安全清单数据库权限检查表更新于 2026-07-0710 分钟阅读

AI Agent 连接数据库时,怎样设置权限才不会越权访问?

把 Agent 当成受控业务身份,而不是把它接到一个共享数据库账号或全库权限上。

摘要

Agentic AI 正在从问答走向工具调用和业务动作。Gartner 公开预测,到 2027 年,将有相当比例的企业因为治理失败而下调或停用自治 AI Agent;CISA 也提醒组织谨慎采用 Agentic AI 服务。数据库场景的核心风险不是“能不能连上”,而是连上之后能看什么、能做什么、谁批准、如何留证、何时停止。

适用对象

安全负责人数据平台团队企业架构师AI Agent 项目团队

首要原则

独立身份

Agent 不共用 DBA、应用或个人高权限账号。

默认动作

只读候选

先允许查询和生成草稿,写入、DDL、外发和发布必须另行审批。

上线条件

可停止

每个 Agent 都要有停用、回滚、告警和人工接管路径。

核心结论
  • AI Agent 连接数据库前,必须使用独立身份、最小权限、只读或脱敏视图、查询限额和完整审计。
  • 数据库权限要按动作等级治理:观察、建议、审批后执行、禁止或专项授权,不能用一个总开关。
  • InchStack 适合作为 Agent 数据访问控制面,记录上下文、授权、人审、质量证据、执行结果和交付回执。
01一、为什么数据库接入要单独治理

Agent 的风险来自“能行动”和“能访问”的叠加

传统 BI、报表或数据查询工具通常由人发起动作,人也承担解释和确认责任。AI Agent 一旦同时拥有自然语言理解、数据库连接、工具调用和自动执行能力,错误理解、越权访问、高成本查询、误写入和对外错误发布都会被放大。

因此,企业不能只问“Agent 是否能连数据库”。更关键的问题是:它使用哪个身份、能访问哪些库表字段、能否看到敏感数据、能否执行写操作、是否允许调用外部工具、谁批准高风险动作、日志是否能被安全团队复查。

AI Agent 数据库访问控制检查表
控制点最低要求禁止做法
身份为每个 Agent 建独立身份,绑定业务用途和负责人共用 DBA、应用服务或个人账号
数据范围只开放任务所需库、表、字段、视图或脱敏样例默认全库、全表、全历史访问
动作等级先只读查询和生成建议,写入或发布必须审批把 SELECT、UPDATE、DDL、导出、外发放进同一权限
敏感字段使用脱敏视图、行列级限制和最小上下文让模型直接读取身份证、手机号、财务、客户合同等全量明文
查询限额设置超时、行数、频率、成本和并发限制允许无限重试、全表扫描和大批量导出
审批高风险动作需要人审、工单或双人确认让 Agent 自主修改生产数据或发布经营结论
审计记录问题、SQL、数据范围、模型建议、审批和结果只保留数据库慢日志,缺少业务上下文
停止条件定义停用、回滚、告警和人工接管路径没有一键停用或异常处理预案
02二、先分四档权限

不要用一个“允许访问数据库”开关管理所有 Agent

权限档位应按业务风险设计,逐步从观察到建议,再到审批后执行。

企业可以把 Agent 数据库权限分成四档。第一档是观察:读取公开样例、元数据、字段字典和脱敏视图。第二档是建议:生成 SQL 草稿、质量规则、指标解释和异常假设。第三档是审批后执行:在人工确认后触发查询、数据质量检查或低风险任务。第四档是禁止或隔离:生产写入、DDL、权限变更、外部发送、财务口径发布等高风险动作默认不开放。

这套分档不是为了降低效率,而是为了让业务、数据、安全和法务能对同一个 Agent 形成共同理解。Agent 的能力越强,越要把能访问的数据范围和能执行的动作分开治理。

推荐授权路径

  1. 01

    L1

    观察

    读取元数据、样例、文档和脱敏视图,不接触生产明细。

  2. 02

    L2

    建议

    生成 SQL、口径解释、质量规则和风险提示,不直接执行生产动作。

  3. 03

    L3

    审批执行

    人工确认后运行受限查询、质量检查或低风险任务。

  4. 04

    L4

    禁止或专项授权

    生产写入、DDL、外发、权限变更和正式发布默认禁止。

首个试点建议停留在 L1-L2,只有证据链稳定后再讨论 L3。

03三、控制面怎么落地

InchStack 负责记录上下文、审批和证据,而不是绕过数据库安全体系

OWASP Agentic AI 风险材料强调,Agent 的规划、工具调用和权限边界需要专门治理;NIST AI RMF 也要求组织围绕风险识别、治理和管理建立可执行机制。落到数据库场景,就是让每次访问都有业务问题、数据范围、授权级别、模型输出、人审结论和结果证据。

InchStack 可以把 Agent 放进可复查的数据交付控制面:业务方提出问题,系统限定数据范围,模型生成候选 SQL 或质量规则,负责人确认后再执行,执行结果、质量检查和交付回执一起保存。数据库原生权限、审计、脱敏和堡垒机仍然有效,InchStack 补的是跨角色、跨工具的证据链。

上线前签收项

没有这些签收项,就不要让 Agent 接触真实生产数据库。

身份签收

谁负责

业务负责人、数据负责人、安全负责人明确。

权限签收

看什么

库表字段、视图、敏感字段和查询限额明确。

动作签收

能做什么

只读、建议、审批执行、禁止动作逐项确认。

参考依据

以下来源用于确认市场趋势、政策背景和术语边界;具体落地方案仍以客户的数据范围、权限和交付目标为准。

常见问题

AI Agent 能否直接使用现有应用数据库账号?

不建议。Agent 应使用独立身份,并绑定业务用途、负责人、数据范围、动作等级和审计策略,避免与应用、DBA 或个人账号混用。

只读权限是否就一定安全?

不一定。只读也可能造成敏感字段泄露、批量导出、高成本查询或错误结论发布。仍需脱敏视图、行列级限制、查询限额、审计和人工确认。

下一步

推荐动作

设计类内容适合把决策闭环、证据回执和用量成本一起评估。