Stoppen Sie betrügerische KI: Wie Unity Catalog Ihre Agentenaktionen sichert

Die Risiken von agentischer KI sind nicht länger theoretisch. Agenten, die mit externen Tools verbunden sind, führen in der Produktion destruktive, irreversible Aktionen aus: Löschen ganzer Datenbanken in Sekunden, Löschen von Millionen kritischer Datenzeilen und Abbrechen von Produktionsdatenbanken mitten in einer Aufgabe. Bei jedem Vorfall handelte der Agent im Rahmen seiner delegierten Befugnisse. Was fehlte, war jede Einschränkung, welche Tools er aufrufen konnte, und jede Aufzeichnung der von ihm durchgeführten Aktionen.

Heute führen wir die Möglichkeit ein, jedes MCP-Tool auf dieselbe Weise zu steuern, wie Sie Daten steuern: mit fein abgestufter Zugriffssteuerung, Richtliniendurchsetzung und einem vollständigen Audit-Trail. Unity Catalog ermöglicht es Ihnen nun festzulegen, wer welche MCP-Server aufrufen kann, und Administratoren können Servicerichtlinien überlagern, um den Zugriff auf bestimmte Tools (z.B. delete_database) einzuschränken oder Bedingungen zu definieren, wann ein Tool aufgerufen werden kann (z.B. nur Administratoren können delete_database aufrufen). Unity AI Gateway setzt diese Richtlinien in Echtzeit bei jedem Aufruf durch, mit vollständiger Payload-Protokollierung jeder Anfrage.

Das Problem: Der Zugriff ist alles oder nichts, und Tool-Aufrufe hinterlassen keine Spuren

Ein MCP-Server stellt jedem verbundenen Agenten eine Reihe von Tools zur Verfügung – ein GitHub MCP könnte `push_files`, `delete_file` und `merge_pull_request` bereitstellen; ein Datenbank-MCP könnte `execute_query` und `drop_table` bereitstellen. Standardmäßig sind, wenn ein Agent zur Verbindung autorisiert ist, alle diese Tools jederzeit verfügbar. Es gibt keine Möglichkeit zu sagen: „Dieser Agent kann lesen, aber nicht schreiben“, oder „Nur leitende Ingenieure können diese Aktion ausführen“, oder „Niemand sollte Admin-Tools in der Produktion aufrufen.“

Und wenn etwas schiefgeht, gibt es nichts zu untersuchen. Tool-Aufrufe erscheinen nicht in Modell-Logs oder Anwendungs-Logs. Die genaue Aktion, die der Agent ausgeführt hat, mit welchen Argumenten, im Auftrag von wem, existiert einfach nirgendwo als Aufzeichnung.

Das bedeutet: ein falsch konfigurierter Agent, eine unerwartete Aktion, und Sie haben keine Möglichkeit, dies zu verhindern, bevor es geschieht, und keine Möglichkeit, es danach zu erklären.

Die Lösung: MCP-Governance in Unity Catalog

Unity Catalog steuert jetzt die gesamte GenAI-Umgebung, einschließlich LLMs und MCPs. Sobald MCPs registriert sind, erhalten Sie genau das, was fehlte: Kontrolle darüber, was Agenten tun dürfen, und eine vollständige Aufzeichnung dessen, was sie tatsächlich getan haben. Beides wird in Echtzeit bei jedem MCP-Aufruf durch Unity AI Gateway durchgesetzt.

Servicerichtlinien ermöglichen es Ihnen, Regeln zu schreiben, die jeden Tool-Aufruf bewerten, bevor und nachdem er den Upstream-MCP-Server erreicht. Sie entscheiden, welche Aufrufe erlaubt, verweigert werden oder eine Benutzerzustimmung erfordern. Servicerichtlinien werden in SQL definiert und ermöglichen es Administratoren, Argumente zu überprüfen, einschließlich Aufrufer-Eigenschaften und anderer Kontext-Eigenschaften. Wenn ein Aufruf die Richtlinie nicht besteht, wird er blockiert.

Payload-Protokollierung erfasst jeden Tool-Aufruf als Eintrag in einer Tracing-Tabelle, die in Unity Catalog verwaltet wird. Tool-Name, Argumente, Ergebnis, Benutzeridentität und ob der Aufruf erlaubt oder verweigert wurde. Fragen Sie sie mit SQL ab wie jede andere Tabelle.

So funktioniert es

Definieren Sie Ihre Richtlinienfunktion in Unity Catalog

Unity Catalog ermöglicht es Ihnen, jeden externen MCP zu registrieren und zu steuern (siehe unseren Blog, wie das funktioniert!). Eine Servicerichtlinie ist eine Unity Catalog SQL-Funktion. Sie empfängt zwei Argumente, actor (wer aufruft) und context (was aufgerufen wird), und gibt „erlauben“ oder „verweigern“ mit einem Grund zurück.

Hier ist eine einfache Richtlinie für einen GitHub MCP. Sie blockiert das Löschen von Dateien vollständig und das Zusammenführen von PRs, es sei denn, der Aufrufer ist ein zugelassener Ingenieur:

Anhängen und durchsetzen

Nachdem sie geschrieben wurde, hängen Sie die Richtlinie an jeden MCP-Dienst in Unity AI Gateway an. Von diesem Zeitpunkt an wird jeder Tool-Aufruf, der über diesen Dienst geleitet wird, bewertet, bevor er ausgeführt wird. Es sind keine Codeänderungen im Agenten oder im MCP-Server erforderlich.

Protokollieren und überprüfen

Jeder Tool-Aufruf wird automatisch in einer Delta table in Unity Catalog erfasst. Senden Sie eine Aufforderung, die blockiert werden sollte, und eine, die passieren sollte. Die Ergebnisse erscheinen sofort in Ihren Logs und sind mit SQL abfragbar wie jede andere Tabelle.

Erste Schritte

Servicerichtlinien und Payload-Protokollierung für MCP sind als Gated Beta verfügbar und erweitern die gleichen Governance-Konzepte, die Sie bereits für Daten verwenden, auf jeden MCP-Aufruf. Um frühzeitigen Zugang zu erhalten, wenden Sie sich an Ihr Databricks-Account-Team.

(Dieser Blogbeitrag wurde mit KI-gestützten Tools übersetzt.) Originalbeitrag