TheRealAbhishekGautam/Multi-Agent-Governance

# AI 数据库治理 MCP ### Multi-Agent 安全与 Human-in-the-Loop 编排流水线 这是一个生产级的治理层，位于 AI 编程助手和企业数据库之间，旨在防止不安全、破坏性或未经授权的操作触及生产基础设施。 该平台充当安全的 **Model Context Protocol (MCP) 网关**，拦截所有由 AI 生成的数据库操作，并通过由 LangGraph 驱动的 Multi-Agent 安全流水线进行路由。高风险操作会自动升级至 Human-in-the-Loop (HITL) 审批工作流中，确保 AI 系统在不损害数据完整性、合规性或运营安全的前提下为用户提供协助。 # 🚨 存在的问题 诸如 Cursor、Claude Code 和 GitHub Copilot 等现代 AI 编程助手，正越来越多地被赋予直接访问企业基础设施的权限。 虽然这极大地提升了开发者的生产力，但也带来了严重的安全风险： 赋予自主 AI agent 不受限的数据库访问权限会引发多种故障场景： * 意外的大规模数据篡改 * 未经授权的 schema 变更 * Prompt 注入攻击 * 幻觉产生的 SQL 语句 * 权限提升风险 * 合规违规 * 因不安全查询导致的生产环境中断 传统的解决方案依赖于向 AI 添加 Prompt 让其“保持安全”。 本项目用强制性的架构边界取代了这种脆弱的信任模型。 # 🎯 真实场景 假设一位客户支持代表正在使用 AI 助手来更正客户信息。 ### 用户请求 ### 潜在的故障 AI 生成了： ``` UPDATE users SET email = 'corrected@email.com'; ``` 模型意外遗漏了 WHERE 子句。 如果直接执行，数据库中所有用户的电子邮箱地址都会被覆盖。 ## 平台的响应方式 ### 1. 请求拦截 AI 无法直接与数据库进行通信。 所有数据库操作都会通过 MCP 治理网关进行路由。 ### 2. Multi-Agent 安全分析 LangGraph 安全工作流会立即使用专门的安全 agent 分析查询。 系统会识别出： * 破坏性的 DML 操作 * 缺失的约束条件 * 注入模式 * 权限违规 * 合规风险 ### 3. Human-in-the-Loop 升级 工作流在执行前触发 LangGraph 中断。 执行过程被冻结并存入 checkpoint。 ### 4. 管理员审核 高级工程师、管理员或主管将收到： * 原始用户请求 * 生成的 SQL 查询 * 安全评估报告 * 风险分类结果 审核者可以选择： * 批准 * 拒绝 * 要求修改 ### 5. 安全解决 如果被拒绝，执行将立即终止。 如果被批准，工作流将从确切的 checkpoint 恢复，并使用提升的权限执行。 数据库在整个过程中都受到保护。 # 💡 解决方案概述 该平台通过结合以下技术，在企业数据库周围建立了安全的治理边界： * Model Context Protocol (MCP) * LangGraph 编排 * Multi-Agent 安全分析 * Human-in-the-Loop 审批 * 引擎级权限强制执行 系统不依赖于对 AI 助手的信任，而是通过协议级和基础设施级的控制来强制执行安全。 # 🏗️ 核心功能 ## 安全的 MCP 网关 构建了一个基于 FastMCP 的拦截层，强制所有 AI 生成的数据库操作通过预定义且可审计的执行路径进行。 优势： * 禁止直接的数据库访问 * 工具级别的权限控制 * 完整的可审计性 * 集中化治理 ## Multi-Agent 安全流水线 设计了一个由独立专家 agent 组成的 LangGraph 安全子图。 ### SQL 安全 Agent 检测： * 注入企图 * 危险的查询模式 * 查询篡改 ### 变更风险 Agent 分析： * UPDATE 操作 * DELETE 操作 * INSERT 异常 * 缺失的 WHERE 子句 ### 合规 Agent 验证： * 数据治理策略 * 访问限制 * 法规约束 ### 风险聚合器 汇总所有 agent 的分析结果，并生成最终的安全判定。 ## Human-in-the-Loop 编排 实现了基于 LangGraph 中断的治理工作流。 高风险操作会触发： * 工作流挂起 * 状态 checkpoint * 审批请求 * 安全恢复 这在不牺牲自动化的前提下实现了企业级的监督。 ## 引擎级加固 在数据库层本身强制执行安全性。 ### 双重连接策略 #### 未批准的操作 自动通过以下方式路由： ``` mode=ro ``` 只读数据库连接。 任何写操作都会直接被数据库引擎拒绝。 #### 已批准的操作 只有在人工成功批准后，才会通过提升权限的连接执行。 这防止了 AI 系统绕过治理控制。 ## 有状态的工作流恢复 集成了 LangGraph checkpoint 功能，以支持： * 执行暂停/恢复 * 审批等待期 * 崩溃恢复 * 审计重放 * 长时间运行的工作流 图可以无限期保持挂起状态而不会丢失执行状态。 ## 资源保护 实现了运行时安全控制，包括： * 查询执行超时 * 最大返回行数限制 * Token 消耗控制 * 异步取消处理 * 拒绝服务保护机制 # 🔐 安全架构 ``` AI Assistant │ ▼ FastMCP Gateway │ ▼ LangGraph Security Pipeline │ ┌────┴─────┐ │ │ Safe Risky │ │ ▼ ▼ Read-Only HITL Approval Execution Workflow │ │ ▼ ▼ Database Approved Execution ``` # ⚙️ 技术亮点 * FastMCP 治理网关 * LangGraph Multi-Agent 安全子图 * Human-in-the-Loop 中断工作流 * 只读/提权连接分离 * 有状态的执行 Checkpoint * 基于 AsyncIO 的并发 Agent 评估 * TypedDict 状态管理 * 基于 Reducer 的漏洞聚合 * SQL 风险分类引擎 * 审计日志与可追溯性 # 🌟 业务影响 * 防止破坏性的 AI 生成数据库操作 * 消除 AI 对生产数据库的直接访问 * 将企业级治理引入 AI 工作流 * 实现 AI 编程助手的安全采用 * 降低合规和运营风险 * 提供对 AI 操作的完全可审计性 * 建立可强制执行的安全边界，而非依赖于 AI 的自身行为 # 核心原则 该平台用严格的运行时约束取代了脆弱的社会契约，确保每一项由 AI 生成的数据库操作在触及生产系统之前都经过治理、可审计且安全。

标签：CISA项目, LangGraph, PyRIT, 人工智能治理, 人机协同, 多智能体系统, 大语言模型安全, 数据库审计, 机密管理, 网关代理, 逆向工具