三只貓
Rich Mindset Zone
richmindsetzone.com
← All posts

唔止 Text2SQL

Text2SQL 已經唔係新技術。過去五年,從 Salesforce 嘅 CRM Analytics 到 GitHub Copilot 嘅自然語言 query 功能,將日常英文轉成 SQL 嘅 demo 片睇到識背。但你有冇發覺一個奇怪嘅現象:大部分企業到今日仍然唔敢俾 non-technical 同事直接用自然語言 query 數據庫?唔係因為 SQL 生成得唔夠準——LLM 呢方面已經做得好好——而係因為無人能夠回答一個簡單問題:點證明查數嗰個人冇拎走佢唔應該睇到嘅數據?

呢個係個管治問題,唔係個準確度問題。而 SQLatte 真正嘅價值,就係喺 Text2SQL 外面包咗一層企業級嘅安全同合規 infrastructure。

MCP:唔係直接畀人 access 數據庫

傳統做法要員工查數據庫,不外乎幾個選擇:開一個 read-only 帳號俾佢、用 BI tool 嘅 row-level security、或者最常見嘅——DBA 手寫 query 然後 email 結果出去。每一種做法都有明顯問題:靜態帳號嘅 credential 會洩漏、BI tool 嘅 permission 模型唔夠細粒度、手動流程根本唔 scale。

SQLatte 揀咗另一條路——用 MCP(Model Context Protocol)作為存取層。Claude Desktop 或者 Claude Code 呢類 AI client 唔係直接拎住 database credential 去連數據庫,而係透過 SQLatte 嘅 MCP Server 去 query。呢個看似簡單嘅架構決定,帶嚟三個關鍵好處:第一,credential 生命周期極短,用完即棄,唔會出現「個 analytics 帳號三年冇 rotate」嘅尷尬情況。第二,access scope 喺 schema 層面定義,唔係 database user 層面——你可以精準控制一個 AI agent 只能睇到某幾個 table 嘅某幾列,而唔係成個 schema 開放。第三,所有 query 經過同一道閘門,無論個 query 係分析師用手打定 AI agent 自動生成,都行同一條 pipeline,無捷徑可走。

呢個「by design 嘅安全層」,正正係企業 IT 部門一直想要但傳統 BI tool 俾唔到嘅嘢。

Audit Trail 係 compliance 嘅 infrastructure

講到 compliance,好多香港嘅 startup 同中小企覺得呢樣嘢離自己好遠——「我又唔係上市公司,又唔使過 SOC 2,搞 audit log 做乜?」呢個諗法其實好危險。數據洩漏嘅責任唔會因為你公司細就減輕,而且客戶越來越多會問「你哋点樣保護我哋嘅數據?」如果你答唔出一套完整嘅存取記錄制度,生意已經輸咗一半。

SQLatte 嘅 audit trail 唔係事後添加嘅功能,而係成個系統嘅骨幹。每一個自然語言 query 從輸入到執行,經過 intent detection → SQL generation → validation → execution → result delivery,每一步都被記錄。邊個、幾時、問咗啲乜、生成咗咩 SQL、執行咗未、拎走咗咩結果——全部有迹可尋。呢個唔單止滿足合規要求,更重要係令管理層有信心放權:當你可以完整追溯每一筆 query 嘅來源同結果,自然敢俾前線同事直接查數,而唔使每次都要經 DBA 做中間人。

有咗 audit trail,Text2SQL 先由「玩具」變成「生產工具」。

由 Text2SQL 到 Data Governance Platform

如果 SQLatte 只係做 NL-to-SQL 轉換,佢同市面上幾十個同類產品冇分別。但睇真啲,佢嘅野心遠大過「將英文變成 SQL」。

先睇 Semantic Layer。數據庫入面嘅 table 名同 column 名通常係畀 developer 睇嘅——cust_ord_vwtrx_amt_usd 呢類命名對 marketing 同事嚟講係外星文。SQLatte 嘅 semantic layer 將呢啲技術命名 map 成 business-friendly 名稱,仲可以 auto-JOIN 相關 tables、定義 calculated metrics。換句話講,佢做咗傳統 BI layer 嘅工作,但唔需要專人維護嗰個層。

再睇 BigQuery Ops Console。做過 BigQuery 嘅人都知,成本失控係家常便飯——一句冇加 WHERE clause 嘅 query 可以 scan 幾 TB 數據,帳單即時見紅。SQLatte 嘅 ops console 提供 cost analysis、security audits、performance diagnostics,等你可以知道每個 query 嘅成本同效能。呢啲功能唔係「有就好」嘅 nice-to-have,而係企業願意將查數 workflow 交俾 AI 嘅前提條件。

最後係佢嘅 Dashboard System,auto chart generation 加 metric cards,將 query 結果直接變做 visualisation。流程由「問問題 → 等回覆 → 自己畫 chart」變成「自然語言描述 → 即時 chart」,反饋循環短咗,決策快咗。

對香港開發者同創業者嘅啟示

SQLatte 嘅出現講咗一個重要訊息:AI 工具嘅下一代競爭,唔係睇邊個生成得最準,而係睇邊個令企業客戶放心。Text2SQL 嘅準確度已經夠好,但 compliance、audit trail、access control 呢啲「悶嘢」先係真正嘅 adoption barrier。

如果你正在 building AI 工具,特別係涉及企業數據嘅產品,我嘅建議係:唔好齋追 accuracy benchmark。花時間諗清楚你嘅 security architecture、audit infrastructure、permission model。企業客戶唔會因為你嘅 model 响 Spider dataset 上高 0.5% 就買單,但佢哋會因為你答到「點證明冇人偷數據?」呢條問題而簽約。

SQLatte 係 MIT License,用得過。就算你唔直接用佢,佢嘅設計思路——MCP 做安全層、audit trail 做 backbone、semantic layer 做 UX——值得每一個做數據產品嘅人參考。下次有人同你講「我哋做咗個 Text2SQL」,你可以問佢:「咁你嘅 audit log 响邊?」答案會話畀你知佢哋做緊嘅係工具定係 product。