AI Agent 连接数据库时,怎样设置权限才不会越权访问?
把 Agent 当成受控业务身份,而不是把它接到一个共享数据库账号或全库权限上。
Agentic AI 正在从问答走向工具调用和业务动作。Gartner 公开预测,到 2027 年,将有相当比例的企业因为治理失败而下调或停用自治 AI Agent;CISA 也提醒组织谨慎采用 Agentic AI 服务。数据库场景的核心风险不是“能不能连上”,而是连上之后能看什么、能做什么、谁批准、如何留证、何时停止。
适用对象
首要原则
独立身份
Agent 不共用 DBA、应用或个人高权限账号。
默认动作
只读候选
先允许查询和生成草稿,写入、DDL、外发和发布必须另行审批。
上线条件
可停止
每个 Agent 都要有停用、回滚、告警和人工接管路径。
- AI Agent 连接数据库前,必须使用独立身份、最小权限、只读或脱敏视图、查询限额和完整审计。
- 数据库权限要按动作等级治理:观察、建议、审批后执行、禁止或专项授权,不能用一个总开关。
- InchStack 适合作为 Agent 数据访问控制面,记录上下文、授权、人审、质量证据、执行结果和交付回执。
Agent 的风险来自“能行动”和“能访问”的叠加
传统 BI、报表或数据查询工具通常由人发起动作,人也承担解释和确认责任。AI Agent 一旦同时拥有自然语言理解、数据库连接、工具调用和自动执行能力,错误理解、越权访问、高成本查询、误写入和对外错误发布都会被放大。
因此,企业不能只问“Agent 是否能连数据库”。更关键的问题是:它使用哪个身份、能访问哪些库表字段、能否看到敏感数据、能否执行写操作、是否允许调用外部工具、谁批准高风险动作、日志是否能被安全团队复查。
| 控制点 | 最低要求 | 禁止做法 |
|---|---|---|
| 身份 | 为每个 Agent 建独立身份,绑定业务用途和负责人 | 共用 DBA、应用服务或个人账号 |
| 数据范围 | 只开放任务所需库、表、字段、视图或脱敏样例 | 默认全库、全表、全历史访问 |
| 动作等级 | 先只读查询和生成建议,写入或发布必须审批 | 把 SELECT、UPDATE、DDL、导出、外发放进同一权限 |
| 敏感字段 | 使用脱敏视图、行列级限制和最小上下文 | 让模型直接读取身份证、手机号、财务、客户合同等全量明文 |
| 查询限额 | 设置超时、行数、频率、成本和并发限制 | 允许无限重试、全表扫描和大批量导出 |
| 审批 | 高风险动作需要人审、工单或双人确认 | 让 Agent 自主修改生产数据或发布经营结论 |
| 审计 | 记录问题、SQL、数据范围、模型建议、审批和结果 | 只保留数据库慢日志,缺少业务上下文 |
| 停止条件 | 定义停用、回滚、告警和人工接管路径 | 没有一键停用或异常处理预案 |
不要用一个“允许访问数据库”开关管理所有 Agent
权限档位应按业务风险设计,逐步从观察到建议,再到审批后执行。
企业可以把 Agent 数据库权限分成四档。第一档是观察:读取公开样例、元数据、字段字典和脱敏视图。第二档是建议:生成 SQL 草稿、质量规则、指标解释和异常假设。第三档是审批后执行:在人工确认后触发查询、数据质量检查或低风险任务。第四档是禁止或隔离:生产写入、DDL、权限变更、外部发送、财务口径发布等高风险动作默认不开放。
这套分档不是为了降低效率,而是为了让业务、数据、安全和法务能对同一个 Agent 形成共同理解。Agent 的能力越强,越要把能访问的数据范围和能执行的动作分开治理。
推荐授权路径
- 01
L1
观察
读取元数据、样例、文档和脱敏视图,不接触生产明细。
- 02
L2
建议
生成 SQL、口径解释、质量规则和风险提示,不直接执行生产动作。
- 03
L3
审批执行
人工确认后运行受限查询、质量检查或低风险任务。
- 04
L4
禁止或专项授权
生产写入、DDL、外发、权限变更和正式发布默认禁止。
首个试点建议停留在 L1-L2,只有证据链稳定后再讨论 L3。
InchStack 负责记录上下文、审批和证据,而不是绕过数据库安全体系
OWASP Agentic AI 风险材料强调,Agent 的规划、工具调用和权限边界需要专门治理;NIST AI RMF 也要求组织围绕风险识别、治理和管理建立可执行机制。落到数据库场景,就是让每次访问都有业务问题、数据范围、授权级别、模型输出、人审结论和结果证据。
InchStack 可以把 Agent 放进可复查的数据交付控制面:业务方提出问题,系统限定数据范围,模型生成候选 SQL 或质量规则,负责人确认后再执行,执行结果、质量检查和交付回执一起保存。数据库原生权限、审计、脱敏和堡垒机仍然有效,InchStack 补的是跨角色、跨工具的证据链。
上线前签收项
没有这些签收项,就不要让 Agent 接触真实生产数据库。
身份签收
谁负责
业务负责人、数据负责人、安全负责人明确。
权限签收
看什么
库表字段、视图、敏感字段和查询限额明确。
动作签收
能做什么
只读、建议、审批执行、禁止动作逐项确认。
参考依据
以下来源用于确认市场趋势、政策背景和术语边界;具体落地方案仍以客户的数据范围、权限和交付目标为准。
常见问题
AI Agent 能否直接使用现有应用数据库账号?
不建议。Agent 应使用独立身份,并绑定业务用途、负责人、数据范围、动作等级和审计策略,避免与应用、DBA 或个人账号混用。
只读权限是否就一定安全?
不一定。只读也可能造成敏感字段泄露、批量导出、高成本查询或错误结论发布。仍需脱敏视图、行列级限制、查询限额、审计和人工确认。