使用 Amazon Quick 和 Snowflake Cortex AI 自動化 AML 警報分類

在 AWS 和 Snowflake 上執行的金融機構受益於一個深度整合的框架，該框架結合了 Snowflake 的 AI 資料雲與 AWS 雲基礎設施，包括與 Amazon S3、AWS Glue、Amazon SageMaker 和 Amazon Bedrock 等 AWS 服務的整合。AWS 服務和 Snowflake 之間擁有超過 50 個原生整合，組織可以構建在維護資料安全的同時加速實現價值的合規工作流。

本文透過自動化金融服務中最勞動密集的工作流程之一——反洗錢（AML）警報分類——展示了這種整合在實踐中的應用。您將使用 Amazon Quick Flows 和 Snowflake Cortex，透過 Amazon Quick 模型上下文協議（MCP）整合構建分類工作流。在我們的測試環境中，使用 Amazon Quick 構建的自動化工作流將警報調查時間從 30-90 分鐘減少到 5 分鐘以下。實際結果可能因警報復雜性和資料量而異。

隨著 AI 採用的成熟，組織發現影響最大的部署超越了獨立的助手。它們是可重複的工作流，協調團隊已經使用的工具，將多步驟手動流程轉化為一鍵式體驗。Amazon Quick 是一種企業 AI 服務，提供基於生成式 AI 的聊天代理、研究能力、用於任務自動化的 Quick Flows 以及用於流程自動化的 Amazon Quick Automate，從多個來源聚合資料，包括原生索引、自定義知識庫和使用者上傳的檔案。Quick Flows 將使用者請求轉化為標準化的 MCP 協議呼叫，消除了對自定義聯結器的需求，同時透過 OAuth 認證維護企業安全性。Quick Flows 非常適合 AML 分類，因為調查每次都遵循相同的結構化步驟：收集輸入、執行調查、產生輸出。同樣的基於 MCP 的方法適用於團隊當前手動橋接系統的可重複工作流，例如 FinOps 成本分類、SRE 事件響應或合規調查。

中大型銀行的 AML 分析師通常每個警報花費 30 到 90 分鐘手動收集資料並編寫處置說明。根據行業研究，金融機構通常發現 90-95% 的 AML 警報是誤報，因此高效分類至關重要。這種規模的手動調查流程可能為合規團隊帶來顯著的工作量。自動化讓分析師能夠更高效地處理警報，減少調查時間，並維持合規標準。

解決方案概述

以下圖表展示了連線 Amazon Quick 和 Snowflake 的端到端整合架構，透過模型上下文協議（MCP）。

圖 1：透過模型上下文協議將 Snowflake 管理的 MCP 伺服器與 Amazon Quick 整合

該解決方案使用 Amazon Quick Flows 作為編排層，透過 Amazon Quick 管理的連線到達 Snowflake Cortex Agent，該代理透過 Snowflake 管理的 MCP 伺服器進行 OAuth 認證。Cortex Agent 執行調查工作，透過 Cortex Analyst 分析結構化交易資料，透過 Cortex Search 分析非結構化合規文件，而 Quick Flows 處理輸入驗證、推理邏輯和格式化輸出呈現。

圖 2：AML 警報分類工作流：Amazon Quick Flows 與 MCP 操作步驟呼叫 Snowflake Cortex Agents（Cortex Analyst 和 Cortex Search）

以下是端到端的分析師體驗，從 Quick Flow 輸入步驟到完整的調查報告。分析師開啟已釋出的工作流，輸入警報 ID（例如 ALT-2026-03-02-002），並可選擇指定時間視窗。然後工作流：

驗證輸入並確認警報存在。

透過 MCP 呼叫 Snowflake Cortex Agent，跨交易資料、客戶資料、先前歷史和合規策略調查警報。

生成結構化調查報告：警報摘要、交易模式、客戶資料、先前 SAR、策略參考、風險評分、處置建議和草稿敘述。

實施

在本節中，我們將引導您完成構建 AML 分類工作流的步驟，從準備 Snowflake 資料層到配置 Quick Flows 編排。我們從您開始之前所需的先決條件開始，每個步驟都建立在前一個步驟之上，因此到最後，您將擁有一個完全功能、端到端的自動化調查管道，可供分析師使用。

先決條件

具有配置 MCP 操作聯結器的許可權的 Amazon Quick 賬戶。

具有訪問 Cortex Agents、Cortex Search 和 Snowflake 管理的 MCP 伺服器功能的 Snowflake 賬戶。您需要建立 AGENT、MCP SERVER、CORTEX SEARCH SERVICE 和 SECURITY INTEGRATION 物件的許可權。

Snowflake 中的 AML 資料。來自交易監控系統（如 Actimize、Norkom 或內部規則引擎）的交易監控警報；客戶/賬戶主資料；KYC/CDD 記錄。一個語義檢視，建模警報、交易、客戶和處置維度。

Snowflake 中的合規文件庫。BSA/AML 策略手冊、SAR 歸檔指南、先前的調查筆記和監管指南（FinCEN 諮詢、FFIEC BSA/AML 手冊摘錄）載入到表中用於 Cortex Search 索引。

熟悉 SQL、Snowflake 管理和 AWS Identity and Access Management (IAM) 概念。

第1步：準備 AML 語義檢視（Snowflake）

Cortex Analyst 在您提供與合規團隊思考警報和調查方式匹配的語義檢視時工作最佳。Snowflake 管理的 MCP 伺服器支援 Cortex Analyst 的語義檢視。導航到 Snowsight，然後到 AI & ML，再到語義檢視，並在 Snowflake 中為您的 AML 表（維度和度量）建立一個語義檢視。

警報後設資料：alert_id, alert_date, rule_name, rule_category, severity, status, alert_score。

交易詳情：txn_id, txn_date, txn_type, amount, currency, channel, originator, beneficiary, beneficiary_country。

客戶資料：customer_id, full_name, risk_rating, country, industry, onboarding_date, pep_flag, sanctions_flag。

賬戶活動：account_id, account_type, current_balance, avg_monthly_volume, status。

處置歷史：prior alerts, prior SARs, last disposition outcome, analyst notes。

定義警報、交易、客戶、賬戶和處置之間的關係（連線），以便代理可以在單個查詢中遍歷資料模型。

第2步：為合規文件構建 Cortex Search 服務（Snowflake）

AML 分類嚴重依賴於非結構化上下文。在您的合規文件庫上建立一個 Cortex Search 服務，以便代理在每次分類期間可以檢索相關的策略部分、SAR 歸檔模板和先前的調查筆記。

CREATE OR REPLACE CORTEX SEARCH SERVICE aml_policy_search ON search_content ATTRIBUTES doc_type, effective_date, regulatory_body WAREHOUSE = AML_WH TARGET_LAG = '1 hour' EMBEDDING_MODEL = 'snowflake-arctic-embed-l-v2.0' AS ( SELECT doc_id, doc_type, effective_date, regulatory_body, content AS search_content FROM FINCRIMES_DB.AML_SCHEMA.COMPLIANCE_DOCS );

要索引的文件包括您機構的 BSA/AML 策略手冊、SAR 歸檔閾值和敘述模板、FinCEN 諮詢、FFIEC BSA/AML 手冊摘錄、先前的調查筆記（根據需要編輯）、以及制裁/PEP 篩查指南。

第3步：建立 AML 分類 Cortex Agent（Snowflake）

建立一個 Cortex Agent，編排您的交易語義檢視（Cortex Analyst）和合規文件搜尋服務（Cortex Search）。代理規範包括一個系統指令塊，編碼您機構的調查方法論。該塊是有意設定的，期望進行自定義。此處提供的預設指令反映了一個常見的 AML 分類工作流，但您應該調整它們以匹配您組織的具體程式、升級標準和監管義務，然後再部署到生產環境。

檢視系統指令塊中的編號步驟，並重新排序或刪除不適用於您工作流的步驟。新增機構特定的上下文，例如您的司法管轄區和適用的監管框架。更新響應格式塊以匹配您的案例管理系統預期的輸出結構。使用您自己環境中的代表警報 ID 或查詢模式更新 sample_questions 塊，以幫助在測試期間驗證代理行為。

保持編排預算保守，以便代理在 Amazon Quick MCP 超時限制（當前 300 秒）內完成。建立代理後，轉到 Snowsight 並更新用於 Cortex Analyst 工具的預設倉庫。

CREATE OR REPLACE AGENT aml_triage_agent COMMENT = 'Daily AML alert triage agent' FROM SPECIFICATION $$ orchestration: budget: seconds: 120 tokens: 16000 instructions: system: | You are an AML alert triage assistant for a regulated financial institution. Your job is to: (1) Retrieve and summarize the flagged transaction pattern. (2) Pull the customer profile and account activity baseline. (3) Check for prior alerts, SARs, or investigations on this customer. (4) Retrieve relevant policy sections and SAR filing thresholds. (5) Produce a structured investigation brief with a risk score and disposition recommendation. Never fabricate transaction data. If data is missing, say so. response: | Always use this output format:

1. Alert Summary (alert ID, rule, severity, date)
2. Transaction Pattern (amounts, counterparties, channel,

frequency)

1. Customer Profile (risk rating, onboarding, country,

industry)

1. Prior History (past alerts, SARs, dispositions)
2. Policy Reference (applicable thresholds, guidance)
3. Risk Assessment (score 1-10, rationale)
4. Disposition Recommendation (close / escalate / file SAR)
5. Draft Narrative (2-3 paragraphs for case notes or SAR)

sample_questions:

• question: "Review alert ALT-2026-03-02-002"

answer: "I will pull the transaction details, customer profile, check prior history, and produce an investigation brief." tools:

• tool_spec:

type: cortex_analyst_text_to_sql name: TxnAnalyst description: TxnAnalyst

• tool_spec:

type: cortex_search name: PolicySearch tool_resources: TxnAnalyst: semantic_view: FINCRIMES_DB.AML_SCHEMA.AML_SEMANTIC_VIEW PolicySearch: name: FINCRIMES_DB.AML_SCHEMA.AML_POLICY_SEARCH $$;

第4步：建立 Snowflake 管理的 MCP 伺服器

Snowflake Cortex Agents 不會自動暴露給外部 MCP 客戶端。建立一個 MCP SERVER 物件，列出您希望 Amazon Quick 發現的工具。

CREATE OR REPLACE MCP SERVER aml_mcp_server FROM SPECIFICATION $$ tools:

• title: "AML Triage Agent"

name: "aml_triage" type: "CORTEX_AGENT_RUN" identifier: "FINCRIMES_DB.AML_SCHEMA.AML_TRIAGE_AGENT" description: "Runs the AML alert triage agent for daily compliance investigation."

• title: "Transaction Analyst"

name: "txn_analyst" type: "CORTEX_ANALYST_MESSAGE" identifier: "FINCRIMES_DB.AML_SCHEMA.AML_SEMANTIC_VIEW" description: "Governed natural-language queries over transaction monitoring data."

• title: "Policy Search"

name: "policy_search" type: "CORTEX_SEARCH_SERVICE_QUERY" identifier: "FINCRIMES_DB.AML_SCHEMA.AML_POLICY_SEARCH" description: "Search BSA/AML policy, SAR guidelines, and prior investigation notes." $$;

第5步：為 Amazon Quick 設定 Snowflake OAuth

Amazon Quick 支援 MCP 整合的 OAuth。Snowflake 管理的 MCP 伺服器支援 OAuth 2.0，但不支援動態客戶端註冊，因此您將使用 Amazon Quick 中的手動配置選項。

在 Snowflake 中，建立型別為 OAUTH 的 SECURITY INTEGRATION，並註冊 Amazon Quick 重定向 URL。

（由於成本控制，SQL 語句已截斷）