核心设计理念
一条规则:密码不进入 AI 的可触达范围,也不进入可观测的进程状态
# 架构示意
AI / User
→brokre CLI
→OS Keychain
→Vault File
PTY + 注入器
→任意 PATH 上的 CLI
(ssh, mysql, gsql…)密码不进入 AI 上下文
不出现在环境变量
不出现在进程列表
AES-256-GCM 静态加密
HMAC 审计链
8 大安全特性
从密码存储、传输到 AI 访问边界,全链路零泄漏设计
无环境变量/ps 泄漏
注入基于 PTY 提示符,密码从不通过 -p、SSHPASS、MYSQL_PWD 或导出的环境变量传递。
父进程不持有明文
保存的密码在短暂的 brokre --internal-injector 子进程中解密,写入 PTY 后子进程立即退出(Unix)。
AI 无法 reveal
brokre reveal 需要真实 TTY + 主密码,Web UI 中不可用,且不通过 MCP 暴露。
静态保险库加密
每字段 AES-256-GCM 加密;DEK 由 OS keyring(Linux)或 ~/.brokre/.master_kek(macOS)包装,可选 Argon2id 揭示密码。
MCP 边界隔离
MCP 仅暴露元数据(brokre_list)和执行(brokre_exec),不暴露密码、会话令牌或 reveal 能力。
管理 UI 安全
仅绑定 127.0.0.1;密码为只写;会话令牌打印在终端,从不返回给 AI;15 分钟空闲超时。
审计链
HMAC 链式 JSONL 审计日志;brokre audit verify 可检测篡改。
OS 加固
禁用 core dump,ptrace 检查(Linux),可选 mlockall,详见 docs/HARDENING.md。
AES-256 加密凭证保险库
密码存储于加密保险库,AI 与用户仅可见别名与元数据,真实凭证永不暴露
快速开始
三步完成 AI 安全凭证代理配置
1
添加 MCP 配置
// Cursor: ~/.cursor/mcp.json
{
"mcpServers": {
"brokre": {
"command": "npx",
"args": ["-y", "brokre@latest"]
}
}
}2
首次连接,保存凭证
# 首次运行任意 CLI,交互式保存密码 brokre ssh root@10.0.0.1 brokre mysql prod-db
3
AI 安全使用
# AI 只看到别名,密码永不暴露 brokre mysql prod-db -e "SHOW TABLES" brokre ssh prod-bastion uname -a
MCP 工具接口
通过标准 MCP 协议暴露的三个安全工具,密码与令牌均不在其中
| 工具名称 | 用途 |
|---|---|
| brokre_list | 列出已保存的别名(仅元数据:profile、name、host) |
| brokre_exec | 运行任意已保存的 CLI 别名(binary + args) |
| brokre_setup | 在浏览器中为用户打开管理 UI 以添加凭证 |
* 不暴露:reveal、密码导出或会话令牌
支持的 AI 客户端
任何支持 stdio MCP 的工具均可使用 brokre
Cursor
Claude Code
Kimi Code
Trae
OpenClaw
Hermes Agent
ChatClaw
其他 MCP 客户端
预设管理 UI 分组
内置常用工具的便捷管理标签页,PTY 包装器支持 PATH 上的任意 CLI
SSH
ssh, scp, sftp(共享凭证)
FTP
ftp, lftp
MySQL
mysql, mariadb
PostgreSQL
psql, postgres
Redis
redis-cli, redis
ClickHouse
clickhouse-client, clickhouse
MinIO
mc, minio
任意 CLI
通用 password: 匹配