使用 Amazon Quick 和 Snowflake Cortex AI 自动化 AML 警报分类

在 AWS 和 Snowflake 上运行的金融机构受益于一个深度集成的框架，该框架结合了 Snowflake 的 AI 数据云与 AWS 云基础设施，包括与 Amazon S3、AWS Glue、Amazon SageMaker 和 Amazon Bedrock 等 AWS 服务的集成。AWS 服务和 Snowflake 之间拥有超过 50 个原生集成，组织可以构建在维护数据安全的同时加速实现价值的合规工作流。

本文通过自动化金融服务中最劳动密集的工作流程之一——反洗钱（AML）警报分类——展示了这种集成在实践中的应用。您将使用 Amazon Quick Flows 和 Snowflake Cortex，通过 Amazon Quick 模型上下文协议（MCP）集成构建分类工作流。在我们的测试环境中，使用 Amazon Quick 构建的自动化工作流将警报调查时间从 30-90 分钟减少到 5 分钟以下。实际结果可能因警报复杂性和数据量而异。

随着 AI 采用的成熟，组织发现影响最大的部署超越了独立的助手。它们是可重复的工作流，协调团队已经使用的工具，将多步骤手动流程转化为一键式体验。Amazon Quick 是一种企业 AI 服务，提供基于生成式 AI 的聊天代理、研究能力、用于任务自动化的 Quick Flows 以及用于流程自动化的 Amazon Quick Automate，从多个来源聚合数据，包括原生索引、自定义知识库和用户上传的文件。Quick Flows 将用户请求转化为标准化的 MCP 协议调用，消除了对自定义连接器的需求，同时通过 OAuth 认证维护企业安全性。Quick Flows 非常适合 AML 分类，因为调查每次都遵循相同的结构化步骤：收集输入、运行调查、产生输出。同样的基于 MCP 的方法适用于团队当前手动桥接系统的可重复工作流，例如 FinOps 成本分类、SRE 事件响应或合规调查。

中大型银行的 AML 分析师通常每个警报花费 30 到 90 分钟手动收集数据并编写处置说明。根据行业研究，金融机构通常发现 90-95% 的 AML 警报是误报，因此高效分类至关重要。这种规模的手动调查流程可能为合规团队带来显著的工作量。自动化让分析师能够更高效地处理警报，减少调查时间，并维持合规标准。

解决方案概述

以下图表展示了连接 Amazon Quick 和 Snowflake 的端到端集成架构，通过模型上下文协议（MCP）。

图 1：通过模型上下文协议将 Snowflake 管理的 MCP 服务器与 Amazon Quick 集成

该解决方案使用 Amazon Quick Flows 作为编排层，通过 Amazon Quick 管理的连接到达 Snowflake Cortex Agent，该代理通过 Snowflake 管理的 MCP 服务器进行 OAuth 认证。Cortex Agent 执行调查工作，通过 Cortex Analyst 分析结构化交易数据，通过 Cortex Search 分析非结构化合规文档，而 Quick Flows 处理输入验证、推理逻辑和格式化输出呈现。

图 2：AML 警报分类工作流：Amazon Quick Flows 与 MCP 操作步骤调用 Snowflake Cortex Agents（Cortex Analyst 和 Cortex Search）

以下是端到端的分析师体验，从 Quick Flow 输入步骤到完整的调查报告。分析师打开已发布的工作流，输入警报 ID（例如 ALT-2026-03-02-002），并可选择指定时间窗口。然后工作流：

验证输入并确认警报存在。

通过 MCP 调用 Snowflake Cortex Agent，跨交易数据、客户资料、先前历史和合规策略调查警报。

生成结构化调查报告：警报摘要、交易模式、客户资料、先前 SAR、策略参考、风险评分、处置建议和草稿叙述。

实施

在本节中，我们将引导您完成构建 AML 分类工作流的步骤，从准备 Snowflake 数据层到配置 Quick Flows 编排。我们从您开始之前所需的先决条件开始，每个步骤都建立在前一个步骤之上，因此到最后，您将拥有一个完全功能、端到端的自动化调查管道，可供分析师使用。

先决条件

具有配置 MCP 操作连接器的权限的 Amazon Quick 账户。

具有访问 Cortex Agents、Cortex Search 和 Snowflake 管理的 MCP 服务器功能的 Snowflake 账户。您需要创建 AGENT、MCP SERVER、CORTEX SEARCH SERVICE 和 SECURITY INTEGRATION 对象的权限。

Snowflake 中的 AML 数据。来自交易监控系统（如 Actimize、Norkom 或内部规则引擎）的交易监控警报；客户/账户主数据；KYC/CDD 记录。一个语义视图，建模警报、交易、客户和处置维度。

Snowflake 中的合规文档库。BSA/AML 策略手册、SAR 归档指南、先前的调查笔记和监管指南（FinCEN 咨询、FFIEC BSA/AML 手册摘录）加载到表中用于 Cortex Search 索引。

熟悉 SQL、Snowflake 管理和 AWS Identity and Access Management (IAM) 概念。

第1步：准备 AML 语义视图（Snowflake）

Cortex Analyst 在您提供与合规团队思考警报和调查方式匹配的语义视图时工作最佳。Snowflake 管理的 MCP 服务器支持 Cortex Analyst 的语义视图。导航到 Snowsight，然后到 AI & ML，再到语义视图，并在 Snowflake 中为您的 AML 表（维度和度量）创建一个语义视图。

警报元数据：alert_id, alert_date, rule_name, rule_category, severity, status, alert_score。

交易详情：txn_id, txn_date, txn_type, amount, currency, channel, originator, beneficiary, beneficiary_country。

客户资料：customer_id, full_name, risk_rating, country, industry, onboarding_date, pep_flag, sanctions_flag。

账户活动：account_id, account_type, current_balance, avg_monthly_volume, status。

处置历史：prior alerts, prior SARs, last disposition outcome, analyst notes。

定义警报、交易、客户、账户和处置之间的关系（连接），以便代理可以在单个查询中遍历数据模型。

第2步：为合规文档构建 Cortex Search 服务（Snowflake）

AML 分类严重依赖于非结构化上下文。在您的合规文档库上创建一个 Cortex Search 服务，以便代理在每次分类期间可以检索相关的策略部分、SAR 归档模板和先前的调查笔记。

CREATE OR REPLACE CORTEX SEARCH SERVICE aml_policy_search ON search_content ATTRIBUTES doc_type, effective_date, regulatory_body WAREHOUSE = AML_WH TARGET_LAG = '1 hour' EMBEDDING_MODEL = 'snowflake-arctic-embed-l-v2.0' AS ( SELECT doc_id, doc_type, effective_date, regulatory_body, content AS search_content FROM FINCRIMES_DB.AML_SCHEMA.COMPLIANCE_DOCS );

要索引的文档包括您机构的 BSA/AML 策略手册、SAR 归档阈值和叙述模板、FinCEN 咨询、FFIEC BSA/AML 手册摘录、先前的调查笔记（根据需要编辑）、以及制裁/PEP 筛查指南。

第3步：创建 AML 分类 Cortex Agent（Snowflake）

创建一个 Cortex Agent，编排您的交易语义视图（Cortex Analyst）和合规文档搜索服务（Cortex Search）。代理规范包括一个系统指令块，编码您机构的调查方法论。该块是有意设置的，期望进行自定义。此处提供的默认指令反映了一个常见的 AML 分类工作流，但您应该调整它们以匹配您组织的具体程序、升级标准和监管义务，然后再部署到生产环境。

查看系统指令块中的编号步骤，并重新排序或删除不适用于您工作流的步骤。添加机构特定的上下文，例如您的司法管辖区和适用的监管框架。更新响应格式块以匹配您的案例管理系统预期的输出结构。使用您自己环境中的代表警报 ID 或查询模式更新 sample_questions 块，以帮助在测试期间验证代理行为。

保持编排预算保守，以便代理在 Amazon Quick MCP 超时限制（当前 300 秒）内完成。创建代理后，转到 Snowsight 并更新用于 Cortex Analyst 工具的默认仓库。

CREATE OR REPLACE AGENT aml_triage_agent COMMENT = 'Daily AML alert triage agent' FROM SPECIFICATION $$ orchestration: budget: seconds: 120 tokens: 16000 instructions: system: | You are an AML alert triage assistant for a regulated financial institution. Your job is to: (1) Retrieve and summarize the flagged transaction pattern. (2) Pull the customer profile and account activity baseline. (3) Check for prior alerts, SARs, or investigations on this customer. (4) Retrieve relevant policy sections and SAR filing thresholds. (5) Produce a structured investigation brief with a risk score and disposition recommendation. Never fabricate transaction data. If data is missing, say so. response: | Always use this output format:

1. Alert Summary (alert ID, rule, severity, date)
2. Transaction Pattern (amounts, counterparties, channel,

frequency)

1. Customer Profile (risk rating, onboarding, country,

industry)

1. Prior History (past alerts, SARs, dispositions)
2. Policy Reference (applicable thresholds, guidance)
3. Risk Assessment (score 1-10, rationale)
4. Disposition Recommendation (close / escalate / file SAR)
5. Draft Narrative (2-3 paragraphs for case notes or SAR)

sample_questions:

• question: "Review alert ALT-2026-03-02-002"

answer: "I will pull the transaction details, customer profile, check prior history, and produce an investigation brief." tools:

• tool_spec:

type: cortex_analyst_text_to_sql name: TxnAnalyst description: TxnAnalyst

• tool_spec:

type: cortex_search name: PolicySearch tool_resources: TxnAnalyst: semantic_view: FINCRIMES_DB.AML_SCHEMA.AML_SEMANTIC_VIEW PolicySearch: name: FINCRIMES_DB.AML_SCHEMA.AML_POLICY_SEARCH $$;

第4步：创建 Snowflake 管理的 MCP 服务器

Snowflake Cortex Agents 不会自动暴露给外部 MCP 客户端。创建一个 MCP SERVER 对象，列出您希望 Amazon Quick 发现的工具。

CREATE OR REPLACE MCP SERVER aml_mcp_server FROM SPECIFICATION $$ tools:

• title: "AML Triage Agent"

name: "aml_triage" type: "CORTEX_AGENT_RUN" identifier: "FINCRIMES_DB.AML_SCHEMA.AML_TRIAGE_AGENT" description: "Runs the AML alert triage agent for daily compliance investigation."

• title: "Transaction Analyst"

name: "txn_analyst" type: "CORTEX_ANALYST_MESSAGE" identifier: "FINCRIMES_DB.AML_SCHEMA.AML_SEMANTIC_VIEW" description: "Governed natural-language queries over transaction monitoring data."

• title: "Policy Search"

name: "policy_search" type: "CORTEX_SEARCH_SERVICE_QUERY" identifier: "FINCRIMES_DB.AML_SCHEMA.AML_POLICY_SEARCH" description: "Search BSA/AML policy, SAR guidelines, and prior investigation notes." $$;

第5步：为 Amazon Quick 设置 Snowflake OAuth

Amazon Quick 支持 MCP 集成的 OAuth。Snowflake 管理的 MCP 服务器支持 OAuth 2.0，但不支持动态客户端注册，因此您将使用 Amazon Quick 中的手动配置选项。

在 Snowflake 中，创建类型为 OAUTH 的 SECURITY INTEGRATION，并注册 Amazon Quick 重定向 URL。

（由于成本控制，SQL 语句已截断）