阻止恶意AI：Unity Catalog如何保护您的代理操作

阻止恶意 AI：Unity Catalog 如何保护您的代理操作 | Databricks 博客

跳转到主要内容

[](https://www.databricks.com/)

[](https://www.databricks.com/)

• 为什么选择 Databricks

• * 探索

• 面向应用开发者

• 面向高管

• 面向初创企业

• Lakehouse 架构

• Databricks AI 研究

• 客户

• 客户案例

• 合作伙伴

• 合作伙伴概览 探索 Databricks 合作伙伴生态系统

• 合作伙伴计划 探索权益、等级以及如何成为合作伙伴

• 寻找合作伙伴 根据您的需求发现 Databricks 合作伙伴

• 合作伙伴聚焦 精选合作伙伴公告

• 云服务提供商 AWS、Azure 和 GCP 上的 Databricks

• 合作伙伴解决方案 查找定制行业和迁移解决方案

• 产品

• * Databricks 平台

• 平台概览 数据、分析和 AI 的统一平台

• 共享 开放、安全、零拷贝的数据共享

• 治理 所有数据、分析和 AI 资产的统一治理

• 人工智能 构建和部署 ML 和 GenAI 应用

• 商业智能 真实世界数据的智能分析

• 数据库 数据应用和 AI 代理的 PostgreSQL

• 数据管理 数据可靠性、安全性和性能

• 数据仓库 用于 SQL 分析的无服务器数据仓库

• 数据工程 批处理和流数据的 ETL 和编排

• 业务生产力 统一搜索、聊天、仪表板和应用

• 应用开发 快速构建安全的数据和 AI 应用

• 安全性 为 AI 时代构建的开放代理 SIEM

• 集成和数据

• 市场 数据、分析和 AI 的开放市场

• IDE 集成 在您喜欢的 IDE 中构建 Lakehouse

• Partner Connect 发现并集成 Databricks 生态系统

• 定价

• Databricks 定价 探索产品定价、DBU 等

• 成本计算器 估算任何云上的计算成本

• 开源

• 开源技术 了解更多关于平台背后的创新

• 解决方案

• * Databricks 行业解决方案

• 通信

• 金融服务

• 医疗保健与生命科学

• 制造业

• 媒体与娱乐

• 公共部门

• 零售

• 查看所有行业

• 跨行业解决方案

• AI 代理

• AI 治理

• 网络安全

• 营销

• 迁移与部署

• 数据迁移

• 专业服务

• 解决方案加速器

• 探索加速器 更快速地实现关键成果

• 资源

• * 学习

• 培训 发现适合您需求的课程体系

• Databricks Academy 登录 Databricks 学习平台

• 认证 获得认可与差异化优势

• 免费版 免费学习专业数据和 AI 工具

• 大学联盟 想教授 Databricks？了解详情。

• 活动

• Data + AI 峰会

• Data + AI 世界巡展

• AI 日

• 活动日历

• 博客和播客

• Databricks 博客 探索新闻、产品公告等

• AI 博客 探索我们的 AI 研究和工程工作

• Data Brew 播客 畅谈数据！

• Data + AI 冠军播客 来自推动创新的数据领导者的见解

• 获取帮助

• 客户支持

• 文档

• 社区

• 深入探索

• 资源中心

• 演示中心

• 架构中心

• 关于

• * 公司

• 我们是谁

• 我们的团队

• Databricks 风险投资

• 联系我们

• 职业发展

• 在 Databricks 工作

• 空缺职位

• 新闻

• 奖项与认可

• 新闻发布室

• 安全与信任

• 安全与信任

• DATA + AI 峰会 

• 登录
• 联系我们
• 试用 Databricks

1. 所有博客
2. / 平台

目录

目录

目录

产品2026年5月19日

阻止恶意 AI：Unity Catalog 如何保护您的代理操作

通过服务策略和 MCP 工具的端到端负载日志记录，防止未经授权的代理行为

作者：Ahmed Bilal

代理式 AI 的风险已不再是理论问题。连接到外部工具的代理正在生产环境中采取破坏性、不可逆的操作：在几秒钟内擦除整个数据库、删除数百万行关键数据，以及在任务中途删除生产数据库。在每起事件中，代理都在其授权范围内行事。它所缺乏的是对可以调用哪些工具的任何限制，以及对其所采取操作的任何记录。

今天，我们推出了以管理数据的方式来管理每个 MCP 工具的能力，包括细粒度的访问控制、策略实施和完整的审计跟踪。Unity Catalog 现在允许您设置谁可以调用哪些 MCP 服务器，管理员可以叠加服务策略来限制对特定工具（例如 delete_database）的访问，或定义调用工具的条件（例如只有管理员可以调用 delete_database）。Unity AI Gateway 在每次调用时实时实施这些策略，并记录每个请求的完整负载。

问题：访问是全有或全无，且工具调用不留痕迹

MCP 服务器向任何连接的代理暴露一组工具——GitHub MCP 可能暴露 push_files、delete_file 和 merge_pull_request；数据库 MCP 可能暴露 execute_query 和 drop_table。默认情况下，如果代理被授权连接，所有这些工具随时可用。无法表达"此代理可以读取但不能写入"，或"只有高级工程师才能执行此操作"，或"任何人都不能在生产环境中调用管理工具"。

当出现问题时，没有任何可供调查的信息。工具调用不会出现在模型日志或应用日志中。代理采取的具体操作、使用什么参数、代表谁执行——这些记录根本不存在。

这意味着一个配置错误的代理、一个意外操作，你既无法在发生前阻止它，也无法在发生后解释它。

解决方案：Unity Catalog 中的 MCP 治理

Unity Catalog 现在治理整个 GenAI 资产，包括 LLM 和 MCP。一旦 MCP 被注册，你就获得了缺失的东西：控制代理允许执行的操作，以及它们实际执行的完整记录。这两者都由 Unity AI Gateway 在每次 MCP 调用时实时强制执行。

服务策略允许你编写规则，在工具调用到达上游 MCP 服务器之前和之后对其进行评估。你决定哪些调用被允许、拒绝或需要用户同意。服务策略用 SQL 定义，允许管理员检查参数，包括调用者属性和其他上下文属性。如果调用未通过策略，则会被阻止

有效载荷日志记录将每个工具调用捕获为 Unity Catalog 中管理的追踪表中的条目。工具名称、参数、结果、用户身份，以及调用是被允许还是被拒绝。像其他表一样使用 SQL 查询它。

展开

工作原理

在 Unity Catalog 中定义策略函数

Unity Catalog 允许你注册和治理任何外部 MCP（参见我们的博客了解其工作原理！）。服务策略是一个 Unity Catalog SQL 函数。它接收两个参数：actor（调用者）和 context（调用内容），并返回允许或拒绝及原因。

以下是一个 GitHub MCP 的简单策略。它完全阻止文件删除，并阻止合并 PR，除非调用者是经过批准的工程师：

sql

CREATE OR REPLACE FUNCTION main.default.github_mcp_policy(actor VARIANT, context VARIANT)

RETURNS STRUCT<result STRING, reason STRING>

RETURN CASE

  -- 任何人都不能删除文件。

  WHEN context:tool.name::STRING = 'delete_file'

    THEN NAMED_STRUCT('result', 'deny', 'reason', 'Deleting files is not permitted.')

  -- 只有经过批准的工程师才能合并 PR。

  WHEN context:tool.name::STRING = 'merge_pull_request'

       AND actor:run_as::STRING NOT IN ('alice@acme.com', 'bob@acme.com')

    THEN NAMED_STRUCT('result', 'deny', 'reason',

           CONCAT(actor:run_as::STRING, ' is not authorized to merge pull requests.'))

  ELSE NAMED_STRUCT('result', 'allow', 'reason', '')

END

附加并强制执行

编写完成后，将策略附加到 Unity AI Gateway 中的任何 MCP 服务。从那时起，通过该服务路由的每个工具调用都在执行前进行评估。代理或 MCP 服务器无需更改代码。

展开

日志记录和验证

每个工具调用都会自动捕获到 Unity Catalog 的 Delta 表中。发送一个应该被阻止的提示和一个应该通过的提示。结果立即出现在你的日志中，可以像其他表一样使用 SQL 查询。

sql

SELECT *

FROM main.default.ai_gateway_mcp_logs

WHERE policy_result:result::STRING = 'deny'

入门

MCP 的服务策略和有效载荷日志记录作为 Gated Beta 提供，将你已用于数据的相同治理概念扩展到每个 MCP 调用。如需提前访问，请联系你的 Databricks 账户团队。

在收件箱中获取最新帖子

订阅我们的博客，将最新帖子直接发送到你的收件箱。

注册

*

工作邮箱

*

国家 国家*

点击"订阅"，我理解我将收到 Databricks 通信，并同意 Databricks 根据其隐私政策处理我的个人数据。

订阅

查看所有博客

为什么选择 Databricks

发现

• 面向应用开发者
• 面向高管
• 面向初创公司
• Lakehouse 架构
• Databricks AI 研究

客户

• 客户案例

合作伙伴

• 合作伙伴概览
• 合作伙伴计划
• 查找合作伙伴
• 合作伙伴聚焦
• 云提供商
• 合作伙伴解决方案

为什么选择 Databricks

发现

• 面向应用开发者
• 面向高管
• 面向初创企业
• Lakehouse 架构
• Databricks AI 研究

客户

• 客户案例

合作伙伴

• 合作伙伴概述
• 合作伙伴计划
• 寻找合作伙伴
• 合作伙伴聚焦
• 云服务提供商
• 合作伙伴解决方案

产品

Databricks 平台

• 平台概述
• 数据共享
• 数据治理
• 人工智能
• 商业智能
• 数据库
• 数据管理
• 数据仓库
• 数据工程
• 业务效率
• 应用开发
• 安全

定价

• 定价概述
• 价格计算器

开源

集成与数据

• 数据市场
• IDE 集成
• 合作伙伴连接

产品

Databricks 平台

• 平台概述
• 数据共享
• 数据治理
• 人工智能
• 商业智能
• 数据库
• 数据管理
• 数据仓库
• 数据工程
• 业务效率
• 应用开发
• 安全

定价

• 定价概述
• 价格计算器

开源

集成与数据

• 数据市场
• IDE 集成
• 合作伙伴连接

解决方案

Databricks 行业解决方案

• 通信
• 金融服务
• 医疗保健与生命科学
• 制造业
• 媒体与娱乐
• 公共部门
• 零售
• 查看全部

跨行业解决方案

• AI 代理
• AI 治理
• 网络安全
• 营销

数据迁移

专业服务

解决方案加速器

解决方案

Databricks 行业解决方案

• 通信
• 金融服务
• 医疗保健与生命科学
• 制造业
• 媒体与娱乐
• 公共部门
• 零售
• 查看全部

跨行业解决方案

• AI 代理
• AI 治理
• 网络安全
• 营销

数据迁移

专业服务

解决方案加速器

资源

文档

客户支持

社区

学习

• 培训
• 认证
• 免费版
• 大学联盟
• Databricks Academy 登录

活动

• Data + AI 峰会
• Data + AI 世界巡回
• AI 日
• 活动日历

博客和播客

• Databricks 博客
• AI 博客
• Data Brew 播客
• 数据与 AI 冠军播客

资源

文档

客户支持

社区

学习

• 培训
• 认证
• 免费版
• 大学联盟
• Databricks Academy 登录

活动

• Data + AI 峰会
• Data + AI 世界巡回
• AI 日
• 活动日历

博客和播客

• Databricks 博客
• AI 博客
• Data Brew 播客
• 数据与 AI 冠军播客

关于

公司

• 我们是谁
• 我们的团队
• Databricks Ventures
• 联系我们

职业发展

• 职位空缺
• 在 Databricks 工作

新闻

• 奖项与认可
• 新闻室

安全与信任

关于

公司

• 我们是谁
• 我们的团队
• Databricks Ventures
• 联系我们

职业发展

• 职位空缺
• 在 Databricks 工作

新闻

• 奖项与认可
• 新闻室

安全与信任

Databricks Inc.

160 Spear Street, 15th Floor

San Francisco, CA 94105

1-866-330-0121

• [](https://www.linkedin.com/company/databricks)
• [](https://www.facebook.com/pages/Databricks/560203607379694)
• [](https://twitter.com/databricks)
• [](https://www.databricks.com/feed)
• [](https://www.glassdoor.com/Overview/Working-at-Databricks-EI_IE954734.11,21.htm)
• [](https://www.youtube.com/@Databricks)

查看职业机会

在 Databricks

• [](https://www.linkedin.com/company/databricks)
• [](https://www.facebook.com/pages/Databricks/560203607379694)
• [](https://twitter.com/databricks)
• [](https://www.databricks.com/feed)
• [](https://www.glassdoor.com/Overview/Working-at-Databricks-EI_IE954734.11,21.htm)
• [](https://www.youtube.com/@Databricks)

© Databricks 2026. 保留所有权利。Apache、Apache Spark、Spark、Spark Logo、Apache Iceberg、Iceberg 及 Apache Iceberg Logo 均为 Apache Software Foundation 的商标。

• 隐私声明
• |使用条款
• |现代奴隶制声明
• |加州隐私
• |您的隐私选择
• 

我们重视您的隐私

Databricks 使用 Cookie 和类似技术来增强网站导航、分析网站使用情况、个性化内容和广告，并在我们的 Cookie 声明 中进一步描述。要禁用非必要 Cookie，请点击"全部拒绝"。您也可以通过点击"管理偏好设置"来管理您的 Cookie 设置。

管理偏好设置

全部拒绝 全部接受

隐私偏好中心

退出偏好信号已采纳

隐私偏好中心

• ### 您的隐私
• ### 严格必要的 Cookie
• ### 性能 Cookie
• ### 功能性 Cookie
• ### 定向 Cookie
• ### TOTHR

#### 您的隐私

当您访问任何网站时，它可能会在您的浏览器中存储或检索信息，主要以 Cookie 的形式。这些信息可能与您、您的偏好或您的设备有关，主要用于使网站按您预期的方式运行。这些信息通常不会直接识别您，但可以让您获得更加个性化的网络体验。因为我们尊重您的隐私权，您可以选择不允许某些类型的 Cookie。点击不同的类别标题以了解更多信息并更改我们的默认设置。然而，阻止某些类型的 Cookie 可能会影响您对网站的体验以及我们能够提供的服务。

#### 退出销售、共享和定向广告

根据您所在的位置，您可能有权选择退出"出售"或"共享"您的个人信息，或选择退出为在线"定向广告"目的处理您的个人信息。您可以通过在此处禁用可选 Cookie 来基于 Cookie 和类似标识符选择退出。要基于其他标识符（如您的电子邮件地址）选择退出，请在我们的隐私请求中心提交请求。

更多信息

#### 严格必要的 Cookie

始终处于活动状态

这些 Cookie 是网站运行所必需的，无法在我们的系统中关闭。它们协助实现基本的网站功能，例如设置您的隐私偏好、登录或填写表单。您可以设置浏览器来阻止或提醒您关于这些 Cookie，但网站的某些部分将无法再正常工作。

#### 性能 Cookie

• [x] 性能 Cookie

这些 Cookie 允许我们统计访问量和流量来源，以便我们能够衡量和改进网站的性能。它们帮助我们了解哪些页面最受欢迎和最不受欢迎，以及访问者如何在网站中移动。

#### 功能性 Cookie

• [x] 功能性 Cookie

这些 Cookie 使网站能够提供增强的功能和个性化设置。它们可能由我们设置，也可能由我们已向其页面添加服务的第三方提供商设置。如果您不允许这些 Cookie，则部分或全部这些服务可能无法正常运行。

#### 定向 Cookie

• [x] 定向 Cookie

这些 Cookie 可能通过我们的网站由我们的广告合作伙伴设置。它们可能被这些公司用来建立关于您兴趣的资料，并向您展示其他网站上的相关广告。如果您不允许这些 Cookie，您将体验到定向程度较少的广告。

#### TOTHR

• [x] TOTHR

Cookie 列表

同意 合法利益

• [x] 复选框标签 标签

• [x] 复选框标签 标签

• [x] 复选框标签 标签

清除

• - [x] 复选框标签 标签

应用 取消

确认我的选择

全部允许