diff --git a/services/bunnycdn-security.md b/services/bunnycdn-security.md
index 8840546..82562a8 100644
--- a/services/bunnycdn-security.md
+++ b/services/bunnycdn-security.md
@@ -146,12 +146,12 @@ DDoS 비용 폭탄 방지용. 정상 월 사용량 ~1.2GB 대비 약 40배 여
 
 ## Rate Limiting 규칙 (2026-04-17 설정, 전 풀존 동일)
 
-| 규칙 | requestCount | timeframe | blockTime | 용도 |
-|------|-------------|-----------|-----------|------|
-| IPBurst200per10s | 200 | 10s | 60s | 순간 폭주 (초당 20+) |
-| MidRate80per10s | 80 | 10s | 60s | 중간 속도 지속 봇 (초당 8+) |
+| 규칙 | requestCount | timeframe | blockTime | actionType | 용도 |
+|------|-------------|-----------|-----------|-----------|------|
+| IPBurst200per10s | 200 | 10s | 60s | 1 (Block) | 순간 폭주 (초당 20+) → 즉시 차단 |
+| MidRate120per10sChallenge | 120 | 10s | 60s | 3 (Challenge) | 중간 속도 (초당 12+) → JS PoW 챌린지 |
 
-무료 플랜 2/2 슬롯 사용. 정상 사용자는 초당 8요청을 넘기기 어려움. 공격 봇은 대부분 이 범위에 걸림.
+무료 플랜 2/2 슬롯 사용. 초당 12~20 구간은 챌린지로 정상 브라우저 사용자 보호 (NAT/공유기 환경 고려), 초당 20 이상은 무조건 차단.
 
 ## 관련 문서