AWS：多租户AI智能体结合行级安全与Split-Plane SQL实现加密数据隔离

PAR Technology——餐饮连锁管理SaaS公司——在共享系统上为300余家餐饮品牌构建了AI分析智能体。需求是确定性的：特许经营者只能看到自己的销售数据（如两个门店的84,000美元），品牌经理能看到全国总数据（920万美元）——相同查询，相同数据库，结果完全不同。AWS ML博客将该系统架构描述为生产解决方案，而非概念验证。

三层保护：从签名到加密边界

多租户（multi-tenant）环境意味着多个客户共享同一数据库基础设施。行级安全（row-level security）——根据用户过滤数据库行的机制——在LLM智能体中传统上通过提示指令实现，但这种方法可能被模型忽略或通过提示注入攻击绕过。

AWS架构引入三层确定性保护。第一层使用AWS Signature Version 4（SigV4）：将租户ID、业务ID和管理员ID与每个API调用绑定的加密签名；对有效负载的任何修改都会立即使签名失效。第二层使用Amazon Bedrock作为语义验证器——在查询到达SQL生成器之前，模型验证用户问题是否明确且受支持；「给我看所有数据」等模糊请求会被拒绝。第三层是Split-Plane SQL。

什么是Split-Plane SQL，为什么提示保护不够？

Split-Plane SQL（双平面SQL生成）将查询生成分为两个独立流。安全流生成SQL公共表表达式（CTE），对数据库表进行预过滤，仅保留已授权的行。之后Amazon Bedrock只接收这些临时过滤视图的架构——而非底层表的架构。无论生成的SQL内容如何，LLM物理上无法引用沙箱外的数据。与经典方法的区别是结构性的：提示指令告诉模型允许做什么；Split-Plane SQL在架构层面以加密方式强制执行该边界。

PAR Technology：50,000次查询零跨租户数据泄露

生产实施已处理超过50,000次查询，未发生任何客户间数据泄露事件。基础设施包括具有网络隔离的Databricks集群、TLS 1.3、带自动密钥轮换的AWS KMS加密以及带异常检测的CloudTrail审计日志。AWS总结了该架构的核心原则：「LLM位于架构内部，而非凌驾于架构之上。」