Amazon Quick и Snowflake Cortex в тестах сократили время расследований AML‑алертов до <5 минут

Технический материал описывает интеграцию Amazon Quick Flows с Snowflake Cortex через Model Context Protocol (MCP): в тестовой среде это позволило сократить время расследований AML‑алертов с 30 — 90 минут до менее 5 минут при сохранении безопасности данных.

Amazon Quick и Snowflake Cortex показали рабочий сценарий автоматизированного триажа оповещений по отмыванию денег (AML), в котором время расследований в тестовой среде сократилось с 30 — 90 минут до менее 5 минут. Это важно для средних и крупных банков, где анализ одного алерта обычно занимает десятки минут и создаёт большую нагрузку на комплаенс‑команды. Реализация использует Amazon Quick как слой оркестрации: Quick Flows автоматизируют последовательность шагов, а Amazon Quick Automate управляет процессами. Quick Flows переводят входные запросы в стандартизованные вызовы по Model Context Protocol (MCP), что устраняет необходимость в кастомных коннекторах; соединение защищено через OAuth‑аутентификацию и обслуживается Snowflake‑managed MCP server.

Snowflake предоставляет Cortex Agent, который берёт на себя аналитическую работу, обрабатывая как структурированные транзакционные данные, так и неструктурированные документы. Для структурированного анализа применяется Cortex Analyst, для поиска и работы с документами — Cortex Search. Взаимодействие между оркестрацией Quick и аналитикой Cortex происходит через MCP‑действия, управляемые самим Quick Flows. Авторы приводят подробное описание end‑to‑end опыта аналитика: публикуемый flow открывают, вводят ID алерта (например, ALT‑2026‑03‑02‑002) и при необходимости временное окно; flow подтверждает существование алерта, вызывает Cortex Agent для анализа транзакций, профиля клиента, истории и применимых политик, а затем формирует структурированное investigative brief. В итоговом брифе выделяются ключевые секции: резюме алерта, паттерн транзакций, профиль клиента, прошлые SAR и применимая политика.

Авторы подчёркивают практическую мотивацию: отраслевые оценки показывают, что 90 — 95% AML‑алертов оказываются ложноположительными, что создаёт большой объём рутинной работы. При этом публикация отмечает, что реальная экономия времени зависит от сложности конкретного алерта и объёма задействованных данных. Интеграционная экосистема связывает Snowflake AI Data Cloud с AWS‑инфраструктурой и сервисами, включая Amazon S3, AWS Glue, Amazon SageMaker и Amazon Bedrock; между AWS и Snowflake заявлено более 50 нативных интеграций. Авторы акцентируют внимание на том, что стандартизованный MCP и OAuth‑аутентификация позволяют ускорять доставку результата без снижения безопасности данных.

С практической точки зрения архитектура позиционируется как повторяемая: тот же подход годится не только для AML, но и для других повторяющихся задач — например, FinOps‑триажа затрат, реагирования SRE‑команд или расследований соответствия, — поскольку обеспечивает воспроизводимость рабочих процессов и быстрее приводит решения в продакшн.