Supabase AI Agent Plugin: изменения БД начинаются с контракта прав
Изменить UI и изменить RLS policy или migration - разные риски. Новые возможности Supabase делают database agents практичными, но требуют жесткого контракта прав.
Database agent operating contract
Главное - не SQL prompt, а контракт: dev-данные, узкий MCP, короткий доступ, diff миграции и человеческое подтверждение.
Что произошло
Supabase Plugin объединяет MCP server и skills. ChatGPT app может работать с SQL, schema, branches, migrations, logs и docs. В июньском обновлении также есть temporary token access и pg-delta для schema diff.
Почему это важно
Доступ должен задаваться проектом, read-only режимом, группами инструментов, ролью и сроком действия. Изменения агента должны быть migration и diff для review.
Влияние
Используйте dev-проекты или branches, не production. PR должен показывать RLS, functions, triggers, extensions, generated types и rollback.
Риски
Без review-культуры агент опасен. Практичный путь: узкий scope, короткая жизнь токена, branch-first, diff-first и approval.
Operating Controls
Чеклист внедрения Supabase agents
• Сначала подключайте dev-проекты или ветки.
• Ограничивайте MCP через project_ref, read_only=true и группы функций.
• SQL и миграции должны проходить человеческое подтверждение перед production.
• Проверяйте роль, срок действия и отзыв временных токенов.