Ein AI-Database-Proxy sitzt zwischen KI-Agenten (Claude Code, Cursor, Codex, OpenCode, eigene MCP-Clients) und Ihren Datenbanken. Er erzwingt Maskierung, Query-Guardrails, Identität und Audit bei jedem Aufruf — Agenten bleiben produktiv, ohne dass eine Fehlbedienung Ihre kritischen Datenbestände beschädigt.
Ein AI-Database-Proxy ist ein Dienst, der jeden Datenbankaufruf eines KI-Agenten vermittelt — und das Muster ablöst, bei dem jeder Agent seine eigenen Datenbank-Zugangsdaten hält. Er nimmt Queries entgegen (SQL, Mongo, Redis-Befehle, Elasticsearch DSL, ChromaDB), bewertet sie gegen Policies, führt sie auf der echten Datenbank aus und liefert verarbeitete Ergebnisse an den Agenten zurück.
Der Database-Proxy ist der Ort, an dem Sie die Kontrollen platzieren, die die Datenbank selbst nicht ausdrücken kann:
audit verify-CLI), die beantworten: „Welcher Agent hat was, wann ausgeführt und warum war es erlaubt?“. Nur lokale Verifikation — siehe Trust und Limitations für den Umfang.Einem LLM rohe Verbindungs-Secrets zu übergeben ist schnell aufgesetzt — und leicht zu bereuen. Sechs Risiken zeigen sich in Produktion:
DELETE FROM users, ohne dass jemand wach genug ist, es abzufangen.TRUNCATE/DELETE ausführen kann.Jede Datenbankoperation läuft über einen einzigen Execution-Manager. Statische Regeln und datenbankspezifische Probes bewerten sie, bevor der Datenbank-Adapter überhaupt läuft.
Der vollständige Ablauf:
EXPLAIN-Probe Scan-Zeilen, Index-Nutzung und Joins. Für Elasticsearch, ChromaDB, DynamoDB und Redis greift eine statische Risk-Engine-Analyse.CLI, MCP, Skill und der In-App-AI-Chat teilen sich alle dieselbe Service-Layer-Policy — sie können nicht auseinanderlaufen.
| Risiko | Mechanismus |
|---|---|
| Credential-Exposition | Connection-Strings liegen auf dem FutrixData-Host. Agenten sehen sie nie. |
| PII in Prompts | L1–L5-Sensitivitätsklassifikation + secret-basierte deterministische HMAC-Maskierung auf dem Agenten-Ergebnispfad. |
| Destruktive Queries | Eingebaute Block-Regeln pro Datenbank (SQL, Mongo, Redis, ES, DynamoDB). |
| Breite Queries | Vorgelagertes EXPLAIN eskaliert das Risiko bei Full-Table-Scans, fehlenden Indizes und tiefer Paginierung. |
| Identität | Access-Keys pro Agent; Widerruf erfolgt sofort und bewahrt die Historie. |
| Audit | Jeder Aufruf protokolliert Agent, Quelle, Ziel, Statement, Ergebnis und passende Regel. |
FutrixData proxyt MySQL, PostgreSQL, MongoDB, Redis, Elasticsearch, ChromaDB, DynamoDB und Cloudflare D1 über eine einzige Schnittstelle. Jeder Datenbanktyp hat seinen eigenen Parser, Regelsatz und Probe — Redis wird nicht als SQL mit ersetzten Strings behandelt.
{
"mcpServers": {
"futrixdata": {
"command": "futrixdata",
"args": ["mcp"],
"env": {
"FUTRIXDATA_AGENT_KEY": "fxd_live_..."
}
}
}
}Ein Dienst, der jeden Datenbankaufruf eines KI-Agenten abfängt, organisationsweite Policies (Maskierung, Guardrails, Identität, Audit) anwendet und nur die sicheren Operationen an die zugrundeliegende Datenbank weiterleitet. Der Agent sieht den Proxy; die Datenbank sieht nur den Proxy.
Sie können — aber dann werden sie früher oder später eine Tabelle DROPpen, einen Connection-String leaken, PII an OpenAI oder ein anderes LLM senden oder durch Prompt-Injection an Angreifer preisgeben. Direkte Verbindungen geben Agenten alle Rechte, die der Entwickler hat — ohne agentenspezifische Identität, ohne feingranulare Kontrolle der ausgeführten Statements, ohne Ergebnismaskierung und ohne zentralen Audit-Trail. FutrixData ist der Ort, an dem die Kontrollebene sitzt, die die Datenbank selbst nicht abbildet. Siehe Trust für die Datenpfade und Limitations für das, was das Gateway nicht abdeckt.
FutrixData spricht MCP, Skill und CLI. Aus Sicht von Claude Code oder Cursor sieht es wie ein MCP-Server aus. Intern ist es ein vollwertiges Daten-Gateway — die MCP-Oberfläche ist einer von mehreren Eintrittspunkten, die alle dieselbe Risk-Engine und dieselbe Audit-Pipeline nutzen.
Bei einem indizierten Point-Read gegen MySQL oder PostgreSQL wird der Overhead von Parsing und Regel-Matching dominiert — typischerweise wenige Millisekunden. Das vorgelagerte EXPLAIN läuft nur bei SQL-/Mongo-/D1-Reads, bei denen der Zugriffspfad relevant ist; Redis-Befehle erhalten lediglich eine statische Prüfung gefährlicher Commands. In der Praxis ist das Latenz-Budget gegenüber dem ohnehin teuren LLM-Round-Trip vernachlässigbar.
Claude Code, Cursor, Codex (CLI), OpenCode, Windsurf und jeder eigene MCP-/Skill-kompatible Agent. Eingeschlossen sind LangChain-basierte Stacks und maßgeschneiderte Automatisierungs-Agenten.
Ja. Die FutrixData Enterprise Edition läuft als ein einziges Docker-Image innerhalb Ihres Netzwerks — keine Datenbank-Credentials verlassen Ihren Produktionsrahmen. Siehe self-hosted für Deployment-Details.
Kostenlose Desktop-App für macOS, Windows und Linux. Self-hosted Enterprise Edition für produktive Deployments.