AI データベースプロキシは、AI エージェント (Claude Code、Cursor、Codex、OpenCode、カスタム MCP クライアント) とデータベースの間に位置します。すべての呼び出しに対してマスキング、クエリガードレール、ID、監査を強制するため、エージェントは生産性を維持しつつ、誤操作によってあなたの本番データを破壊することがありません。
AI データベースプロキシは、各エージェントが独自のデータベース接続シークレットを保持するパターンを置き換え、すべての AI エージェントによるデータベース呼び出しを仲介するサービスです。クエリ (SQL、Mongo、Redis コマンド、Elasticsearch DSL、ChromaDB) を受け取り、ポリシーに照らして評価し、実際のデータベース上で実行し、処理済みの結果をエージェントに返します。
データベースプロキシは、データベース自体では表現できない制御を配置する場所です:
audit verify CLI 付き) は、「どのエージェントが、いつ、何を実行し、なぜ許可されたか」に答えます。ローカル検証のみ — 範囲については trust および limitations をご覧ください。LLM に生の接続シークレットを渡すのは設定が早く済みますが、後悔も簡単です。本番では 5 つのリスクが現れます:
DELETE FROM users になってしまいます。TRUNCATE/DELETE できるとき、最小権限の原則は適用されません。すべてのデータベース操作は、単一の実行マネージャーを経由します。データベースアダプターが実行される前に、静的ルールとデータベース固有のプローブが評価します。
完全なフロー:
EXPLAIN プローブがスキャン行数、インデックス使用、結合を検査します。/ Elasticsearch、ChromaDB、DynamoDB、Redis では静的な Risk Engine によるリスク検査が走ります。CLI、MCP、Skill、アプリ内 AI チャットはすべて、同じサービス層ポリシーを共有しており、それらが分岐することはありません。
| 懸念事項 | 仕組み |
|---|---|
| 認証情報の露出 | 接続文字列は FutrixData ホストに保管されます。エージェントは決してそれらを目にしません。 |
| プロンプト内の PII | L1〜L5 の機密度分類 + エージェント結果パスでのシークレットバックの確定的 HMAC マスキング。 |
| 破壊的なクエリ | データベースごとの組み込みブロックルール (SQL、Mongo、Redis、ES、DynamoDB)。 |
| 幅広いクエリ | 事前 EXPLAIN がフルテーブルスキャン、欠落インデックス、深いページネーションでリスクをエスカレートします。 |
| ID | エージェントごとのアクセスキー。失効は即時で履歴を保持します。 |
| 監査 | 各呼び出しはエージェント、ソース、ターゲット、ステートメント、結果、一致したルールを記録します。 |
FutrixData は MySQL、PostgreSQL、MongoDB、Redis、Elasticsearch、ChromaDB、DynamoDB、Cloudflare D1 を 1 つのインターフェースでプロキシします。各データベースタイプには、独自のパーサー、ルールセット、プローブがあります — Redis は文字列を置き換えた SQL として扱われません。
{
"mcpServers": {
"futrixdata": {
"command": "futrixdata",
"args": ["mcp"],
"env": {
"FUTRIXDATA_AGENT_KEY": "fxd_live_..."
}
}
}
}AI エージェントが行うすべてのデータベース呼び出しをインターセプトし、組織レベルのポリシー (マスキング、ガードレール、ID、監査) を適用し、安全な操作のみを基盤データベースに転送するサービスです。エージェントはプロキシを見て、データベースはプロキシのみを見ます。
できます — しかしテーブルを DROP したり、接続文字列を漏洩させたり、PII を OpenAI などの LLM に送信したり、プロンプトインジェクションでハッカーに情報が流出したりします。直接接続はエージェントに開発者と同じ権限を与え、エージェントごとの ID も、実行ステートメントのきめ細かい制御も、結果のマスキングも、集中的な監査証跡もありません。FutrixData は、データベース自体では処理できないコントロールプレーンを配置する場所です。データパスについては trust、ゲートウェイがカバーしない範囲については limitations をご覧ください。
FutrixData は MCP、Skill、CLI を話します。Claude Code や Cursor から見ると MCP サーバーのように見えます。内部的には完全なデータゲートウェイであり、MCP 表面はいくつかのエントリポイントの 1 つで、すべて同じリスクエンジンと監査パイプラインを共有しています。
MySQL や PostgreSQL に対するインデックス付きポイント読み込みでは、オーバーヘッドはパースとルールマッチングが支配的で、通常は数ミリ秒です。事前 EXPLAIN プローブは、アクセスパスが重要な SQL/Mongo/D1 の読み込みでのみ実行されます。Redis コマンドに対しては静的な危険コマンドチェックのみが実行されます。実際には、エージェント自体が既に支払っている大きな LLM ラウンドトリップと比べると、このレイテンシはほぼ無視できます。
Claude Code、Cursor、Codex (CLI)、OpenCode、Windsurf、およびあらゆるカスタム MCP / Skill 互換エージェント。LangChain ベースのスタックや独自の自動化エージェントを含みます。
はい。FutrixData Enterprise Edition は、ネットワーク内の単一の Docker イメージとして実行されます — データベース認証情報はあなたの本番管理範囲を離れません。デプロイの詳細については self-hosted をご覧ください。
macOS、Windows、Linux 向けの無料デスクトップアプリ。本番環境にはセルフホスト型 Enterprise Edition もご利用いただけます。