Plugin agent Supabase : les changements de base commencent par un contrat de permissions
Modifier une interface et modifier une base ne portent pas le même risque. Avec son plugin, son app ChatGPT, MCP, les jetons temporaires et pg-delta, Supabase rend le travail agentique possible mais demande une vraie gouvernance.
Database agent operating contract
La valeur vient du contrat: données de développement, MCP restreint, accès court, diff de migration et validation humaine.
Ce qui a changé
Le plugin Supabase regroupe MCP server et skills. L’app ChatGPT couvre SQL, schémas, branches, migrations, logs et documentation. La mise à jour de juin ajoute l’accès temporaire par token et pg-delta pour les diffs Postgres.
Pourquoi c’est important
L’accès doit être défini par projet, rôle, durée, mode lecture seule et groupes d’outils. Les migrations d’un agent doivent devenir des diffs lisibles par les reviewers.
Impact opérationnel
Évitez la production, utilisez branches et données masquées, puis exigez une validation pour les opérations d’écriture. Les PR doivent exposer RLS, fonctions, triggers, extensions et types générés.
Limites
Sans discipline de review, l’agent augmente le risque. Mais l’interdiction totale tiendra mal: mieux vaut un périmètre étroit, une durée courte, une branche et un diff vérifiable.
Operating Controls
Checklist agents Supabase
• Connecter d’abord des projets de développement ou des branches.
• Limiter MCP avec project_ref, read_only=true et les groupes de fonctions.
• Faire valider SQL et migrations avant la production.
• Tester rôle, expiration et révocation des jetons temporaires.