4 июня 2026 г. · Emiliano Montesdeoca · 3 минут чтения

MAESTRO, Глубокоэшелонированная защита и почему SQL Server теперь является границей безопасности для ИИ

Агентный ИИ вводит угрозы, для которых традиционные модели STRIDE не были предназначены. Вот как Microsoft SQL соотносится с фреймворком MAESTRO для предоставления управляемой границы выполнения.

Azure SQL AI Security Agentic AI SQL Server 2025
Эта статья также доступна на:English, Català, Español, Deutsch, Français, Português, Italiano, 日本語, 中文, 한국어, हिन्दी, Polski, Türkçe, العربية, Bahasa Indonesia, Nederlands

Модели угроз безопасности строятся на предположениях о том, кто или что делает запросы. STRIDE предполагает человеческих субъектов, взаимодействующих с системами через определённые интерфейсы. Агенты ИИ работают не так.

STRIDE Не Был Разработан для Агентов ИИ

Агентные системы работают автономно, объединяют инструменты в цепочки через вызовы API, принимают решения о том, какие данные извлекать и какие действия выполнять, и могут получать инструкции из нескольких источников — пользовательских промптов, результатов инструментов, полученных данных. Модель угроз STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) неадекватно захватывает специфические для агентов векторы атак, такие как инъекция промптов, отравление контекста или злоупотребление инструментами.

Альянс Cloud Security Alliance опубликовал фреймворк MAESTRO специально для рисков агентов ИИ.

Фреймворк MAESTRO

MAESTRO организует риски агентного ИИ в семь уровней:

  1. Foundation Models — базовые LLM и их уязвимости обучения
  2. Data Operations — получение, хранение и манипулирование данными
  3. Agent Frameworks — промежуточное программное обеспечение оркестрации и координации агентов
  4. Deployment & Infrastructure — где выполняются агенты и как они настроены
  5. Evaluation & Observability — мониторинг поведения агентов во времени
  6. Security & Compliance — управление доступом, аудит и нормативное соответствие
  7. Agent Ecosystem — как агенты взаимодействуют друг с другом и с внешними инструментами

Каждый уровень имеет специфические векторы атак, которые традиционные средства контроля безопасности не адресуют напрямую.

Microsoft SQL как Управляемая Граница Выполнения

SQL Server 2025 соотносится с уровнями MAESTRO конкретными способами:

Уровень Data Operations: AI_GENERATE_EMBEDDINGS, встроенный в T-SQL, удерживает векторные операции в пределах управляемой границы базы данных. Данные не нужно отправлять в сервис модели для обработки эмбеддингов.

Уровни Security & Compliance: Безопасность на уровне строк (RLS) и динамическое маскирование данных (DDM) применяются независимо от того, как пришёл запрос — от пользователя-человека или агента ИИ. Агент не может обойти элементы управления, которые применяются самой базой данных.

Уровень Agent Frameworks: Хранимые процедуры служат границами инструментов. Вместо предоставления агентам произвольного SQL-доступа вы определяете разрешённые операции как процедуры и предоставляете их как инструменты агента. Параметризованные запросы предотвращают инъекцию на уровне выполнения.

Уровень Evaluation & Observability: Журналирование аудита и Query Store фиксируют, что каждый агент фактически выполнил — не только то, что ему было предложено сделать. Эта прослеживаемость критически важна для расследований инцидентов в агентных системах, где атрибуция сложна.

Глубокоэшелонированная Защита для Агентного ИИ

Принцип остаётся таким же, как и в традиционной безопасности: ни одного отдельного элемента управления недостаточно. Что меняется — так это то, какие элементы управления наиболее важны для агентов:

Уменьшение радиуса поражения: границы инструментов через хранимые процедуры означают, что скомпрометированный агент может выполнять только предопределённые операции. Он не может переключиться на произвольные запросы.

Наблюдаемость: после инцидента вы должны быть в состоянии ответить “что именно делал этот агент?”. Агентные системы ИИ без прослеживаемости на уровне базы данных имеют слепые пятна, которые журналирование приложений не покрывает.

Ограниченное выполнение: параметризация, RLS и DDM являются активами безопасности независимо от того, является ли вызывающий человеком. Не ослабляйте их для адаптации агентов.

Подотчётность: журналирование аудита SQL Server создаёт запись о том, кто (какой агент, с какими учётными данными) выполнил что и когда. Это важно, когда агентные системы совершают действия с реальными последствиями в мире.

SQL Server 2025 был создан не для абстрактного решения агентных рисков — он был создан как реляционная база данных. Но управление, которое делает корпоративную базу данных надёжной, оказывается именно тем, что делает границу выполнения агентов безопасной.

Оригинальный пост: Microsoft SQL Security Across the MAESTRO Stack

Поделиться:
Просмотреть исходный код этой статьи на GitHub ↗
Emiliano Montesdeoca
Emiliano Montesdeoca

Microsoft MVP и тимлид облачных решений

Эмилиано — уругвайско-испанский разработчик, Microsoft MVP в области Developer Technologies и активист сообщества, проживающий на Тенерифе, Канарские острова. Он специализируется на проектировании масштабируемых облачных решений с использованием технологий Microsoft и в настоящее время возглавляет группу облачных решений в Intelequia Technologies. Частый докладчик на международных конференциях и увлечённый наставник, он превращает решения реальных задач в практические рекомендации для разработчиков.

← NL2SQL — это SQL-инъекция агентной эпохи
Agent Skills в Visual Studio: Научите Copilot Как На Самом Деле Работает Ваша Команда →