【人工智能】LLM 和 MCP 服务器：远程访问中安全 AI 的新蓝图

越来越多的组织开始采用大型语言模型 (LLM)。LLM 擅长解读自然语言、指导故障排除，并自动化执行那些会拖慢管理员效率的重复性日常任务。当人工智能助手能够接收诸如“将我连接到主 Linux 集群并检查登录失败”之类的指令，并立即执行完全协调的操作时，其效率和生产力的提升是毋庸置疑的。

作为这一趋势的一部分，LLM（生命周期管理）正渗透到IT运维中最敏感的领域，包括团队赖以管理跨混合环境、云环境和本地环境的远程连接和特权访问的工具。远程访问系统处于信任、身份和运维控制的核心位置。它们管理管理员会话、代理身份验证，并将敏感工作负载连接到负责维护这些工作负载的人员。

01

为什么AI需要在远程访问中引入中介层

将LLM扩展到特权工作流中固然方便，但也存在问题。一些AI工具在运行命令或连接主机时，只需获取凭据并将其传递给LLM以供下游使用即可。这虽然是一种便捷的捷径，但也存在潜在危险。如果模型接收到密码或密钥，则整个权限边界将崩溃。组织将失去对凭据管理的控制，审计变得不可靠，而LLM则成为一个新的、不透明的参与者，拥有对环境核心的访问权限。

此外，模型可能受到人为操纵的输入影响，这使得凭证泄露的风险更大。更重要的是，LLM 对上下文数据的渴求使其成为密钥、令牌和管理路径保护系统的潜在风险因素。最终，LLM（以及利用它们的 AI 工具和模型）可能非常有用，但绝不应允许它们持有或处理机密信息。它们目前还不够成熟，无法以这种方式被信任。

鉴于这些担忧和漏洞，首席信息官、首席信息安全官和运营领导者现在面临着一个核心问题：我们如何才能让LLM帮助我们，同时又不让他们过于接近我们的特权工作流程？

幸运的是，一种解决方案正在出现，它将架构上的弱点转化为优势：模型上下文协议 (MCP) 服务器。

02

MCP 服务器：

重塑 LLM 与基础设施的交互方式

MCP 服务器充当安全中介——实际上是人工智能的“气闸”——允许 LLM 请求操作，但无需接触这些操作所需的凭证或特权路径。随着组织机构深入推进人工智能辅助运营，MCP 式方法正逐渐成为安全、可扩展集成的蓝图。

MCP 服务器引入了一种职责分离机制，许多安全架构师长期以来都认为这种机制至关重要：人工智能提供辅助，但实际执行由受控系统完成。该模型并非直接拥有执行权限，而是仅限于表达意图（例如，“连接到此处”、“收集日志”、“检查此策略”），而 MCP 服务器则负责解析这些请求、应用策略，并通过经过验证的工具进行路由。重要的是，这种方法符合NIST AI 风险管理框架中描述的原则，该框架强调工具边界、权限控制和人为控制的权限升级。

这种设计之所以特别有效，是因为LLM永远不会接收到特权信息。身份验证通过安全凭证注入在内部完成。因此，LLM只能看到结果，而无法获取密钥本身。LLM可以描述发生了什么，帮助进行问题分类，并指导用户完成后续步骤，但它本身无法进行身份验证。

安全研究日益强调，人工智能模型与本地工具之间的传输层是攻击面的关键组成部分。例如，OWASP 针对本地生命周期管理 (LLM) 应用的十大安全漏洞报告中指出，不安全的插件交互（尤其是通过开放的本地主机 HTTP 端点暴露的交互）可能导致不受信任的本地进程触发特权操作。MCP 架构通过依赖操作系统强制执行的用户级通道（例如命名管道）来避免这种情况，从而提供更强的隔离性。这种方法与ENISA 关于不安全的人工智能连接点及其在高权限环境中带来的风险的更广泛警告相一致。

MCP 服务器的另一个关键优势在于能够在远程会话中执行操作。通过使用安全的虚拟通道或等效机制，MCP 服务器可以直接在 RDP 或 SSH 环境中执行操作，而无需依赖脆弱的、绕过 MFA 的脚本。这种方法兼顾了便捷性和可控性：管理员可以获得强大的自动化功能，同时又不会牺牲零信任原则。

这些特性共同重新定义了“安全集成人工智能”的含义。企业不再将人工智能直接包裹在敏感系统之上，而是在两者之间设置一个强化层，明确规定人工智能可以请求和接收哪些信息，以及同样重要的，它绝对不能查看哪些信息。

03

LLM + MCP 架构的运营优势

这种设计带来的运营效益非常显著。通过 MCP 集成人工智能，IT 团队可以使用简单的自然语言来协调环境设置、配置标准化和多会话任务。这有望大幅缩短问题识别和解决之间的时间；尤其是在混合环境中，上下文切换通常会降低整体效率。

这些改进也与更广泛的行业预测和建议相符。Gartner指出， LLM辅助的 IT 运维能够显著加速混合基础设施管理，帮助团队在不牺牲治理的前提下提高工作效率。该模型能够分析日志、汇总复杂数据集，并指导用户完成故障排除步骤——同时，MCP 层确保每个操作都符合规范且可追溯。

其结果不仅在于速度更快，更在于治理更完善。当生命周期管理 (LLM) 系统始终通过相同的强化路径路由任务时，组织就能获得可靠的审计跟踪、可复现的工作流程，以及人为活动和人工智能活动之间清晰的归因。日志包含提示信息、工具调用、会话详情和策略参考——所有这些都为合规团队提供了他们在人工智能驱动的环境中日益需要和期望的透明度。

这种方法也带来了文化上的好处。通过“卸载繁琐的工作”（例如，日志审查、重复性检查、枯燥的行政步骤等），IT 团队可以将精力和注意力转移到更高价值的工作上。这通常可以提高效率和士气；尤其对于那些因混合基础设施蔓延而人手不足的运维团队而言更是如此。

最后，由于 MCP 架构可以支持多个 LLM，因此组织不必局限于单一供应商。他们可以根据监管需求和数据治理偏好，选择商业模式、开源模式或本地部署模式。

04

仍需关注的安全风险

尽管我们探讨的益处显著，在某些方面甚至具有变革性，但有必要且负责任地指出，即使有了安全的中间层，LLM辅助环境也并非完全没有风险。以下四个问题仍需重点关注：

• 如前所述，直接和间接的快速注入仍然是最大的担忧之一，并且仍然是针对 LLM 最广泛记录的攻击类型之一。

• 元数据泄露是另一个令人担忧的问题。尽管 MCP 服务器会保护凭据，但除非团队严格执行数据最小化措施，否则提示和响应仍然可能泄露主机名、内部路径和拓扑模式。

• 基于 MCP 的系统会引入新的机器身份：工具服务器、虚拟通道和代理进程。行业研究表明，在许多组织中，机器身份的数量远远超过人类身份，而对这些身份的管理不善正日益成为安全漏洞的根源。

• 最后，人工智能供应链不容忽视。模型更新、工具扩展和集成层都需要持续验证。欧盟网络安全和信息安全局 (ENISA) 的分析强调，与传统软件栈相比，人工智能系统引入了更广泛、更脆弱的供应链。

05

未来12个月：

切实可行的前进之路

在特权环境中探索基于LLM的自动化方案的组织，应将MCP式中介视为预期基准。在接下来的一年中，领导者可以采取以下几个切实可行的步骤：

• 建立一套内部治理模型，明确哪些大语言模型（LLM）被批准使用，以及它们可以访问哪些数据。

• 确保所有 AI 驱动的特权操作都通过类似 MCP 的层进行路由，而不是直接与凭证交互。

• 将人工智能发起的工作流程集成到现有的 PAM 框架中。

• 采用策略即代码来定义和测试工具边界。

• 优先考虑数据最小化。

• 引入以人工智能为重点的红队演练，重点关注快速操控、模型行为和本地接口加固。

结语

LLM（层级管理）正在重塑远程访问和特权操作，带来更高水平的速度、指导和自动化。然而，要安全地释放这种潜力，需要一种严谨的架构方法：在人工智能模型和敏感系统之间构建一个安全、可审计的中介层。MCP（管理控制点）服务器正是提供了这种架构。它们允许人工智能在不“交出密钥”的情况下进行辅助操作，将创新与治理相结合，从而符合现代零信任的期望。

对于希望以负责任且盈利的方式利用人工智能的组织而言，MCP 式设计代表了一种实用且具有前瞻性的蓝图——其中 LLM 可以增强人类的专业知识，而不是无意中但总是会损害特权访问和工作流程的安全性。

免责声明：

本文所发布的内容和图片旨在传播行业信息，版权归原作者所有，非商业用途。如有侵权，请与我们联系删除。所有信息不构成任何投资建议，加密市场具有高度风险，投资者应基于自身判断和谨慎评估做出决策。投资有风险，入市需谨慎。

设为星标 避免错过

虚拟世界没有旁观者，每个点赞都是创造历史的像素

关注我，一起探索AWM⁺

2025-12-31

2025-12-30

2025-12-29

商业赞助

点击下方 “目录” 阅读更多