Los agentes de AI empresariales deben estar donde ya residen sus datos, gobernanza y políticas.
por Kaan Kuguoglu y John Karlsson
La mayoría de los pilotos de IA empresariales superan el mismo listón bajo: conectar un LLM a sus datos, integrar una base de datos vectorial y hacer una demostración ante el equipo directivo. La parte difícil viene después. El equipo de seguridad señala las brechas de gobernanza. La latencia en los agentes de varios pasos arruina la experiencia del usuario. La factura del proveedor de modelos no para de subir. Estos problemas suelen tener su origen en una sola decisión: extraer los datos de los sistemas gobernados para llevarlos a un entorno de IA que nunca se diseñó para aplicar sus políticas.
Este artículo propone una dirección arquitectónica diferente: llevar los modelos y los agentes a los datos, y no al revés. En lugar de crear una infraestructura de IA paralela y conectarla de vuelta a su lakehouse, los agentes se tratan como cargas de trabajo nativas que se ejecutan dentro de su plataforma de datos, bajo los mismos controles de gobernanza, seguridad y observabilidad en los que ya confía para sus datos.
El lakehouse le ofreció un único lugar para gobernar sus datos. La siguiente pregunta es si sus agentes residen dentro o fuera de ese límite. Existen dos paradigmas emergentes.
Los agentes y los LLM se ejecutan en un entorno de IA independiente. Los datos se exportan o se consultan a través de la red en bases de datos vectoriales externas, LLM de tipo SaaS o capas de servicio personalizadas. La gobernanza, la seguridad y la observabilidad se vuelven a implementar de forma paralela para la IA.
Los agentes, los modelos, las herramientas, la recuperación y la memoria de los agentes se ejecutan dentro de la misma plataforma que los propios datos, bajo una capa unificada de gobernanza y seguridad. La IA se convierte en otra carga de trabajo en su pila de datos existente.
Los datos tienen gravedad. El cómputo es fácil de trasladar; los datos no, especialmente a medida que los volúmenes crecen y las modalidades se multiplican. Extraerlos introduce una serie de inconvenientes conocidos:
De todos estos inconvenientes, la gobernanza merece especial atención porque es el único que no se puede solucionar a posteriori. La mayoría de los enfoques de gobernanza de IA la tratan como un filtro que se aplica después de que el agente ya haya accedido a los datos; por ejemplo, ocultando campos confidenciales de la respuesta, bloqueando ciertos temas en la capa de salida y auditando los registros a posteriori. Esto funciona para demostraciones sencillas de Q&A, pero se desmorona en el momento en que los agentes empiezan a procesar datos.
Pensemos en un agente que calcula un resumen financiero a partir de filas sujetas a seguridad a nivel de fila. La propia agregación (la suma, el promedio, la tendencia) es un valor derivado que depende de qué filas se incluyan. Si la gobernanza no se aplica antes de que se ejecute la consulta, el resultado ya codifica datos en los que el usuario no debería haber influido. Ninguna ocultación posterior puede deshacer ese cálculo. La decisión sobre la política debía tomarse en el momento de la planificación de la consulta, no al renderizar la respuesta.
Esta es la brecha fundamental de la gobernanza perimetral o a posteriori: asume que los datos se pueden censurar de forma segura después de que lleguen al agente. En la práctica, una vez que se ha producido una agregación o transformación, la intención de gobernanza ya se ha perdido. Los controles retroactivos son fundamentalmente incompletos.
Hay un segundo coste si esto se hace mal, y se refleja en la factura. El problema no es solo lo que el agente tiene permitido tocar, aunque eso es parte de ello. Cuando la gobernanza se resuelve a posteriori en lugar de en el origen, el agente acaba haciendo la conciliación por sí mismo: recorriendo registros de auditoría, uniendo fragmentos de sistemas externos, extrayendo el mismo registro de varios lugares para determinar si puede usarlo y volviendo a razonar sobre cada resultado parcial. Nada de eso es su tarea real. Es el agente compensando una respuesta gobernada que nunca se le proporcionó de antemano. Las salidas bloqueadas u ocultadas solo alimentan la espiral, ya que el agente las interpreta como fallos e intenta de nuevo. Las sesiones se alargan, cada salto carga más contexto en el modelo y una sola solicitud se convierte silenciosamente en miles de tokens facturados. Ese es el bucle de consumo desmedido de tokens, y la gobernanza a posteriori es lo que lo pone en marcha.
Los agentes nativos de datos abordan estos desafíos integrando la aplicación de políticas directamente en la planificación y el procesamiento de las consultas. Cada resultado intermedio refleja las mismas restricciones de gobernanza. La gobernanza debe evaluarse antes y durante la ejecución, algo que no puede permitirse aplicar como una ocurrencia tardía una vez finalizado el procesamiento. Las guardrails personalizadas en Unity AI Gateway son la forma concreta de esto: políticas componibles y deterministas que la pasarela aplica en cada solicitud y respuesta, no filtros que se le pide al modelo que obedezca a posteriori. Decidir la política en el momento de la planificación, sobre datos que ya residen en un único lugar gobernado, también significa que el agente obtiene una respuesta limpia en una sola pasada en lugar de tener que explorar diversos sistemas para recopilarla o justificarla.
Hasta ahora, nos hemos centrado en cómo los agentes leen los datos. Pero los agentes en producción también escriben: historial de conversaciones, progreso de tareas, preferencias del usuario, resultados almacenados en caché y salidas de herramientas para auditorías posteriores. A medida que los agentes asumen más funciones, la capa de estado importa tanto como la de datos. Si la deja fuera del límite de gobernanza, cualquier promesa de auditabilidad de extremo a extremo tendrá una brecha.
El estado es el bloc de notas a corto plazo del agente: la conversación activa, la tarea en curso, la caché que acaba de llenar. La memoria es lo que sobrevive a la sesión: con qué clientes ha tratado un agente, qué prefiere un usuario, qué salidas anteriores vale la pena reutilizar. Ambos necesitan almacenamiento transaccional, y ambos pierden gobernanza en el momento en que salen de la plataforma. Un recuerdo como "el usuario X es un cliente de la EU de alto valor" es en sí mismo un dato confidencial, sujeto a las mismas reglas de acceso y residencia que el registro que resume. Y es una carga de trabajo transaccional: las tablas Delta están diseñadas para grandes análisis de datos, pero el estado del agente necesita lecturas y escrituras rápidas por fila, búsquedas por clave y actualizaciones atómicas.
La solución habitual es un Postgres o Redis externo. Pero eso le devuelve al problema contra el que argumenta este artículo: el estado del agente sale del perímetro gobernado hacia un sistema que su capa de gobernanza no puede ver, con su propia seguridad y ciclo de vida que gestionar. Habrá creado un agente nativo de datos con una dependencia no gobernada.
Y el problema crece en el momento en que un agente se convierte en muchos. Un enjambre que trabaja para lograr un resultado mayor (un planificador que delega en especialistas, un supervisor que concilia sus resultados) necesita memoria compartida, y mantener la alineación en ella es donde estos sistemas fallan. Cuando cada agente mantiene un estado privado y transmite el contexto de punto a punto, no hay una única fuente de verdad. Los agentes divergen, las escrituras colisionan y cada transferencia es otro canal no gobernado que se multiplica a medida que el enjambre crece. Intercambiar memoria resulta ser la parte difícil.
Lakebase cierra estas brechas. Es un almacenamiento de PostgreSQL totalmente gestionado dentro de la plataforma Databricks, bajo el mismo plano de gobernanza que todo lo demás. El estado del agente se convierte en un activo gobernado: hereda los controles de acceso de la plataforma, reside junto a los datos y herramientas del agente, y no requiere un equipo de infraestructura independiente. Y dado que cada agente lee y escribe en esa misma capa transaccional, también funciona como la única fuente de verdad del enjambre. El estado se mantiene consistente, las actualizaciones atómicas evitan que dos agentes corrompan la misma tarea, una política sobre la vista de un agente se traslada a lo que escriba para el siguiente, y cualquier memoria se puede rastrear a través del enjambre: qué agente la escribió, cuál la leyó y cómo una conclusión profunda llega a su origen.
El argumento de la gobernanza es el más sólido, pero las ventajas van más allá. Cuando los agentes se ejecutan dentro de la pila de datos, las ventajas se acumulan en cada dimensión operativa: seguridad, calidad, observabilidad, implementación, latencia y coste. Las herramientas y las dependencias de datos se configuran y registran junto con el modelo, por lo que todo el sistema está versionado, es auditable y reproducible de forma predeterminada.
La siguiente comparación resume cómo difieren estos dos paradigmas en las dimensiones que más importan para los sistemas en producción:
| Medios de confianza y control | Agentes nativos de datos | Agentes externos |
|---|---|---|
| Gobernanza | Un único plano de control para datos y agentes, con la aplicación de políticas integrada directamente en la planificación y ejecución de consultas. | Requiere replicar la gobernanza en cada componente de IA: los almacenes de datos, las DB vectoriales y los LLM de tipo SaaS necesitan sus propias ACL, reglas de enmascaramiento y políticas de tokens. Gobernanza y linaje fragmentados, y a menudo una falta de FGAC. |
| Seguridad | Los datos y los modelos permanecen dentro de su perímetro de nube/VPC. | Los datos a menudo salen de su perímetro seguro, lo que genera superficies de ataque adicionales. |
| Calidad del agente | El rastreo de extremo a extremo permite una evaluación sistemática y nativa de la plataforma. | La evaluación está fragmentada y es manual, con registros distribuidos entre múltiples proveedores externos. |
| Calidad de los datos | La consistencia está integrada a través de canalizaciones de datos compartidas; la actualización de los datos es gestionada por la plataforma. | Los controles de calidad de datos desconectados requieren procesos de sincronización frágiles y personalizados para mantener actualizados los datos de los agentes. |
| Observabilidad y monitoreo | La evaluación y el monitoreo holísticos capturan todos los pasos de manera centralizada, junto con las versiones del modelo y del agente. | Los registros están dispersos en diferentes herramientas, lo que dificulta y ralentiza la resolución de problemas de extremo a extremo. |
| Memoria del agente | El historial de conversaciones, las preferencias del usuario y el contexto aprendido persisten en Lakebase, gobernados por Unity Catalog, combinables con los datos comerciales subyacentes y vinculados al mismo modelo de identidad que el resto de la pila tecnológica. | La memoria reside en una instancia separada de Redis o Postgres, con su propio modelo de acceso, sin linaje hacia los datos de origen y sin forma de que el gobierno de datos vea qué ha retenido el agente sobre un usuario. |
| Contexto de negocio | El mismo Unity Catalog que gobierna los datos modela su significado. Las métricas, el glosario, los dominios y la ontología de Genie (Genie Ontology) proporcionan automáticamente a los agentes sus definiciones de negocio, clasificadas por autoridad y respetando las ACLs de origen. | El significado de negocio reside fuera del perímetro, en herramientas de BI, hojas de cálculo o en la mente de los expertos del dominio. Cada agente tiene que reconstruirlo, a menudo solo a partir de los nombres de las columnas. |
| Despliegue | CI/CD simplificado con la pila completa (datos, modelos, agentes) versionada de forma conjunta. | Requiere canalizaciones de CI/CD independientes y una coordinación compleja entre múltiples proveedores. |
| Latencia | Baja latencia porque los agentes se ejecutan cerca de los datos, lo que minimiza los saltos de red. | Alta latencia debido a múltiples viajes de ida y vuelta por red para cada recuperación y llamada de herramienta. |
| Costo | Servicio y almacenamiento consolidados (los datos se almacenan una sola vez), evitando costos de salida. | Precios fragmentados y costos sustanciales de salida para mover datos a escala. |
La Data Intelligence Platform pone esto en práctica. En lugar de construir una "pila de AI" separada y conectarla a sus datos, usted construye agentes de AI dentro de la propia pila de datos. Un agente nativo de datos en Databricks es aquel que:

Algunas empresas ya están construyendo de esta manera. Sus agentes se ejecutan dentro del mismo límite que sus datos, con políticas de Unity Catalog que cubren ambos, el estado en Lakebase y el tráfico a través de Unity AI Gateway. Ninguna de ellas llegó allí con un solo proyecto de cambio de plataforma. Cerraron la brecha entre el lakehouse y la pila de AI un piloto a la vez, y luego dejaron de abrir otros nuevos.
Para los equipos que están al inicio del camino, el trabajo no es drástico. La mayoría de las piezas ya existen en el lado de la plataforma: Model Serving, Unity Catalog, Lakebase, MLflow. Lo que falta es la decisión de tratarlos como el hogar del agente en lugar de como fuentes de datos para una pila paralela. Esa decisión suele ser la parte más difícil.
El lugar más útil para comenzar es un inventario de lo que ya se está ejecutando fuera del perímetro. De ahí es de donde provendrá el próximo incidente de gobierno, y ese es el trabajo que hace posible todo lo demás.
Si desea profundizar en cómo operacionalizar agentes nativos de datos con los mecanismos de protección y los patrones adecuados, estos recursos son un excelente siguiente paso:
Para explorar las capacidades de la plataforma analizadas en esta publicación:
(Esta entrada del blog ha sido traducida utilizando herramientas basadas en inteligencia artificial) Publicación original
Suscríbete a nuestro blog y recibe las últimas publicaciones directamente en tu bandeja de entrada.