Pare a IA desonesta: Como o Unity Catalog protege as ações do seu agente

Os riscos da IA agêntica não são mais teóricos. Agentes conectados a ferramentas externas estão realizando ações destrutivas e irreversíveis em produção: apagando bancos de dados inteiros em segundos, excluindo milhões de linhas de dados críticos, e derrubando bancos de dados de produção no meio da tarefa. Em cada incidente, o agente estava agindo dentro do escopo de sua autoridade delegada. O que faltava era qualquer restrição sobre quais ferramentas ele poderia invocar e qualquer registro das ações que ele realizou.

Hoje, estamos lançando a capacidade de governar cada ferramenta MCP da mesma forma que você governa dados, com controle de acesso granular, aplicação de políticas e um registro de auditoria completo. O Unity Catalog permite que você defina quem pode chamar quais servidores MCP, e os administradores podem aplicar políticas de serviço para restringir o acesso a ferramentas específicas (por exemplo, delete_database) ou definir condições para quando uma ferramenta pode ser chamada (por exemplo, apenas administradores podem chamar delete_database). O Unity AI Gateway aplica essas políticas em tempo real em cada chamada, com registro completo do payload de cada solicitação.

O problema: o acesso é tudo ou nada, e as chamadas de ferramentas não deixam rastros

Um servidor MCP expõe um conjunto de ferramentas a qualquer agente conectado — um MCP do GitHub pode expor `push_files`, `delete_file` e `merge_pull_request`; um MCP de banco de dados pode expor `execute_query` e `drop_table`. Por padrão, se um agente está autorizado a se conectar, todas essas ferramentas estão disponíveis a qualquer momento. Não há como dizer "este agente pode ler, mas não escrever", ou "apenas engenheiros seniores podem realizar esta ação", ou "ninguém deve chamar ferramentas de administração em produção".

E quando algo dá errado, não há nada para investigar. As chamadas de ferramentas não aparecem nos logs do modelo ou nos logs do aplicativo. A ação exata que o agente realizou, com quais argumentos, em nome de quem, simplesmente não existe como registro em lugar nenhum.

Isso significa um agente mal configurado, uma ação inesperada, e você não tem como prevenir antes que aconteça e nem como explicar depois.

A solução: governança de MCP no Unity Catalog

O Unity Catalog agora governa todo o ambiente GenAI, incluindo LLMs e MCPs. Uma vez que os MCPs são registrados, você obtém exatamente o que faltava: controle sobre o que os agentes podem fazer e um registro completo do que eles realmente fizeram. Ambos são aplicados em tempo real em cada chamada MCP pelo Unity AI Gateway.

Políticas de serviço permitem que você escreva regras que avaliam cada chamada de ferramenta antes e depois de ela atingir o servidor MCP upstream. Você decide quais chamadas são permitidas, negadas ou exigem consentimento do usuário. As políticas de serviço são definidas em SQL e permitem que os administradores verifiquem argumentos, incluindo propriedades do chamador e outras propriedades de contexto. Se uma chamada não passar pela política, ela é bloqueada

Registro de payload captura cada chamada de ferramenta como uma entrada em uma tabela de rastreamento gerenciada no Unity Catalog. Nome da ferramenta, argumentos, resultado, identidade do usuário e se a chamada foi permitida ou negada. Consulte-a com SQL como qualquer outra tabela.

Como funciona

Defina sua função de política no Unity Catalog

O Unity Catalog permite que você registre e governe qualquer MCP externo (veja nosso blog sobre como isso funciona!). Uma política de serviço é uma função SQL do Unity Catalog. Ela recebe dois argumentos, ator (quem está chamando) e contexto (o que está sendo chamado), e retorna permitir ou negar com um motivo.

Aqui está uma política simples em um MCP do GitHub. Ela bloqueia a exclusão de arquivos completamente e bloqueia a fusão de PRs, a menos que o chamador seja um engenheiro aprovado:

Anexar e aplicar

Uma vez escrita, anexe a política a qualquer serviço MCP no Unity AI Gateway. A partir desse ponto, cada chamada de ferramenta roteada através desse serviço é avaliada antes de ser executada. Nenhuma alteração de código é necessária no agente ou no servidor MCP.

Registrar e verificar

Cada chamada de ferramenta é automaticamente capturada em uma tabela Delta no Unity Catalog. Envie um prompt que deve ser bloqueado e um que deve passar. Os resultados aparecem em seus logs imediatamente, consultáveis com SQL como qualquer outra tabela.

Começar

As políticas de serviço e o registro de payload para MCP estão disponíveis como um Beta Fechado, estendendo os mesmos conceitos de governança que você já usa para dados para cada chamada MCP. Para obter acesso antecipado, entre em contato com sua equipe de contas da Databricks.

(Esta publicação no blog foi traduzida utilizando ferramentas baseadas em inteligência artificial) Publicação original