AWS: multi-tenant AI agent s row-level security i Split-Plane SQL kriptografskim granicama podataka
AWS je opisao produkcijsku arhitekturu sigurnih AI agenata za multi-tenant SaaS platforme, razvijenu s tvrtkom PAR Technology za analitiku 300+ restoranskih lanaca. Arhitektura kombinira kriptografsko potpisivanje SigV4, semantičku validaciju u Amazon Bedrocku i Split-Plane SQL koji nameće row-level security na razini baze podataka — ne na razini prompt instrukcija.
Ovaj članak generiran je uz pomoć umjetne inteligencije na temelju primarnih izvora.
PAR Technology — SaaS tvrtka za upravljanje restoranskim lancima — izgradila je AI analitički agent za 300+ restoranskih brendova na dijeljenom sustavu. Zahtjev je deterministički: vlasnik franšize vidi isključivo vlastite prodajne podatke (npr. $84K za dvije lokacije), a brand menadžer vidi ukupne nacionalne podatke ($9,2M) — identičan upit, ista baza, potpuno različiti rezultati. AWS ML Blog opisuje arhitekturu tog sustava kao produkcijsko rješenje, a ne proof-of-concept.
Tri sloja zaštite: od potpisa do kriptografske granice
Multi-tenant (više-najmljeničko) okruženje znači da više klijenata dijeli istu infrastrukturu baze podataka. Row-level security (sigurnost na razini retka) — mehanizam koji filtrira retke baze prema korisniku — u LLM agentima klasično se provodi prompt instrukcijama, pristupom koji model može ignorirati ili zaobići putem prompt injection napada.
AWS arhitektura uvodi tri deterministička sloja. Sloj 1 koristi AWS Signature Version 4 (SigV4): kriptografsko potpisivanje koje veže Tenant ID, Business ID i Admin ID uz svaki API poziv; svaka modifikacija payloada odmah poništava potpis. Sloj 2 koristi Amazon Bedrock kao semantički validator — model provjerava je li korisnikovo pitanje jednoznačno i podržano prije nego upit dosegne SQL generator; nespecifični zahtjevi poput “Pokaži mi sve” bivaju odbijeni. Sloj 3 je Split-Plane SQL.
Što je Split-Plane SQL i zašto prompt zaštita nije dovoljna?
Split-Plane SQL (dvostruki plan SQL generacije) dijeli generaciju upita u dva nezavisna toka. Sigurnosni tok generira SQL Common Table Expressions (CTE) koji pre-filtriraju tablice baze podataka isključivo na autorizirane retke. Tek tada Amazon Bedrock prima shemu tih privremenih, filtriranih pogleda — ne shemu temeljnih tablica. LLM fizički ne može referencirati podatke izvan sandboxa, bez obzira na sadržaj generiranog SQL-a. Razlika od klasičnog pristupa je strukturalna: prompt instrukcija govori modelu što smije; Split-Plane SQL tu granicu kriptografski nameće na razini arhitekture.
PAR Technology: 50.000 upita bez incidenta cross-tenant izlaganja
Produkcijska implementacija obradila je više od 50.000 upita bez ijednog incidenta curenja podataka između klijenata. Infrastruktura uključuje Databricks klaster s mrežnom izolacijom, TLS 1.3, AWS KMS enkripciju s automatskom rotacijom ključeva i CloudTrail audit logove s detekcijom anomalija. AWS sažima temeljno načelo arhitekture: “LLM sjedi unutar arhitekture, ne iznad nje.”
Česta pitanja
- Što je Split-Plane SQL i zašto je bolji od prompt instrukcija?
- Split-Plane SQL generira SQL Common Table Expressions koji pre-filtriraju bazu podataka prije nego LLM vidi shemu — model fizički ne može referencirati podatke izvan autoriziranog sandboxa, za razliku od prompt instrukcija koje model može ignorirati ili zaobići.
- Je li arhitektura produkcijski dokazana ili proof-of-concept?
- Produkcijska arhitektura — PAR Technology obradila je više od 50.000 upita bez ijednog incidenta cross-tenant izlaganja podataka od implementacije.
Povezane vijesti
arXiv:2606.28270: Agent-Native Immune System — šestoslojna runtime obrana ugrađena u zaključivanje AI agenata
arXiv:2606.28061: ToolPrivacyBench — mjeri 'need-to-know' privatnost u LLM agentima s alatima
arXiv:2606.26686: LeanGuard — brza moderacija sadržaja bez chain-of-thought dostiže teške reasonere