La seguridad de Redis para agentes de IA intercepta comandos de borrado (FLUSHALL, FLUSHDB, SHUTDOWN), comandos administrativos (CONFIG SET, MIGRATE, SCRIPT FLUSH) y lecturas bloqueantes (KEYS *, LRANGE / ZRANGE amplios). Redis no tiene un equivalente a EXPLAIN — FutrixData gobierna por semántica de comandos y patrones de clave.
El riesgo en Redis está más cerca de la seguridad de comandos y la seguridad de rangos de clave que de la optimización de consultas. Las operaciones peligrosas son comandos de borrado, escaneos amplios que bloquean el servidor de un solo hilo, y comandos administrativos que cambian el estado del cluster, las ACLs o los módulos.
| Clase de comando | Acción por defecto |
|---|---|
FLUSHALL, FLUSHDB, SHUTDOWN | block |
CONFIG SET, CONFIG RESETSTAT, subcomandos peligrosos de CLUSTER | block |
ACL SETUSER, ACL DELUSER, SCRIPT FLUSH, FUNCTION FLUSH, MODULE LOAD, CLIENT KILL, MIGRATE | block |
Escrituras — SET, DEL, HSET, LPUSH, SADD, ZADD, EXPIRE, RENAME | warn |
Lecturas amplias — KEYS, SCAN, HGETALL, SMEMBERS, ZRANGE / LRANGE amplios | warn |
Scripts — EVAL, EVALSHA | warn |
Las reglas se pueden configurar por patrón de clave, por ejemplo:
session:* permite sólo lecturas — sin deletes.prod:* requieren aprobación.secrets:* no están permitidas.Redis no expone estimación de coste previa a la ejecución. FutrixData usa la semántica de comandos y los patrones de clave como superficie de control — no hay capa de sondeo como en la ruta SQL EXPLAIN. Esto es intencional: ejecutar un sondeo que en sí mismo involucre KEYS crearía exactamente el problema que estamos previniendo.
// Agent attempts:
FLUSHALL
// FutrixData response:
{ "ok": false, "risk": "block", "rule": "redis.flush_all" }// Agent attempts:
KEYS *
// FutrixData response:
{ "ok": false, "risk": "warn", "rule": "redis.broad_scan",
"reason": "KEYS * blocks the server on large keyspaces; use SCAN with MATCH" }Sí. Las conexiones de cluster se reconocen automáticamente y las reglas aplican por comando. Los subcomandos peligrosos de CLUSTER (CLUSTER FAILOVER, CLUSTER RESET) se bloquean por defecto.
Sí. BLPOP, BRPOP y WAIT se reconocen; puedes acotar tiempos de espera y requerir aprobación para llamadas bloqueantes sin límite.
Sí — por fuente de datos. Bloquea FLUSHDB en prod-redis, permítelo (o advierte) en dev-redis. El modo de confianza añade otra palanca: las fuentes de desarrollo pueden ejecutarse en Trusted, las de producción en Cautious.
EVAL / EVALSHA caen en warn por defecto. Puedes bloquearlos de forma dura por fuente. SCRIPT FLUSH y FUNCTION FLUSH se bloquean de plano.
Sí. FutrixData se conecta mediante clientes Redis con soporte para Sentinel; la evaluación de reglas es idéntica.
Aplicación de escritorio gratuita para macOS, Windows y Linux. Enterprise Edition autoalojada para despliegues en producción.