Supabase AI Agent Plugin: изменения БД начинаются с контракта прав

Tech
Диаграмма операционного контракта для database agents в Supabase
Вопрос не в том, может ли агент трогать Supabase, а в scope, branch, diff и approval.

Изменить UI и изменить RLS policy или migration - разные риски. Новые возможности Supabase делают database agents практичными, но требуют жесткого контракта прав.

Database agent operating contract

Главное - не SQL prompt, а контракт: dev-данные, узкий MCP, короткий доступ, diff миграции и человеческое подтверждение.

Что произошло

Supabase Plugin объединяет MCP server и skills. ChatGPT app может работать с SQL, schema, branches, migrations, logs и docs. В июньском обновлении также есть temporary token access и pg-delta для schema diff.

Почему это важно

Доступ должен задаваться проектом, read-only режимом, группами инструментов, ролью и сроком действия. Изменения агента должны быть migration и diff для review.

Влияние

Используйте dev-проекты или branches, не production. PR должен показывать RLS, functions, triggers, extensions, generated types и rollback.

Риски

Без review-культуры агент опасен. Практичный путь: узкий scope, короткая жизнь токена, branch-first, diff-first и approval.

Operating Controls

RiskDefault controlReview question
Production dataUse development project or branch firstDoes the agent need real data?
Wide SQL accessScope MCP and prefer read-onlyIs write access justified?
Hidden schema changeKeep migrations and diffsCan a reviewer inspect the object-level change?

Чеклист внедрения Supabase agents

Сначала подключайте dev-проекты или ветки.

Ограничивайте MCP через project_ref, read_only=true и группы функций.

SQL и миграции должны проходить человеческое подтверждение перед production.

Проверяйте роль, срок действия и отзыв временных токенов.

Источники

다른 글