AWS gjør MCP til kontrollpunkt for AI-agenter

AWS bruker første juni-kveld på å gjøre en ganske teknisk agentnyhet til en styringssak. Selskapet utvider Amazon Bedrock AgentCore Gateway med bredere støtte for Model Context Protocol, samtidig som det viser fram policykontroll, Lambda-interceptors, agentbetalinger og AgentOps som driftsmodell for produksjonsagenter.

Det høres smalt ut. Det er det ikke. Dette er AWS sin versjon av en kontrollflate for AI-agenter som skal bruke verktøy, hente data, kalle API-er og ta handlinger på vegne av ansatte og kunder. Poenget er at agenten ikke lenger bare er en chatbot. Den blir en kjørende applikasjon med tilgang til systemer. Da holder det ikke å stole på prompten.

Kjernen i nyheten er AgentCore Gateway. AWS beskriver gatewayen som ett samlet inngangspunkt mellom agentklienter og MCP-servere. I stedet for at hvert team må bygge egen autentisering, logging, policy, nettverkskontroll og credential-håndtering rundt hver MCP-server, kan trafikken samles i én gateway. Den kan eksponere verktøy, prompts og ressurser som førsteordens MCP-primitiver, med dynamisk listing for brukerspesifikke verktøykataloger, streaming, session management og OAuth 2.0 on-behalf-of token exchange.

For CIO og CISO er det siste viktigere enn produktnavnet. MCP er på vei til å bli koblingslaget mellom AI-agenter og virksomhetens systemer. Uten et kontrollpunkt blir hvert nytt verktøy en ny sikkerhetsgjennomgang, et nytt sted å lekke credentials og et nytt audit-problem. AWS forsøker å eie mellomlaget: katalogen over hva agentene kan gjøre, hvem som får gjøre det, og hva som faktisk skjedde.

AWS løfter også fram to komplementære sikkerhetsmekanismer. AgentCore Policy bruker Cedar, samme policyfamilie som ligger bak AWS Verified Permissions, for deterministisk tilgangskontroll. Policyene vurderer principal, action og resource, med kontekst. Det gir regler som kan auditeres: denne rollen kan kalle dette verktøyet, men ikke dette. AWS beskriver også deny-by-default semantikk når Policy Engine kobles til en gateway.

Lambda-interceptors dekker den delen som ikke bør hardkodes som statisk policy. De kan validere, berike eller endre request og response før og etter verktøykall. AWS sitt eksempel bruker en lakehouse-agent for forsikringsdata, der brukerrolle, geografi og tenant-kontekst legges på før policyen evaluerer hva agenten faktisk får gjøre. Row- og column-level security håndheves videre i Lake Formation. Det er et ganske konkret bilde på hvor agentstyring er på vei: ikke bare guardrails i modellen, men identitet, policy, datatilgang og audit i infrastrukturen rundt den.

Samtidig introduserer AWS en mer eksplisitt AgentOps-modell. Selskapet peker på fire pilarer: governance og sikkerhet, build og operations, evaluering, samt observability og monitoring. Det er DevOps for agenter, men med ekstra problemer: ikke-deterministiske beslutninger, verktøykjeder, minne, kostnad per interaksjon, kvalitetsfall og uautoriserte handlinger. AWS anbefaler at agent, verktøy og minnekonfigurasjon behandles som versjonerte deploybare artefakter med egne pipelines.

Det er en modenhetsmarkør. Mange virksomheter står fortsatt i pilotfasen med agenter. AWS skriver for organisasjoner som må drifte dem. Da blir spørsmålet mindre hvilken modell som svarer penest, og mer om virksomheten kan spore hvert verktøykall, rulle tilbake en endring, måle kostnad, sette loop-grenser og kreve menneskelig godkjenning på risikable steg.

Den mest uvanlige delen av pakken er AgentCore payments, som AWS sier er i preview i blant annet Frankfurt. Løsningen er laget for agenter som må betale for ressurser på vegne av sluttbruker, i samarbeid med Coinbase og Stripe-selskapet Privy. AWS beskriver betalingssesjoner med budsjett og tidsbegrensning, self-custodial embedded wallets hos wallet-leverandøren, og et prinsipp om at kortdata og betalingsdetaljer ikke skal inn i agentens kontekst.

Det peker mot et nytt risikoområde. Når agenter kan kjøpe tilgang, bestille tjenester eller betale for API-bruk, blir FinOps og svindelkontroll en del av agentarkitekturen. AWS sier eksplisitt at forbruksgrenser må håndheves utenfor modellen. Det er riktig lærdom: en LLM skal ikke være siste sperre mellom en prompt-injection og ekte penger.

For norske virksomheter er konsekvensen praktisk. Hvis agentstrategien innebærer MCP, interne API-er eller autonome handlinger, bør arkitekturen få et tydelig kontrollpunkt nå. Ikke vent til hvert team har satt opp sin egen MCP-server med lokale secrets og varierende logging. Standardiser på identitet, policy, verktøykatalog, nettverksisolasjon og observability før agentbruken sprer seg.

AWS sin nyhet er også et signal til markedet. Agentplattformene flytter seg fra demo og SDK til kontrollplan. Microsoft, Google, OpenAI, Anthropic og AWS vil alle eie laget der agenter får lov til å handle. Den som eier det laget, eier mer enn modellvalget. Den eier godkjenningene, sporbarheten, risikomodellen og i økende grad betalingsstrømmen rundt AI-arbeidet.

Det betyr ikke at alle bør gå rett på Bedrock AgentCore. Men kravlisten bør skrives nå: sentral MCP-gateway, delegated auth, policy utenfor modellen, isolerte credentials, sporbare tool calls, kostnadskontroll, menneskelig godkjenning der risikoen krever det, og evaluering i produksjon. Hvis leverandøren ikke kan svare konkret på dette, er agenten fortsatt en demo.

Kilder og medier

Primærkilde: AWS Machine Learning Blog, Extending MCP support for Amazon Bedrock AgentCore Gateway, https://aws.amazon.com/blogs/machine-learning/extending-mcp-support-for-amazon-bedrock-agentcore-gateway-2/

Supplerende AWS-kilder: Secure AI agents with Policy and Lambda interceptors in Amazon Bedrock AgentCore gateway, https://aws.amazon.com/blogs/machine-learning/secure-ai-agents-with-policy-and-lambda-interceptors-in-amazon-bedrock-agentcore-gateway/

Supplerende AWS-kilder: AgentOps: Operationalize agentic AI at scale with Amazon Bedrock AgentCore, https://aws.amazon.com/blogs/machine-learning/agentops-operationalize-agentic-ai-at-scale-with-amazon-bedrock-agentcore/

Supplerende AWS-kilder: Enable safe agentic payments with built-in guardrails using Amazon Bedrock AgentCore payments, https://aws.amazon.com/blogs/machine-learning/enable-safe-agentic-payments-with-built-in-guardrails-using-amazon-bedrock-agentcore-payments/

Thumbnail: OpenAI Image 2 / hogby.ai