« Tüm yayınlar

Synapsor Runner: AI Ajanlarına Ham SQL Yerine Denetimli Yetki

Synapsor Runner, AI ajanlarına ham SQL yerine denetimli semantik yetenekler sunarak yazma yetkisini model döngüsünün dışında tutan açık kaynak MCP çalışma zamanı.

Synapsor Runner, MCP istemcileri ile PostgreSQL/MySQL arasına yerleşen Apache-2.0 lisanslı bir çalışma zamanı. Modelin execute_sql gibi ham bir araca erişmesine izin vermek yerine, önceden incelenmiş semantik yetenekler (örneğin billing.propose_late_fee_waiver) sunuyor. Kritik fark: model tarafına açılan yüzeyde ne bir onay aracı ne de bir uygulama aracı var — yazma yetkisi tamamen model döngüsünün dışında tutuluyor.

Model sadece değişiklik önerebiliyor; öneri, kaynak veritabanını değiştirmeden önce/sonra durumunu kaydediyor. Onaylanan öneriler uygulanırken kiracı kapsamı, satır sürümü, izinli sütunlar ve etkilenen satır sınırları yeniden kontrol ediliyor, böylece bayat bir satır sessizce ezilmek yerine çakışma olarak işaretleniyor. Geliştirici, enjeksiyon görevleri verilen gerçek LLM ajan filosuyla test yaptığında sıfır kiracılar-arası okuma ve sıfır yetkisiz yazma elde etmiş; bunun nedeni modellerin talimatlara direnmesi değil, sınırın modelin dışında zorlanması.

Yaklaşım, Supabase MCP token sızıntısı örneğindeki gibi bir modelin saldırgan kontrollü SQL çalıştırmaya kandırılması sınıfındaki açıkları hedefliyor: ortada çağrılabilecek bir SQL veya commit aracı yoksa bu yol kapanıyor. Araç, prompt injection'ı önlediğini iddia etmiyor; sadece bunun etki alanını sınırlıyor ve en az yetki rolleri, satır düzeyi güvenlik gibi mevcut önlemlerin yerini almadığını açıkça belirtiyor. Ayrıca şema bilgisini bağlama yüklemekten, tekrar deneme döngülerinden kaçınarak token maliyetini de düşürebiliyor.