Unity Catalog ввёл сервисные политики и сквозное логирование для контроля действий агентных MCP‑инструментов

Unity Catalog представил механизм централизованного контроля действий внешних MCP‑инструментов: администраторы теперь могут задавать сервисные политики и включать сквозное логирование, а Unity AI Gateway применяет эти правила в реальном времени. Это решение адресует непосредственную угрозу — агенты, подключённые к внешним инструментам, раньше могли выполнять опасные операции без промежуточного контроля, что приводило к потере данных и сложностям при расследовании инцидентов. Решение появилось после реальных инцидентов, когда агенты, взаимодействующие с внешними инструментами, стирали базы, удаляли миллионы строк или дропали продакшн‑базы при выполнении задач. Чтобы ограничить такие опасные действия и сохранить след вызовов, в Unity Catalog реализовали две связанные функции: сервисные политики как SQL‑функции и сквозное payload‑логирование вызовов.

Технически сервисные политики определяются как Unity Catalog SQL‑функции, которые получают два аргумента — actor (кто вызывает) и context (что вызывает) — и возвращают allow/deny с указанием причины. Эти политики выполняются «до и после» обращения к upstream‑MCP, что позволяет и превентивно блокировать нежелательные операции, и сохранять полную историю для аудита и последующего разбора инцидентов. Сквозное логирование фиксирует ключевые детали каждого вызова: имя инструмента, аргументы (payload), результат выполнения и идентичность пользователя. Записи логирования сохраняются в специальной трассировочной таблице под управлением Unity Catalog; к данным можно обращаться обычным SQL‑запросом, что упрощает расследования и разборы инцидентов.

До внедрения этих функций MCP‑серверы обычно давали агентам набор инструментов «всё или ничего» (например, push_files, delete_file, merge_pull_request для GitHub MCP или execute_query, drop_table для баз данных). При этом вызовы инструментов не появлялись ни в логах моделей, ни в приложенческих логах, поэтому понять, кто и почему запустил разрушительную операцию, было практически невозможно. Практические последствия для инженеров и администраторов: можно назначать, кто вправе вызывать конкретные MCP‑серверы или отдельные инструменты, вводить условия доступа (например, разрешать delete_database только администраторам) или требовать явного согласия пользователя. Unity AI Gateway оценивает и применяет такие политики в реальном времени для каждого вызова, предотвращая исполнение запрещённых действий.

В иллюстративном примере в блоге показана политика, реализованная как SQL‑функция: она проверяет context: tool.name и свойства actor: run_as и блокирует delete_file или запрещает слияние pull‑request, если actor: run_as не находится в списке ('alice@acme.com', 'bob@acme.com'). Такое сочетание превентивной проверки и полноты логирования обеспечивает как оперативную защиту, так и возможность последующего анализа инцидентов.