Steuerung von KI-Agenten im großen Maßstab mit Unity Catalog

Vor einem Jahr hatte Ihr Unternehmen ein Dutzend KI-Agenten. Heute sind es Tausende.

Jeder Entwickler hat einen Coding-Agenten, der Code neben ihm schreibt, überprüft und ausliefert. Ihr Analyseteam hat Prognoseagenten entwickelt. Der Vertrieb hat Lead Scoring implementiert. Die Supportorganisation hat die Ticketweiterleitung automatisiert. Das Marketing hat die Personalisierung gestartet. Die Finanzabteilung hat Abgleich-Workflows erstellt. Jedes Team sah eine Chance und handelte schnell.

Jetzt fragt jemand: „Welche Agenten greifen auf kundenbezogene PII zu?“

Die Antwort erfordert das Abrufen von Protokollen aus Dutzenden von Systemen, deren manuelle Korrelation und die Hoffnung, dass nichts übersehen wurde. Jeder Agent protokolliert, authentifiziert und greift unterschiedlich auf Daten zu. Es gibt keinen einzigen Ort, an dem man nachsehen kann.

Oder vielleicht haben Sie den entgegengesetzten Weg gewählt. Sie haben alles abgeriegelt. Kein Agent wurde ohne ausführliche Überprüfung bereitgestellt. Die Sicherheit blieb streng. Aber jetzt sind Sie sechs Monate hinter den Wettbewerbern zurück, die schneller vorgegangen sind. Entwickler und Benutzer sind frustriert. Einige sind zu Unternehmen gegangen, bei denen sie KI-Tools tatsächlich nutzen können.

Kein Extrem funktioniert. Ungeregelte Agenten schaffen ein nicht messbares Risiko. Abgeriegelte Umgebungen schaffen eine andere Art von Risiko: zurückzufallen, während Talente das Unternehmen verlassen.

Traditionelle Governance ging davon aus, dass Menschen Entscheidungen treffen und Anwendungen diese vorhersehbar ausführen. Agenten funktionieren nicht so. Sie sind autonom, sie treffen jedes Mal andere Entscheidungen und sie verketten Tools auf eine Weise, die Sie nicht durch das Lesen von Code vorhersagen können. Sie können einen Agenten nicht durch Überprüfung dessen, was er tun könnte, steuern. Sie steuern ihn, indem Sie kontrollieren, worauf er zugreifen kann, und überwachen, was er tatsächlich tut.

Vier Säulen der Agenten-Governance

Unity Catalog verwaltet Unternehmensdaten seit 2021 durch ein einziges Berechtigungsmodell, vereinheitlichte Datenherkunft und eine konsistente Audit-Spur über jedes Asset hinweg. Wir erweitern nun dieselbe Governance-Infrastruktur, um jedes Asset abzudecken, das ein KI-System berührt: LLMs, MCP-Server, Skills und Agenten. Der Katalog, der bereits weiß, wer auf Ihre Kundendaten zugreifen kann, regelt nun auch, welche Agenten welche Tools unter welchen Bedingungen aufrufen können.

Unity AI Gateway ist das Durchsetzungs-Framework für die agentenbasierte Welt. Jeder Modellaufruf, jede Tool-Aufrufung, jede Agenten-Interaktion fließt durch das Gateway. Jeder einzelne wird gegen die in Unity Catalog definierten Richtlinien ausgewertet, bevor er ausgeführt wird, und danach protokolliert. Traditionelle Governance-Tools wurden für statische Anwendungen entwickelt. Sie haben keine Sichtbarkeit in all dies. Unity AI Gateway schon.

Säule 1: Delegierter Zugriff

Agenten müssen innerhalb klar definierter Berechtigungsgrenzen agieren, sowohl in Bezug darauf, in wessen Namen sie handeln können, als auch darauf, worauf sie zugreifen können. Die meisten Plattformen handhaben dies so, wie sie Anwendungsberechtigungen handhaben: Dienstkonten mit statischen Anmeldeinformationen und breitem Zugriff. Sie verlieren die Rechenschaftspflicht und können den Wirkungsbereich nicht eingrenzen.

Databricks verfolgt einen anderen Ansatz: Die Identität fließt durchgängig, vom Benutzer, der die Frage stellt, bis zur spezifischen Tabellenzeile, die der Agent abruft. Agenten erben die Datenberechtigungen des aufrufenden Benutzers in Echtzeit über On-Behalf-Of-Token-Weiterleitung, nicht über ein gemeinsam genutztes Dienstkonto. Wenn Sie in Unity Catalog nicht auf eine Tabelle zugreifen können, kann dies auch der Agent nicht, der in Ihrem Namen handelt. Jede Aktion wird gegen beide Identitäten protokolliert: den echten Benutzer, der die Anfrage ausgelöst hat, und den Agenten, der in seinem Namen gehandelt hat, wobei erfasst wird, auf welche Tabellen zugegriffen wurde, welche Operationen ausgeführt wurden und wann. Wenn etwas schiefgeht, wissen Sie genau, woher die Aktion kam und wer sie autorisiert hat.

Wir erweitern dieses Modell auf MCP-Server. Teams registrieren externe MCP-Server (GitHub, Jira, Slack usw.) in Unity Catalog und verwalten sie wie jedes andere sicherbare Objekt: Berechtigungen, Anmeldeinformationsverwaltung und vollständige Audit-Protokollierung an einem Ort.

Wir haben erkannt, dass dasselbe Prinzip zur Laufzeit gilt, nicht nur zur Zugriffszeit. Zu wissen, dass ein Agent GitHub aufrufen darf, sagt Ihnen nicht, ob er eine Datei löschen oder einen Pull-Request zusammenführen soll. Deshalb haben wir Service Policies entwickelt, die UC-Funktionen sind, die in UC verwaltet und an registrierte MCPs in Unity Catalog angehängt werden und steuern, welche Tool-Aufrufe erfolgreich sind. Jeder Tool-Aufruf wird vor der Ausführung ausgewertet: Basierend auf dem Toolnamen, seinen Argumenten oder der Identität des Aufrufers gibt die Richtlinie „Zulassen“, „Verweigern“ oder „Benutzerzustimmung anfordern“ zurück. Wenn die Richtlinienauswertung zu einem „Deny“ führt, wird der Aufruf blockiert.

Auf der Modell-Ebene inspizieren Guardrails in Echtzeit, was durch die Inferenz fließt, scannen Eingaben auf PII und Jailbreak-Versuche, überprüfen Ausgaben auf Halluzinationen und sensible Inhalte, bevor sie den Benutzer erreichen. Sie laufen inline bei jeder Anfrage und scheitern geschlossen.

In der Praxis arbeiten diese drei Ebenen zusammen: Berechtigungen steuern, wer was aufrufen kann. Service Policies steuern, ob ein bestimmter Tool-Aufruf im Kontext einer gegebenen Anfrage ausgeführt werden soll. Guardrails steuern, welche Inhalte ein- und ausgehen.

Säule 2: Datenzentrierte KI-Governance

Hier ist das Prinzip, das die meisten KI-Governance-Tools übersehen: Das Verhalten eines Agenten wird fast vollständig durch die Daten bestimmt, auf die er zugreifen kann. Was er lesen kann, wie aktuell diese Daten sind, ob sensible Felder maskiert sind – das sind keine Fragen der KI-Governance. Das sind Fragen der Datengovernance. Behandeln Sie sie getrennt, und Sie enden mit zwei unvollständigen Systemen. Behandeln Sie sie gemeinsam, und die Governance verstärkt sich gegenseitig.

Erstens benötigen Sie eine vollständige Audit-Spur, und die Regulierung macht dies nicht verhandelbar. Aufkommende KI-Vorschriften verlangen von Unternehmen, nachzuweisen, was ihre KI-Systeme getan haben, was sie erhalten haben und was sie produziert haben. AI Gateway schreibt die vollständige Payload jedes Modellaufrufs in Inference Tables: den exakten gesendeten Prompt, die exakte zurückgegebene Antwort, Token-Anzahl und Latenz. Unity Catalog erfasst jeden Zugriffsoperation in Audit-Protokollen, einschließlich welches Principal was, von welchem Agenten und zu welcher Zeit aufgerufen hat. Beide landen in Ihrem Lakehouse als Tabellen, die Sie nach Ihren Bedingungen aufbewahren können. Die meisten Protokollierungsarchitekturen erzwingen einen Kompromiss zwischen Vollständigkeit und Kosten, was Sie zwingt, Stichproben zu nehmen, zu filtern und kurze Aufbewahrungsfristen festzulegen. Da Unity AI Gateway Beobachtbarkeitsdaten in Ihrem Lakehouse erfasst, müssen Sie dies nicht tun.

Zweitens sind diese Audit-Daten nur so nützlich, wie Sie sie analysieren können. Analyse erfordert eine Datenplattform, kein Protokollierungstool. Agent-Traces sind Tabellen in Unity Catalog, abfragbar mit demselben SQL, das Sie für alles andere verwenden. Keine neue Abfragesprache, kein separates Tooling. Wenn ein Agent etwas Unerwartetes tut, sind die Daten zur Untersuchung bereits vorhanden: welche Agenten letzte Woche auf einen bestimmten Dienst zugegriffen haben, wie viel jedes Team für die Inferenz ausgibt und ob ein Agent Anmeldeinformationen oder PII berührt hat. Da die Audit-Daten neben Ihren Geschäftsdaten liegen, können Sie weiter gehen und das Verhalten von Agenten mit Geschäftsergebnissen verknüpfen, um nicht nur zu verstehen, was Agenten getan haben, sondern auch, ob es funktioniert hat. Lakewatch, Databricks' agentenbasierte SIEM-Lösung auf Basis des Security Lakehouse, geht noch weiter und wandelt dieselbe Audit-Spur in aktive Sicherheitsintelligenz um: KI-gesteuerte Bedrohungserkennung und -reaktion auf Basis des Lakehouse. Angreifer nutzen Agenten. Verteidiger sollten das auch tun.

Zuerst müssen Sie wissen, dass die Daten, auf die sich Ihre Agenten verlassen haben, überhaupt vertrauenswürdig waren. Eine vollständige Audit-Trail zeigt Ihnen, worauf ein Agent zugegriffen hat. Sie sagt Ihnen nicht, ob diese Daten gut waren. Datenqualitätsüberwachung überwacht kontinuierlich Aktualität und Vollständigkeit in Ihrem gesamten Katalog. Verknüpfen Sie sie mit Agenten-Spuren, und Sie gehen von „der Agent hat eine falsche Antwort gegeben“ zu „der Agent hat eine Tabelle abgefragt, die als veraltet gekennzeichnet wurde“, über und verbinden das Agentenverhalten mit der Qualität der zugrunde liegenden Daten. Datenklassifizierung fügt eine weitere Ebene hinzu: Ein agentisches KI-System scannt und kennzeichnet kontinuierlich sensible Spalten, wie z. B. PII-, HIPAA- und DSGVO-regulierte Daten, und diese Tags fließen direkt in die Zugriffskontrolle ein. Maskierte Spalten bleiben maskiert, unabhängig davon, welcher Agent oder welches Framework sie anfordert. Die Daten-Governance, die Sie bereits haben, wird automatisch zu Ihrer KI-Governance.

Säule 3: Kostenintelligenz

Jeder Modellaufruf hat seinen Preis. Die meisten Unternehmen haben keine Ahnung, wer sie ausführt, wofür oder ob sie überhaupt funktionieren, bis die Rechnung eintrifft und die Finanzabteilung eine Zahl erklären muss, die niemand kommen sah.

Die Ursache ist kein fehlerhafter Prozess. Es fehlt die Infrastruktur: keine Messschicht, die den gesamten KI-Verkehr an einem Ort sieht, kein Tagging-System, das ihn Teams oder Anwendungsfällen zuordnet, keine Ausgabenkontrollen, die neben den Zugriffskontrollen sitzen, die dieselben Ressourcen steuern.

Wir haben das in Unity Catalog und Unity AI Gateway integriert. Nutzungsverfolgung protokolliert jede Anfrage in Nutzungstabellen, einschließlich Token-Anzahl, Latenz, Anfordereridentität und Modelldestination über Databricks-gehostete und externe Anbieter hinweg in einer einzigen Tabelle. Sie ermöglicht es Ihnen, Anfragen nach Team, Projekt oder Kostenstelle zu kennzeichnen. Da sie als Tabelle neben Ihren Agenten-Spuren und Geschäftsdaten landet, können Sie Kosten mit Ergebnissen verknüpfen. Ein Agent, der 200 US-Dollar kostet und 50.000 US-Dollar an qualifizierter Pipeline generiert, ist ein Schnäppchen. Ein Agent, der 200 US-Dollar kostet und veraltete Daten in einer Schleife abfragt, ist eine Verschwendung. Ohne die Verknüpfung von Kosten mit Ergebnissen können Sie den Unterschied nicht erkennen.

Budgets in Unity AI Gateway fügen die Richtlinienschicht hinzu. Administratoren legen monatliche Ausgabenschwellenwerte pro Benutzer oder Gruppe fest und erhalten Benachrichtigungen, wenn der Verbrauch diese erreicht oder überschreitet – das Signal, das Sie benötigen, bevor die Ausgaben zu einem Problem werden, nicht danach. Eine harte Durchsetzung ist der nächste logische Schritt, und wir werden bald mehr dazu mitteilen.

Säule 4: Offen und interoperabel

Jede KI-Governance-Strategie für Unternehmen stößt irgendwann auf dieselbe Zwangslage: Ein neues Team wählt ein anderes Framework, ein neuer Anbieter veröffentlicht ein besseres Modell. Wenn Ihre Governance in die Wahl der heutigen Tools integriert ist, befinden Sie sich auf einem Laufband: Jedes neue Framework ist eine neue Integration, jedes neue Modell ist eine neue Richtlinie.

Wir haben das erkannt, und deshalb haben wir einen anderen Ansatz als die meisten Governance-Tools gewählt. Governance kann nicht nur in der Agentenschicht leben. Sie muss auch in den Daten und Diensten leben, auf die Agenten zugreifen, unabhängig davon, ob diese Dienste von Databricks verwaltet werden oder nicht. Ein auf LangGraph basierender Agent und einer, der auf CrewAI basiert, fragen dasselbe Unity Catalog ab, rufen dieselben gesteuerten MCP-Server auf und durchlaufen dieselbe AI Gateway. Das Framework ist irrelevant. Governance reist mit den Ressourcen, nicht mit dem Code, der sie aufruft.

Offene Standards machen dies konkret. MCPs geben Agenten ein universelles Tool-Konnektivitätsprotokoll: Einmal in Unity Catalog registrieren, aus jedem Framework mit denselben Berechtigungen und demselben Audit-Trail aufrufen. Unity AI Gateway bietet einen einzigen, gesteuerten Endpunkt für Databricks-gehostete Modelle, Azure OpenAI, AWS Bedrock und Anthropic, mit einer Richtlinie, einem Audit-Trail und einer Kosten-Attributionsschicht über Anbieter hinweg. MLflow-Tracing instrumentiert automatisch LangChain, LlamaIndex, AutoGen, das OpenAI SDK, das Anthropic SDK und mehr, wobei Traces als Tabellen in Unity Catalog ohne benutzerdefinierte Instrumentierung pro Framework landen.

Das Endergebnis ist, dass Governance zu einer Eigenschaft Ihrer Plattform wird, anstatt etwas, das Sie für jedes neue Framework oder Modell neu erstellen müssen. Jeder Agent, den Sie bereitstellen, unabhängig davon, wie er erstellt wurde oder welches Modell ihn antreibt, greift auf dieselben gesteuerten Daten, dieselbe Geschäftslogik und dieselben Berechtigungen zu. Sie definieren die Regeln einmal, und jeder nachfolgende Agent übernimmt sie automatisch.

Mehr erfahren

Die Unternehmen, die KI-Governance richtig machen, werden nicht nur Vorfälle vermeiden. Sie werden schneller vorankommen als diejenigen, die es nicht tun, weil ihre Teams der zugrunde liegenden Infrastruktur vertrauen, und Vertrauen beseitigt die Reibung, die alle anderen verlangsamt.

Wenn Sie darauf hinarbeiten, beginnen Sie mit unserem kostenlosen Kurs zur Steuerung von KI-Agenten, laden Sie das Databricks AI Security Framework (DASF) herunter und besuchen Sie unsere KI-Governance-Webseite für zusätzliche Ressourcen.

(Dieser Blogbeitrag wurde mit KI-gestützten Tools übersetzt.) Originalbeitrag