AWS ukazuje, ako vložiť vlastné bezpečnostné pravidlá medzi agenta a MCP nástroje

Amazon na AWS Machine Learning Blogu zverejnil podrobný technický návod, ktorý je zaujímavý najmä pre firmy stavajúce agentické workflow cez MCP. Hlavná myšlienka je jednoduchá: ak agent pristupuje k databázam, API, súborom alebo SaaS nástrojom cez Model Context Protocol, organizácia často nechce, aby sa každé volanie odoslalo priamo. Potrebuje medzivrstvu, kde sa dá vstup skontrolovať, doplniť auditná stopa, odstrániť citlivý údaj alebo presadiť vlastné pravidlá ešte pred kontaktom s backendom.

AWS pripomína, že Bedrock AgentCore Gateway už rieši časť tohto problému cez centrálnu správu nástrojov, poverení a politík. Súčasťou platformy sú aj Lambda interceptory, teda možnosť pustiť vlastný validačný či transformačný kód pri každom volaní. Zmysel nového článku je však inde: Amazon priznáva, že mnoho organizácií má svoje kontrolné mechanizmy naviazané na interné knižnice, on-premise systémy alebo hybridné prostredia, ktoré nechcú prepisovať do úzko viazaného integračného modelu.

Práve preto AWS navrhuje serverless MCP proxy bežiacu na Bedrock AgentCore Runtime. Nejde o novú teóriu agentov, ale o praktický prevádzkový vzor. Proxy stojí medzi klientom a upstream MCP serverom, objaví dostupné nástroje pri štarte, lokálne ich zaregistruje a následne transparentne preposiela volania ďalej. Medzitým do toku vloží vlastnú logiku organizácie. Výsledkom má byť zachovanie kompatibility s MCP pri súčasnom presadení interných kontrol, ktoré by sa inak implementovali veľmi ťažko.

Z technického pohľadu je zaujímavé, že AgentCore Runtime tu nefunguje len ako miesto, kde beží agent, ale ako univerzálne serverless výpočtové prostredie pre samotné MCP servery a proxy vrstvy. AWS zdôrazňuje automatické škálovanie, integrovanú observabilitu cez CloudWatch a OpenTelemetry a identitnú vrstvu AgentCore Identity pre autentifikáciu a autorizáciu. To posúva diskusiu o agentoch od promptov a nástrojových zoznamov k otázke, kto nesie zodpovednosť za prevádzkový dohľad, logovanie a hranice dôvery.

Dôležitý je aj architektonický detail: proxy nemá dopredu zadefinované vlastné nástroje, ale dynamicky si ich načíta z upstream servera cez štandardné MCP tools/list. Následne pre každý nástroj vytvorí lokálny handler, ktorý vie doplniť vlastné pravidlá a až potom posiela tools/call ďalej. Z pohľadu klienta sa tak proxy správa ako normálny MCP server. To je praktické preto, že sa nemení zmluva medzi agentom a nástrojovou vrstvou, mení sa len miesto, kde sa vynucuje kontrola.

AWS osobitne rozoberá aj autorizáciu medzi jednotlivými vrstvami. Agent sa musí autorizovať voči proxy, proxy voči upstream serveru a upstream server následne voči samotným nástrojom alebo downstream službám. Tým vznikajú oddelené hranice dôvery, čo je presne to, čo podnikoví bezpečnostní architekti pri agentoch požadujú. Namiesto jedného veľkého povoleného kanála dostávajú reťazec krokov, v ktorom sa dá presne určiť, kde sa čo kontroluje, meria alebo blokuje.

Pre podnikový trh je to dôležitý signál, lebo MCP sa rýchlo mení z vývojárskeho štandardu na prevádzkový integračný problém. Kým prvá vlna adopcie riešila najmä to, ako agentom sprístupniť viac nástrojov, ďalšia vlna rieši, ako z nich spraviť audítovateľný a governance-ready systém. V tomto kontexte nie je proxy len doplnok. Je to spôsob, ako zladiť otvorený protokol s realitou regulovaných odvetví, interných bezpečnostných smerníc a dedičných systémov, ktoré sa nedajú jednoducho nahradiť.

Zároveň platí, že ide o referenčný vzor, nie magické odstránenie komplexity. Každá ďalšia vrstva zvyšuje počet komponentov, ktoré treba monitorovať, testovať a udržiavať. Proxy môže priniesť latenciu, potrebu vlastného životného cyklu a zodpovednosť za chyby pri transformácii požiadaviek. Pre mnohé organizácie však bude táto cena prijateľná, ak výmenou získajú možnosť presne definovať, čo agent smie urobiť, čo sa musí zalogovať a ktoré volania sa majú zastaviť ešte pred vstupom do citlivých systémov.

Na trhu agentickej infraštruktúry je preto tento článok zaujímavý menej ako produktové oznámenie a viac ako náznak smeru. AWS tým v podstate hovorí, že budúca adopcia agentov nebude stáť len na sile modelu, ale aj na schopnosti vložiť medzi model a nástrojovú vrstvu programovateľné body kontroly. A práve tam sa môže rozhodovať, ktoré platformy budú pre podniky naozaj použiteľné vo veľkej produkcii.