海外销售。这是一项全球分布的业务,其网络主张和监管姿态在多个司法管辖区至关重要。地域广度也有助于解释 Cloudflare 为何在本地化接入和数据本地化功能上投入巨资:这些不是副业,而是推动美国以外企业采用该服务的先决条件。

客户类型划分同样具有启发性。2025 年,74%的收入来自直销客户,26%来自渠道合作伙伴,而 2024 年直销客户占 80%,渠道占 20%,2023 年直销占 84%,渠道占 16%。不断上升的合作伙伴份额表明,这是一种有意为之的市场路线的规模化扩展,而非暂时的异常。对 Cloudflare 而言,渠道扩张可以扩大企业覆盖范围、改善国际触达,并允许公司渗透到那些由系统集成商、服务提供商或托管安全合作伙伴控制架构决策的客户。证据表明,渠道在结构上变得越来越重要。它只是暗示但并未证明对利润的影响。较大的渠道组合可以加速销售效率和交易量,但如果合作伙伴折扣增长快于支持杠杆,也可能压缩经济效益。Cloudflare 并未公开拆分渠道毛利率,因此确切的权衡状况仍不得而知。

对于一家具有切实企业雄心的公司而言,其客户群的广度非同寻常。截至 2025 年 12 月 31 日,Cloudflare 在 190 多个国家拥有约 33.2 万个付费客户,高于一年前的约 23.8 万个,而年化收入超过 10 万美元的大型客户从 2023 年的 2756 个增至 2024 年的 3497 个,2025 年达 4298 个。这种组合关系重大。许多基础设施公司不得不在长尾自助服务获取与集中式企业市场推广之间做出选择。Cloudflare 正试图两者兼顾:通过免费和廉价套餐构建低摩擦的入口漏斗,同时通过向上市场运动将部分账户转化为多产品的企业关系。2026 年 3 月 31 日之前 42%的财富 500 强企业为付费客户这一事实,并不意味着这些企业一定进行了高额支出,但它确实表明品牌渗透率异常广泛。

同样重要的是 Cloudflare 未披露的信息。该公司并未公开提供 CDN、应用安全、零信任、Workers 与 AI 等方面的产品线收入。因此,投资者无法直接证明其顶尖收入中有多大比例仍依赖于传统的流量加速经济,而非更新的高价值软件层。这一未知是故事中最重要的解读空白之一。文件确实证明,Cloudflare 的整体收入日益以企业为导向:大型客户数量持续增长,国际企业覆盖范围可观,截至 2025 年底剩余履约义务达 24.96 亿美元,其中 63%预计将在 12 个月内转化为收入。但公司未来的估值倍数和战略杠杆将在很大程度上取决于隐藏的内部组合——商品化分发与高转换成本控制产品之间的权衡。

以基础设施公司的标准来看,该公司的增长模式本身依然强劲。2024 年收入增长 29%,2025 年增长 30%,2026 年第一季度同比增长 34%。这种加速具有重要意义,因为它发生在许多企业软件公司在宏观压力下减速的时期之后。然而,增长机制比标题数据更为重要。Cloudflare 自身对风险因素和业务战略的讨论反复提到,其有能力留住并升级付费客户,将免费客户转化为付费客户,扩大每位客户购买的产品数量,并增加对大型客户的销售。这是一种捆绑拓展策略,而非纯粹依赖流量增长。Cloudflare 正试图通过扩大对客户请求路径和基础设施表面的控制,来使账户价值复利增长。

一张网络遍布全球的经济学

Cloudflare 的网络架构是公司的经济引擎,其关键架构主张直截了当:每项服务在每个数据中心运行,所有客户流量都在最靠近其来源的位置处理,而非回传到专门的检测站点。Cloudflare 将其称为“一张网络,无处不在”,表示单次检查流线化了安全性,并强调其全球网络与 13,000 多家服务提供商、云提供商和企业网络互联。在公共互联网方面,AS13335 的 PeeringDB 条目将该网络描述为一个全球任播平台,具有开放的互联和对等互联功能,可通过 Cloudflare 门户实现自动 IX 互联,而 2026 年 6 月 Hurricane Electric 的 BGP 快照显示,AS13335 发起了 5,543 个前缀,并连接了 358 个互联网交换点。这些第三方路由统计是快照而非会计数字,但它们强化了官方描绘的画面:Cloudflare 拥有异常密集的边缘互联。

这种互联具有实际的经济后果。2024 年 8 月,Cloudflare 表示,自 2021 年以来其骨干网容量增加了超过 500%,已完成一个全球骨干环,通过陆地和海底光缆连接六大洲,并且对于城内和长途连接,它管理暗光纤或使用 DWDM 租赁波长。该公司明确指出,在自身规模下,使用自有骨干网传输缓存或回源流量通常是最具成本效益的方法,而且通过自己的骨干网传输来自 AWS、Oracle、Alibaba、Google Cloud 或 Azure 的源站响应,可以获得更大的控制力、更好的可靠性,并减少对公共互联网的依赖。这是 Cloudflare 内部成本逻辑的有力线索。公司能将越多流量引入自身控制的路径和本地互联,就越少需要在交付中性能最敏感的部分购买昂贵的转接服务。

最重要的微妙之处在于,Cloudflare 的网络不再仅仅为缓存而优化。传统的 CDN 可以围绕在用户附近存储和提供静态资产构建非常强大的业务。Cloudflare 的架构则更具雄心。该公司表示,每台服务器都运行其开发者平台和安全服务,“而不仅仅是缓存”。Workers 默认在 330 多个城市运行,采用 CPU 时间计费模式,对空闲时间不收费,并承诺无冷启动。Durable 实体将计算与存储相结合,适用于协调密集型应用。R2 提供对象存储,且不收取出站费用。Workers AI 在 Cloudflare 网络的 GPU 上提供无服务器推理,当前产品营销显示,50 多个模型在 200 多个城市的用户附近运行。换句话说,该网络正从分发基础设施被重新定位为执行基础设施。

这种转变既解释了 Cloudflare 的战略上行空间,也解释了其利润压力。从好的方面看,一旦一家公司掌握了边缘请求路径,将更多软件逻辑附加到该路径上的增量成本,可能远低于销售带有自身设备覆盖或独立检测网络的独立单点产品。对于 WAF、机器人管理、API 保护、DNS、智能路由、Access、Gateway 和浏览器隔离等邻近服务而言尤其如此。数据包已经存在。身份决策、安全策略和性能优化可以在同一地点进行。从坏的方面看,并非所有边缘工作负载都具有类似 CDN 的经济特性。AI 推理、持久计算和存储协调可能比传统的反向代理流量更加硬件密集且不易缓存。网络在战略上变得更丰富,但短期内的毛利率未必随之提升。

财务报表证实,Cloudflare 正在加大实体基础设施的投入。2025 年,不动产和设备采购额达 3.156 亿美元,高于 2024 年的 1.85 亿美元和 2023 年的 1.144 亿美元。管理层自身将其与收入对比:2025 年占收入的 15%,而 2024 年为 11%,2023 年为 9%。截至 2025 年底,不动产和设备总额达 9.981 亿美元,其中包括 7.268 亿美元的服务器和网络基础设施,较上年同期的 4.888 亿美元大幅上升。2025 年不动产和设备的折旧与摊销费用增至 1.675 亿美元,2024 年为 1.099 亿美元。这些数字大到足以产生重大影响。从商业模式上看,Cloudflare 仍然像一家软件公司,但在网络扩张方面越来越资本密集。

管理层的会计决策提供了有用的线索。2024 年,Cloudflare 完成了对服务器网络有用使用寿命的评估,将使用寿命从四年延长至五年,从而减少了 2024 年的折旧费用 2110 万美元,主要影响收入成本。这同时揭示了两个问题。首先,公司认为其基础设施在经济上保持有用的时间比之前假设的更长,这有助于支撑自由现金流和利润率。其次,利润表象部分因修订折旧假设而得到美化,而非纯粹源于运营效率。因此,投资者应谨慎对待,不应将近期的毛利率表现视为对底层网络经济的清晰解读,而不考虑会计使用寿命的修订。

毛利率压力已经显现。Cloudflare 的 GAAP 毛利率从 2024 年的 77%降至 2025 年的 75%,管理层将这一下降主要归因于第三方技术服务成本上升、主机托管、网络和带宽成本上升,以及因服务器采购和部署导致的折旧增加。2026 年第一季度,GAAP 毛利率进一步从上一年同期的 75.9%降至 71.2%。该公司在新闻稿中未逐项说明该季度的变动,因此将其完全归咎于 AI 或 GPU 推广只是推测。但证据确实证明,Cloudflare 的下一个增长阶段正在消耗比上一个阶段更多的基础设施成本。认为边缘软件能以近乎无摩擦的软件利润率扩展的旧假设,在此显得过于简单了。

尽管如此,在股票薪酬之下,该公司仍显示出显著的运营杠杆。2025 年,GAAP 营业利润率为负 10%,但非 GAAP 营业利润率为正 14%,与 2024 年持平,高于 2023 年的 9%。自由现金流在 2025 年增至 2.606 亿美元,利润率为 12%,2024 年为 1.669 亿美元,2023 年为 1.195 亿美元。因此,更精确的结论是:Cloudflare 的网络扩张正在边际上拖累 GAAP 盈利能力,但如果增长保持强劲且基础设施支出不超过软件附加率,更广泛的平台似乎仍能够产生有吸引力的现金转化。

从 CDN 到 SASE 再到开发者平台的产品策略

Cloudflare 的产品组合不再围绕单一买家角色组织。该公司现在向网站团队、安全团队、网络团队和开发者销售,通常通过同一个账户。官方产品页面将产品组合分为应用安全、应用性能、网络、SASE/ 零信任和开发者服务。在安全和网络方面,Cloudflare 提供 L7 DDoS 防护、WAF、API 安全、机器人管理、L3/4 DDoS 防护、防火墙即服务、网络互联和智能路由。在 SASE 方面,Cloudflare One 打包了 ZTNA、安全 Web 网关、CASB、网络即服务、FWaaS、RBI、DLP、电子邮件安全和数字体验监控。在开发者方面,公司提供 Workers、KV、Durable 实体、D1、R2、Vectorize、可观测性、容器、Workers AI 和 AI Gateway。相关的洞察不在于简单的广度,而在于邻近性。这些服务中的大多数位于相同的流量平面,对相同的用户进行身份验证,或使用相同的账户和网络边界。

Cloudflare 最初的业务建立在易于采用的 Web 基础设施之上:DNS、CDN、SSL 和 DDoS 防护。这一分发引擎仍然重要。公开定价页面继续提供免费套餐、按年计费每月 20 美元的专业版套餐、按年计费每月 200 美元的企业版套餐,以及针对关键任务应用的定制合同等级。即使是免费和低价层级也包括 DNS、不计量 DDoS 防护、CDN、通用 SSL 和不同级别的 WAF 访问等核心功能。这种定价架构不仅仅是一种营销选择,而是一个客户获取系统,它降低了初始采用成本,并创造了向上销售的路径。很少有企业基础设施供应商能够同时宣称有意义的财富 500 强渗透率和全球自助服务漏斗。Cloudflare 之所以能做到,是因为它首先在低端实现了分发运营化。

更具战略性的举措是 Cloudflare One 的建设。公司的 SASE 页面描述了一个平台,该平台在一个连接云上连接并保护员工、分支机构、数据中心、应用,甚至 AI 代理。它强调替换 VPN 和 MPLS,采用身份优先的零信任访问,深度洞察 GenAI 使用情况,以及单一控制平面、数据平面和基础设施层。Cloudflare Access 的定价说明了该公司如何试图在这一细分市场占位并扩展:为小型团队或概念验证提供免费层,提供每用户每月 7 美元的即用即付选项,以及为全功能 SSE/SASE 部署提供定制合同定价。这是 Cloudflare 的经典策略:利用极具易用性的打包方式安装控制平面,然后将账户扩大到更广泛的架构变更。

开发者平台是另一个主要战略支柱。Workers 的定价从免费计划开始,付费计划每月最低费用 5 美元,文档明确声明不额外收取数据传输或带宽费用。标准的付费 Workers 模式包括每月 1000 万次请求,并根据请求和 CPU 毫秒计费超额用量,对等待 I/O 的挂钟时间不收费。R2 强化了相同的理念。标准存储定价为每 GB 每月 0.015 美元,A 类和 B 类操作分别计费,产品页面和开发者文档均强调不收取出站带宽费。这些并非偶然的定价细节,而是对云基础设施中最令人诟病的三种经济现状的直接攻击:按席位远程访问膨胀、出站过路费,以及闲置并发/服务器配置开销。

Cloudflare 还试图让边缘开发者体验感觉不那么专有,尽管实际上并非如此。Workers 支持主流语言和框架,运行时专为 Web 互操作性而设计,Durable 实体、KV 和 R2 可以用熟悉的软件术语加以解释。R2 兼容 S3 风格的模式。然而,仍存在隐性锁定。Durable 实体将有状态协调置于 Cloudflare 的运行时模型内部。Access 可以成为内部应用程序的策略守门人。AI Gateway 可以成为模型提供商的集中策略和支出控制层。当身份、网络策略、存储、可观测性和计算的多项功能锚定在同一供应商上时,即使每个组件单独看都有符合标准的说法,切换也变得更加困难。

这就是为什么对 Cloudflare 的客户依赖性最好理解为累积性的,而非二元性的。只使用 DNS 和 CDN 的客户面临适中的转换成本。而使用权威 DNS、CDN、WAF、机器人管理、API 保护、Access、Gateway、Magic WAN、Workers、KV、Durable 实体和 R2 的客户则面临高得多的转换成本,因为它需要在多个替代供应商之间重新创建策略、互联和路由行为、运行时逻辑、出站经济、存储模式和操作工作流。Cloudflare 自身正是基于这种反蔓延的前提来营销连接云:一个控制平面、一个网络、减少供应商数量、减轻仪表盘负担、加快推广速度。因此,公司的经济雄心不仅仅是销售更多的 SKU,而是提高架构逆转的成本。

AI 扩展了这一逻辑。Workers AI、AI Gateway、对 Replicate 的收购、Human Native 以及公司“代理云”的定位都指向同一个目标:将 Cloudflare 打造成推理、策略、支出控制、内容访问和应用执行融合的场所。对 Replicate 的收购被明确表述为一种方式,旨在为 Workers AI 用户提供超过 50,000 个可直接用于生产的模型,并添加自定义模型和流水线。Human Native 被描述为帮助 AI 开发者通过透明渠道查找、访问和购买高质量数据的工具。这些东西是否很快能成为实质性的收入,目前尚未得到证明。已经得到证明的是,Cloudflare 不希望 AI 仅仅是通过现有管道推动更多流量,而是希望 AI 使这些管道本身更具战略意义。

市场地位、竞争与定价能力

Cloudflare 在几个相邻市场竞争,这就是为什么简单的同类比较会产生误导。在传统交付和 Web 性能领域,最明显的公开可比公司仍然是 Akamai 和 Fastly。Akamai 2025 年按解决方案类别划分的收入中,安全领域为 22.43 亿美元,交付领域为 12.57 亿美元,另加额外的云计算收入,同时该公司披露交付收入持续面临定价压力和续约压力。Fastly 2024 年收入为 5.437 亿美元,其中 4.277 亿美元来自网络服务,1.03 亿美元来自安全。这些数字表明了两件重要的事情。首先,CDN 和边缘交付市场仍然是庞大、真实且竞争激烈的。其次,即使对于规模化的老牌企业,纯粹或传统的交付收入也面临结构性定价压力。Cloudflare 的战略回应是减少其叙事中对交付单独依赖的部分,并增加对安全、控制和执行的依赖部分。

在零信任和 SASE 领域,Cloudflare 面临着另一类竞争对手。Zscaler 2025 财年收入达 26.73 亿美元,其中约 98%与订阅和支持收入相关,突显了一个专注的云安全平台所能达到的规模。Cloudflare 在此处的差异化不在于它在特定安全收入上比 Zscaler 更大;公开披露并未证明这一点。其差异化在于架构。Cloudflare 认为,第一代 SASE 供应商通常拼凑代理和收购的拼凑物,而 Cloudflare One 在设计上统一于单一连接云。这一说法在每项功能上是否完全成立尚有争议,但架构主张是连贯的:Cloudflare 认为,当 SASE 与已经面向客户公共应用程序和开发者流量的同一边缘绑定在一起时,它更有价值。

Cloudflare 还与公共云平台间接竞争。它自己的骨干网讨论将 AWS、Oracle、Alibaba、Google Cloud Platform 和 Azure 列为其传输客户流量的常见源站。这种源站依赖意味着超大规模云商在许多部署中仍是合作伙伴。但 R2 的无出站费用设计、基于 CPU 的 Workers 定价、智能放置(Smart Placement)以及边缘执行模型,也是对超大规模云经济模式的竞争性回应。当 Cloudflare 说“告别出站费”或提供“不额外收取数据传输费”时,它正在攻击一个行业标准的定价惯例,该惯例使集中式云变得高度粘性和昂贵。Cloudflare 并非试图取代所有超大规模云,而是选择性地攻击集中式云架构的成本和延迟惩罚。

这正是定价能力比标题套餐价格所暗示的更为微妙的地方。在低端市场,Cloudflare 并未真正展现出传统的定价能力,而是展现了分发能力。免费套餐、廉价的专业版层级以及价格实惠的付费开发者入口点均旨在让 Cloudflare 易于采用,而非按席位或按域名将货币化最大化。但在企业层面,定价能力可以从捆绑替代中产生。如果 Cloudflare 能够可信地用一个合同和一种运维模式替代 CDN、DDoS、WAF、API 安全、机器人管理、VPN、SWG、CASB、分支机构网络以及某些类别的边缘计算或存储的部分,那么相关的经济基准就不再是单个 Cloudflare SKU 的价格,而是多个现有堆栈的全包成本、复杂性和停机风险。这就是 Cloudflare 反复对“技术蔓延”、“供应商数量”和“仪表盘过载”进行营销的原因。这些信息本质上是为企业捆绑定价能力所做的辩护。

然而,假设 Cloudflare 拥有不受约束的定价杠杆是错误的。Akamai 的文件明确指出,交付业务面临定价压力和客户自行构建的努力。Fastly 较小的规模使同一领域明显存在价格竞争。Cloudflare 自身对于自助服务产品的公开定价异常透明,这抑制了价格上调。而公司迅速扩展到邻近类别,意味着它往往选择渗透而非利润率最大化。甚至 2025 年至 2026 年的毛利率趋势也表明,Cloudflare 正以实际的基础设施支出来资助战略广度的扩展。因此,证据表明,Cloudflare 最佳的定价能力在于企业捆绑和架构替代,而不是在商品化边缘原语上压缩单价。

最有用的竞争性结论是:当购买决策是“哪个平台能更好地简化我的互联网边缘?”时,Cloudflare 处于更有利的位置;而当购买决策是“哪个供应商能提供最便宜的独立 CDN 吉字节,或在某个孤立的安全类别中提供最深入的功能集?”时,其优势则较弱。这就是为什么该公司不断将叙事从产品推向平台,从边缘速度推向控制。它知道,点产品竞争比平台邻近性竞争更难防守。

治理、国际足迹与风险暴露

Cloudflare 的国际足迹是一个优势,但并非毫无摩擦。该公司表示,它服务来自 190 多个国家的客户,大部分收入来自国际业务,并在 330 多个城市和 125 个以上国家运营网络节点。其公开的办公室足迹涵盖北美、欧洲、中东和包括新加坡、北京、东京、首尔、悉尼和班加罗尔在内的亚太枢纽。其网络和法务页面还强调了 Data Localization Suite 工具,以及对数据检查位置的精细控制,这反映了跨国企业日益需要位置感知型基础设施,而非纯粹的边界无关云。换句话说,Cloudflare 的国际规模不仅关乎在海外销售,更在于使边缘本身能够适应主权和行业合规要求。

中国是这种国际足迹部分由合作伙伴促成的最明显的例子。Cloudflare 的中国网络文档指出,选定的 Cloudflare 性能和安全产品在由京东云(JD Cloud)运营的中国大陆数据中心上运行。常见问题解答明确表示,Cloudflare 本身没有在中国提供 CDN 服务的工信部(MIIT)许可证,但京东云拥有该许可。这种安排在商业上有用,因为它将 Cloudflare 在中国的覆盖范围和性能扩展到不需要 Cloudflare 自身作为有牌照运营商在当地进行运营。这在战略上也具有揭示意义。在政治最敏感的司法管辖区,Cloudflare 的“全球网络”有时是一种商业和监管合作伙伴模式,而非完全自有控制模式。这创造了机会,但也产生了对当地合作伙伴和规则的依赖。

同样,治理也比随意一读股票代码所暗示的更由创始人控制。Cloudflare 采用双重股权结构,每股 A 类股拥有 1 票投票权,每股 B 类股拥有 10 票投票权。截至 2026 年 4 月 30 日,Matthew Prince 持有 2569 万股 B 类股,约占投票权总数的 39.0%,而 Michelle Zatlyn 持有 902 万股 B 类股,约占投票权总数的 13.4%。高管和董事作为一个整体控制了投票权总数的 52.4%。代理声明进一步指出,截至 2026 年股权登记日,联合创始人控制着关键事项的股东投票。这意味着 Cloudflare 虽为公开上市公司,但战略控制在真正意义上仍由创始人领导。这对于长周期的基础设施投资可能是积极的,但也在实质上限制了外部股东的影响力。

2026 年的代理声明也很重要,因为它包含了与重构股票类别相关的修正案,实质上通过更复杂的结构保持创始人的影响力。截至 2026 年 6 月 28 日,该提案仍在等待 6 月 30 日的年度股东大会,因此任何关于最终治理变更的说法都为时过早。但此类提案浮出水面本身就是一种信号。Cloudflare 的创始人似乎决心保留战略空间,以进行长期的基础设施建设,而不必使自己暴露于公开市场控制纪律的正常节奏之下。投资者可以合理地喜欢或不喜欢这一点;但他们不能忽视这一点。

对于 Cloudflare 来说,运营风险异常重要,因为平台是共享的。公司自身的事故分析显示了原因。2025 年 6 月,Cloudflare 披露了一次重大服务中断,由 Workers KV 使用的底层存储基础设施故障引起;公司表示,Workers KV 作为许多其他 Cloudflare 产品的关键基础设施,影响了 Workers KV 自身、WARP、Access、Gateway、Images、Stream、Workers AI、Turnstile、AutoRAG、Zaraz 以及仪表盘的部分功能。2025 年 11 月,Cloudflare 又遭遇了另一次大范围中断,与 Bot Management 配置生成中的一个错误有关。更早的事故包括 2022 年 6 月由网络配置变更引起的中断,以及 2025 年 7 月由拓扑变更引起的 1.1.1.1 事件。这些事件并非随机的脚注,而是揭示了 Cloudflare“一个网络、一个堆栈”模式的结构性劣势:共同的基础可能产生共模故障。

2025 年 Form 10-K 使这种集中风险更加具体。文件指出,网络的许多基础设施通过位于俄勒冈州波特兰大都市区的一个核心主机托管设施、位于阿姆斯特丹的第二个核心主机托管设施(提供一定的冗余)以及数量有限的其他美国主机托管设施进行维护。管理层明确警告称,它无法控制这些第三方设施的运营,并列举了 2023 年 11 月和 2024 年 3 月波特兰地区核心站点先前发生的电力故障。它甚至指出,任何核心主机托管设施若发生长时间故障,尤其是美国核心设施,都可能会对运营造成重大压力,因为冗余功能有限。这是一个重要的关注点。Cloudflare 的分布式边缘范围广阔,但其某些控制和支持架构比前端网络地图所暗示的更为集中。

第三方依赖风险不仅限于设施。2025 年的文件还指出,2025 年 8 月集成到 Cloudflare CRM 中的一个第三方聊天代理遭遇入侵,导致部分客户联系和支持信息泄露,并另指出 2025 年 6 月 Workers KV 中断是底层第三方存储基础设施故障的结果。这一点很重要,因为 Cloudflare 部分地将自己推销为他人依赖项的简化器。然而,其自身平台仍然包含隐藏的供应商依赖,当这些依赖居于共享服务之下时,影响范围可能相当大。证据证明,Cloudflare 一些最严重的中断和暴露事件都有第三方根源。

监管和平台责任风险也是 Cloudflare 基础设施角色的核心。该公司在加速、保护、代理或托管问题内容时,中间人应承担何种责任,在这方面它异常容易引发争议。其 2025 年的文件指出,它面临因通过客户网站提供的内容而引发的诉讼,并指出某些国家的法院在特定情况下认定其可能需要承担责任,并援引了 2025 年 10 月日本的一项法院判决,该判决在一宗版权案中判其承担损害赔偿,公司已提起上诉。该文件还指出,一些政府、服务提供商和其他方可能将 Cloudflare IP 列入黑名单或予以屏蔽,因为识别反向代理模型背后流量的精确来源可能很困难。Cloudflare 的 Trust Hub 和透明度材料强调,公司通常无法删除其未托管的内容,并发布半年一次的透明度报告。这种姿态有助于维护客户信任,但也使 Cloudflare 始终处于中间商责任政策斗争的中心。

最后一点风险则是另一回事:客户集中度较低。Cloudflare 指出,2023 年、2024 年或 2025 年没有单一客户贡献超过 10%的收入。这并不意味着收入不受企业支出放缓的影响,但它确实意味着公司不会被某个大型媒体或超大规模账户所束缚,不像一些基于流量的基础设施供应商历史上那样。多样化在这里是一个真正的优势,特别是考虑到 Cloudflare 的长尾客户和企业客户的组合。

证据台账与关注点

信度最高的证据支持一个明确的结论:Cloudflare 现在占据着互联网基础设施中一个具有战略重要性的层级,该层级比 CDN 更广,并且比纯粹的安全点产品供应商在水平方向上更为分散。证据证明,该公司已构建了一个非常庞大且密集互联的边缘网络;其业务已迅速增长至年收入超过 21 亿美元,拥有超过 33.2 万付费客户;国际收入超过总收入的一半;渠道合作伙伴变得越来越重要;公司的产品目录涵盖了公共应用程序流量、私有企业访问和开发者执行;而且创始人仍然控制着公司的投票结构。还证明,Cloudflare 的共享架构可能造成跨产品中断的影响范围,尽管公司进行了分布式营销,但实体和第三方依赖仍然具有重要意义,并且利润率正受到更重基础设施投资的压力。

证据强烈暗示但并未完全证明,Cloudflare 最坚固的护城河是捆绑加分发,而非独立产品的主导地位。该公司的一体化网络架构、自助服务漏斗、透明定价、反出站费信息,以及集成的 SASE 和开发者层,都指向这个方向。大型客户的增加、财富 500 强的广泛渗透,以及公司明确强调减少供应商蔓延,都表明账户扩展和架构整合正在发挥实际作用。公开路由数据和 Cloudflare 的骨干网披露也暗示,通过密集互联和自有或租赁的骨干容量,可获得显著的传输成本和性能优势。但由于 Cloudflare 未拆分产品收入或产品特定的毛利率,市场仍然无法确切看到成熟交付类别与新近较高杠杆类别之间各自贡献了多少价值。

仍然未知的东西几乎同样重要。公众投资者不知道 Workers、R2、Workers AI、零信任或 SASE 作为独立产品线的收入贡献。他们不知道 AI 推理或大规模 GPU 推广的毛利率状况。他们不知道渠道组合上升是否增加了利润率。他们不知道财富 500 强品牌数量背后企业产品渗透的真正深度。而且截至 2026 年 6 月 28 日,他们还不知道 2026 年治理提案的最终结果。这些未知数并不会使论题失效,而是塑造了其风险溢价。

未来 12 至 36 个月最重要的关注点如下:

在收入组合转向更大规模的企业和开发者工作负载的过程中,Cloudflare 能否将收入增长保持在 20%以上?2025 财年收入增长 30%,2026 年第一季度增长 34%,若持续下去,足以维持平台叙事。一旦急剧放缓,将迫使投资者追问叙事中有多少是雄心,有多少是货币化附加率。

在目前的基础设施周期之后,毛利率能否稳定下来?GAAP 毛利率从 2024 年的 77%降至 2025 年的 75%,并在 2026 年第一季度降至 71.2%。如果 AI 推理和有状态计算等较新工作负载在没有相应定价能力的情况下永久性降低利润率,那么 Cloudflare 的估值框架将发生改变。

SASE 和开发者平台产品是否会在收入上变得更加可见且重要?架构和产品目录令人信服,但公司仍未提供产品收入拆分。投资者应关注未来的任何披露,或间接指标,例如企业案例研究、大型客户增长以及持续的产品导向型收购。

2026 年 5 月以 AI 为先的运营模式重组能否在不损害执行力的前提下提高效率?Cloudflare 表示,预计将减少约 1100 名员工,并产生 1.4 亿至 1.5 亿美元的相关费用。这是一次有意义的运营变革,而非表面调整。

2025 年事件之后,共模中断风险是否确实降低?Workers KV 的重新设计和反复的事故分析表明 Cloudflare 正在解决问题,但公司的架构仍然高度共享。那些将公共流量、私有访问和应用逻辑运行在同一供应商上的客户会非常介意这一点。

围绕托管内容、反向代理使用以及特定司法管辖区执法的监管和法律责任风险是否会扩大?日本的诉讼案例和公司自身的风险因素措辞表明,这并非理论性问题。如果法院或监管机构推动中间人更像出版商或托管商那样行事,Cloudflare 的信任与中立姿态可能面临切实压力。

创始人的控制权是否会保持稳定,还是通过修订后的股票结构机制得以扩展?Cloudflare 的治理赋予了管理层非同寻常的自由,使其能够在周期中进行投资,但这同时也降低了外部问责制。这种权衡不会消失。

在不断变化的地缘政治约束下,中国及其他由合作伙伴经营的地区是否仍然具有商业吸引力?Cloudflare 与京东云的合作安排是获取存在感的有效途径,但也表明某些战略地域无法以 Cloudflare 通常的所有权模式来提供服务。

底线是,当客户希望将边缘、安全、访问和执行整合到一个可编程的结构中时,Cloudflare 的市场地位最为牢固。它在数字基础设施中的角色日益成为一个战略中间层,通过这个中间层,网站、API、员工、分支机构乃至现在的 AI 代理都可以得到控制。这是一个比“CDN 公司”所暗示的更持久、更有价值的角色。但这也是一个要求不懈的网络可靠性、纪律严明的资本配置和谨慎的政策导航的角色。Cloudflare 已经证明它能够构建覆盖范围。下一阶段则要证明,这一覆盖范围能够支撑更广泛的软件帝国,而不会丧失最初赋予该覆盖范围价值的经济效益和信任。