FutrixData logo FutrixData
AI データベースプロキシ

AI データベースプロキシ: AI エージェントとデータベースのための単一ゲートウェイ

AI データベースプロキシは、AI エージェント (Claude Code、Cursor、Codex、OpenCode、カスタム MCP クライアント) とデータベースの間に位置します。すべての呼び出しに対してマスキング、クエリガードレール、ID、監査を強制するため、エージェントは生産性を維持しつつ、誤操作によってあなたの本番データを破壊することがありません。

AI データベース接続プロキシとは何か

AI データベースプロキシは、各エージェントが独自のデータベース接続シークレットを保持するパターンを置き換え、すべての AI エージェントによるデータベース呼び出しを仲介するサービスです。クエリ (SQL、Mongo、Redis コマンド、Elasticsearch DSL、ChromaDB) を受け取り、ポリシーに照らして評価し、実際のデータベース上で実行し、処理済みの結果をエージェントに返します。

データベースプロキシは、データベース自体では表現できない制御を配置する場所です:

AI エージェントにプロキシが必要な理由

LLM に生の接続シークレットを渡すのは設定が早く済みますが、後悔も簡単です。本番では 5 つのリスクが現れます:

  1. 破壊的なクエリ。エージェントは幻覚を起こします。「古い行をクリーンアップする」タスクが、誰も気付かないうちに DELETE FROM users になってしまいます。
  2. 認証情報の漏洩。接続文字列はプロンプト、ログ、トレースエクスポートに残り、最終的には他人のトレーニングデータに含まれます。
  3. サードパーティモデルへの PII 送信。顧客名、カード番号、生体データがプロンプトにシリアライズされ、エージェントが実行する任意の LLM に送信されます。
  4. 監査証跡なし。「エージェントが実行した」では、インシデントレビューやコンプライアンス審査者は納得しません。誰が、何を、いつ、なぜ許可されたかを後で検証できる場所に書き留める必要があります。
  5. すべてのエージェントが過大な操作権限を持っている。エージェントは開発者の認証情報 — 通常はすべてのテーブルに対する読み書き権限 — を継承します。チャットボットが TRUNCATE/DELETE できるとき、最小権限の原則は適用されません。
  6. すべてのエージェントが過小な操作権限しか持たない。逆に各エージェントの権限を絞りすぎると、エージェントはタスク実行で身動きが取れず、完全な自動化も困難になります。

FutrixData のプロキシ実装方法

すべてのデータベース操作は、単一の実行マネージャーを経由します。データベースアダプターが実行される前に、静的ルールとデータベース固有のプローブが評価します。

完全なフロー:

  1. エージェントが MCP、Skill、または CLI 経由でクエリを送信します。
  2. FutrixData がデータソースを解決し、ステートメントを解析し、静的ルールと照合します。
  3. SQL、MongoDB、D1 では、事前 EXPLAIN プローブがスキャン行数、インデックス使用、結合を検査します。/ Elasticsearch、ChromaDB、DynamoDB、Redis では静的な Risk Engine によるリスク検査が走ります。
  4. 統合されたリスクレベル (allow / warn / require_approval / block) は、ソースごとの信頼モード (Approval / Cautious / Trusted / Danger) と照合されます。
  5. データベースアダプターが実行し、結果はフィールドごとにマスクされ、監査エントリが書き込まれます。

CLI、MCP、Skill、アプリ内 AI チャットはすべて、同じサービス層ポリシーを共有しており、それらが分岐することはありません。

FutrixData がプロキシ層で強制する内容

懸念事項仕組み
認証情報の露出接続文字列は FutrixData ホストに保管されます。エージェントは決してそれらを目にしません。
プロンプト内の PIIL1〜L5 の機密度分類 + エージェント結果パスでのシークレットバックの確定的 HMAC マスキング。
破壊的なクエリデータベースごとの組み込みブロックルール (SQL、Mongo、Redis、ES、DynamoDB)。
幅広いクエリ事前 EXPLAIN がフルテーブルスキャン、欠落インデックス、深いページネーションでリスクをエスカレートします。
IDエージェントごとのアクセスキー。失効は即時で履歴を保持します。
監査各呼び出しはエージェント、ソース、ターゲット、ステートメント、結果、一致したルールを記録します。

サポートされるデータベース

FutrixData は MySQL、PostgreSQL、MongoDB、Redis、Elasticsearch、ChromaDB、DynamoDB、Cloudflare D1 を 1 つのインターフェースでプロキシします。各データベースタイプには、独自のパーサー、ルールセット、プローブがあります — Redis は文字列を置き換えた SQL として扱われません。

サンプル

MCP 経由で FutrixData を Claude Code に接続する
{
  "mcpServers": {
    "futrixdata": {
      "command": "futrixdata",
      "args": ["mcp"],
      "env": {
        "FUTRIXDATA_AGENT_KEY": "fxd_live_..."
      }
    }
  }
}

よくある質問

AI スマートデータベースプロキシとは何ですか?

AI エージェントが行うすべてのデータベース呼び出しをインターセプトし、組織レベルのポリシー (マスキング、ガードレール、ID、監査) を適用し、安全な操作のみを基盤データベースに転送するサービスです。エージェントはプロキシを見て、データベースはプロキシのみを見ます。

なぜ AI エージェントは自分のデータベースに直接接続できないのですか?

できます — しかしテーブルを DROP したり、接続文字列を漏洩させたり、PII を OpenAI などの LLM に送信したり、プロンプトインジェクションでハッカーに情報が流出したりします。直接接続はエージェントに開発者と同じ権限を与え、エージェントごとの ID も、実行ステートメントのきめ細かい制御も、結果のマスキングも、集中的な監査証跡もありません。FutrixData は、データベース自体では処理できないコントロールプレーンを配置する場所です。データパスについては trust、ゲートウェイがカバーしない範囲については limitations をご覧ください。

FutrixData は MCP サーバーですか?

FutrixData は MCP、Skill、CLI を話します。Claude Code や Cursor から見ると MCP サーバーのように見えます。内部的には完全なデータゲートウェイであり、MCP 表面はいくつかのエントリポイントの 1 つで、すべて同じリスクエンジンと監査パイプラインを共有しています。

プロキシはレイテンシを追加しますか?

MySQL や PostgreSQL に対するインデックス付きポイント読み込みでは、オーバーヘッドはパースとルールマッチングが支配的で、通常は数ミリ秒です。事前 EXPLAIN プローブは、アクセスパスが重要な SQL/Mongo/D1 の読み込みでのみ実行されます。Redis コマンドに対しては静的な危険コマンドチェックのみが実行されます。実際には、エージェント自体が既に支払っている大きな LLM ラウンドトリップと比べると、このレイテンシはほぼ無視できます。

どの AI エージェントが FutrixData で動作しますか?

Claude Code、Cursor、Codex (CLI)、OpenCode、Windsurf、およびあらゆるカスタム MCP / Skill 互換エージェント。LangChain ベースのスタックや独自の自動化エージェントを含みます。

オンプレミス・社内ネットワークでセルフホストできますか?

はい。FutrixData Enterprise Edition は、ネットワーク内の単一の Docker イメージとして実行されます — データベース認証情報はあなたの本番管理範囲を離れません。デプロイの詳細については self-hosted をご覧ください。

FutrixData をご自身のデータベースで試す

macOS、Windows、Linux 向けの無料デスクトップアプリ。本番環境にはセルフホスト型 Enterprise Edition もご利用いただけます。