给AI Agent的数据库安全边界
Quantum_CS · reddit · 2026-07-17
Synapsor Runner 提出一种给 AI agent 访问生产数据库的替代方案:**不把 execute_sql 这种原始写权限直接交给模型**,而是在 MCP 客户端与 Postgres/MySQL 之间放一个运行时,只暴露经过审核的语义能力,比如 `billing.inspect_invoice`、`support.propose_plan_credit`。 核心思路是把权限边界放到模型之外:模型只能在受合同约束的列和行范围内读取数据,能做的是“提出变更”而不是直接写库;真正的审批和写回在 MCP 外完成。作者还强调了几层防护:租户隔离、列/行范围固定、proposal→evidence→replay 记录、写回前重新校验版本与行数限制、支持自动审批阈值和人工多级审批。