--- sidebar_position: 8 title: "安全" description: "安全模型、危险命令审批、用户授权、容器隔离及生产部署最佳实践" --- # 安全 Hermes Agent 采用纵深防御安全模型。本页涵盖所有安全边界——从命令审批到容器隔离,再到消息平台上的用户授权。 ## 概述 安全模型共有七层: 1. **用户授权** — 谁可以与 Agent 通信(允许列表、DM 配对) 2. **危险命令审批** — 针对破坏性操作的人工审核环节 3. **容器隔离** — Docker/Singularity/Modal 沙箱及加固配置 4. **MCP 凭据过滤** — MCP 子进程的环境变量隔离 5. **上下文文件扫描** — 检测项目文件中的 prompt(提示词)注入 6. **跨会话隔离** — 会话之间无法访问彼此的数据或状态;cron 任务存储路径已针对路径遍历攻击进行加固 7. **输入清理** — 终端工具后端中的工作目录参数会经过允许列表验证,以防止 shell 注入 ## 危险命令审批 在执行任何命令之前,Hermes 会将其与一份精心维护的危险模式列表进行比对。若匹配,用户必须明确批准。 ### 审批模式 审批系统支持三种模式,通过 `~/.hermes/config.yaml` 中的 `approvals.mode` 配置: ```yaml approvals: mode: manual # manual | smart | off timeout: 60 # 等待用户响应的秒数(默认:60) ``` | 模式 | 行为 | |------|----------| | **manual**(默认) | 始终提示用户审批危险命令 | | **smart** | 使用辅助 LLM 评估风险。低风险命令(如 `python -c "print('hello')"` )自动批准,真正危险的命令自动拒绝,不确定的情况升级为手动提示。 | | **off** | 禁用所有审批检查——等同于使用 `--yolo` 运行。所有命令无需提示即可执行。 | :::warning 设置 `approvals.mode: off` 将禁用所有安全提示。仅在受信任的环境(CI/CD、容器等)中使用。 ::: ### YOLO 模式 YOLO 模式会绕过当前会话中**所有**危险命令审批提示。可通过以下三种方式激活: 1. **CLI 标志**:使用 `hermes --yolo` 或 `hermes chat --yolo` 启动会话 2. **斜杠命令**:在会话中输入 `/yolo` 以切换开/关 3. **环境变量**:设置 `HERMES_YOLO_MODE=1` `/yolo` 命令是一个**切换开关**——每次使用都会翻转模式的开/关状态: ``` > /yolo ⚡ YOLO mode ON — all commands auto-approved. Use with caution. > /yolo ⚠ YOLO mode OFF — dangerous commands will require approval. ``` YOLO 模式在 CLI 和 gateway 会话中均可使用。在内部,它会设置 `HERMES_YOLO_MODE` 环境变量,该变量在每次命令执行前都会被检查。 当 YOLO 激活时,Hermes 会显示两个持久的视觉提醒,以确保用户不会忘记审批提示已被绕过: - 当 YOLO 已激活时,会话开始时显示一条红色横幅:`⚠ YOLO mode — all approval prompts bypassed`。YOLO 关闭时隐藏,以保持默认横幅整洁。 - 状态栏中所有宽度层级均显示 `⚠ YOLO` 片段,随着 YOLO 的切换实时更新(富文本渲染器和纯文本回退均支持)。 :::danger YOLO 模式会禁用会话中**所有**危险命令安全检查——**但硬性黑名单除外**(见下文)。仅在完全信任所生成命令的情况下使用(例如,在一次性环境中经过充分测试的自动化脚本)。 ::: 对于破坏性会话斜杠命令(`/clear`、`/new` / `/reset`、`/undo`、`/exit --delete`),CLI 在执行前也会提示确认。参见[斜杠命令——破坏性命令的确认提示](../reference/slash-commands.md#confirmation-prompts-for-destructive-commands)。 ### 硬性黑名单(始终生效的底线) 某些命令极具破坏性——不可逆的文件系统清除、fork 炸弹、直接写入块设备——无论以下任何情况,Hermes 都**拒绝**执行: - `--yolo` / `/yolo` 已开启 - `approvals.mode: off` - Cron 任务以无头 `approve` 模式运行 - 用户明确点击"始终允许" 黑名单是 `--yolo` 之下的底线。它在审批层看到命令**之前**就会触发,且没有任何覆盖标志。当前涵盖的模式(非详尽列表;与 `tools/approval.py::UNRECOVERABLE_BLOCKLIST` 保持同步): | 模式 | 为何列为硬性规则 | |---|---| | `rm -rf /` 及明显变体 | 清除文件系统根目录 | | `rm -rf --no-preserve-root /` | 明确表示"我就是要删根目录"的变体 | | `:(){ :\|:& };:` (bash fork 炸弹) | 使主机挂起直至重启 | | `mkfs.*` 作用于已挂载的根设备 | 格式化运行中的系统 | | `dd if=/dev/zero of=/dev/sd*` | 清零物理磁盘 | | 将不受信任的 URL 通过管道传给 `sh`(作用于根文件系统顶层) | 远程代码执行攻击面过大,无法批准 | 若触发黑名单,工具调用会向 Agent 返回一条说明性错误,且不执行任何操作。如果某个合法工作流确实需要这些命令(例如,你是一个清除并重装流水线的操作者),请在 Agent 外部运行。 ### 审批超时 当危险命令提示出现时,用户有一段可配置的时间来响应。若在超时内未响应,命令将**默认被拒绝**(故障关闭)。 在 `~/.hermes/config.yaml` 中配置超时: ```yaml approvals: timeout: 60 # 秒(默认:60) ``` ### 触发审批的条件 以下模式会触发审批提示(定义于 `tools/approval.py`): | 模式 | 描述 | |---------|-------------| | `rm -r` / `rm --recursive` | 递归删除 | | `rm ... /` | 在根路径下删除 | | `chmod 777/666` / `o+w` / `a+w` | 全局/其他用户可写权限 | | `chmod --recursive` 配合不安全权限 | 递归全局/其他用户可写(长标志) | | `chown -R root` / `chown --recursive root` | 递归 chown 为 root | | `mkfs` | 格式化文件系统 | | `dd if=` | 磁盘复制 | | `> /dev/sd` | 写入块设备 | | `DROP TABLE/DATABASE` | SQL DROP | | `DELETE FROM`(不含 WHERE) | 不含 WHERE 的 SQL DELETE | | `TRUNCATE TABLE` | SQL TRUNCATE | | `> /etc/` | 覆盖系统配置 | | `systemctl stop/restart/disable/mask` | 停止/重启/禁用系统服务 | | `kill -9 -1` | 杀死所有进程 | | `pkill -9` | 强制杀死进程 | | Fork 炸弹模式 | Fork 炸弹 | | `bash -c` / `sh -c` / `zsh -c` / `ksh -c` | 通过 `-c` 标志执行 shell 命令(包括组合标志如 `-lc`) | | `python -e` / `perl -e` / `ruby -e` / `node -c` | 通过 `-e`/`-c` 标志执行脚本 | | `curl ... \| sh` / `wget ... \| sh` | 将远程内容通过管道传给 shell | | `bash <(curl ...)` / `sh <(wget ...)` | 通过进程替换执行远程脚本 | | `tee` 写入 `/etc/`、`~/.ssh/`、`~/.hermes/.env` | 通过 tee 覆盖敏感文件 | | `>` / `>>` 写入 `/etc/`、`~/.ssh/`、`~/.hermes/.env` | 通过重定向覆盖敏感文件 | | `xargs rm` | xargs 配合 rm | | `find -exec rm` / `find -delete` | find 配合破坏性操作 | | `cp`/`mv`/`install` 写入 `/etc/` | 复制/移动文件到系统配置目录 | | `sed -i` / `sed --in-place` 作用于 `/etc/` | 就地编辑系统配置 | | `pkill`/`killall` hermes/gateway | 防止自我终止 | | `gateway run` 配合 `&`/`disown`/`nohup`/`setsid` | 防止在服务管理器外启动 gateway | :::info **容器绕过**:在 `docker`、`singularity`、`modal` 或 `daytona` 后端运行时,危险命令检查会被**跳过**,因为容器本身就是安全边界。容器内的破坏性命令不会危害宿主机。 ::: ### 审批流程(CLI) 在交互式 CLI 中,危险命令会显示内联审批提示: ``` ⚠️ DANGEROUS COMMAND: recursive delete rm -rf /tmp/old-project [o]nce | [s]ession | [a]lways | [d]eny Choice [o/s/a/D]: ``` 四个选项: - **once** — 仅允许本次执行 - **session** — 在本次会话剩余时间内允许此模式 - **always** — 添加到永久允许列表(保存至 `config.yaml`) - **deny**(默认) — 阻止该命令 ### 审批流程(Gateway/消息平台) 在消息平台上,Agent 会将危险命令详情发送到聊天中,并等待用户回复: - 回复 **yes**、**y**、**approve**、**ok** 或 **go** 以批准 - 回复 **no**、**n**、**deny** 或 **cancel** 以拒绝 运行 gateway 时,`HERMES_EXEC_ASK=1` 环境变量会自动设置。 ### 永久允许列表 通过"always"批准的命令会保存到 `~/.hermes/config.yaml`: ```yaml # 永久允许的危险命令模式 command_allowlist: - rm - systemctl ``` 这些模式在启动时加载,并在所有后续会话中静默批准。 :::tip 使用 `hermes config edit` 查看或删除永久允许列表中的模式。 ::: ## 用户授权(Gateway) 运行消息 gateway 时,Hermes 通过分层授权系统控制谁可以与机器人交互。 ### 授权检查顺序 `_is_user_authorized()` 方法按以下顺序检查: 1. **每平台允许所有用户标志**(如 `DISCORD_ALLOW_ALL_USERS=true`) 2. **DM 配对已批准列表**(通过配对码批准的用户) 3. **平台专属允许列表**(如 `TELEGRAM_ALLOWED_USERS=12345,67890`) 4. **全局允许列表**(`GATEWAY_ALLOWED_USERS=12345,67890`) 5. **全局允许所有用户**(`GATEWAY_ALLOW_ALL_USERS=true`) 6. **默认:拒绝** ### 平台允许列表 在 `~/.hermes/.env` 中以逗号分隔的值设置允许的用户 ID: ```bash # 平台专属允许列表 TELEGRAM_ALLOWED_USERS=123456789,987654321 DISCORD_ALLOWED_USERS=111222333444555666 WHATSAPP_ALLOWED_USERS=15551234567 SLACK_ALLOWED_USERS=U01ABC123 # 跨平台允许列表(对所有平台均检查) GATEWAY_ALLOWED_USERS=123456789 # 每平台允许所有用户(谨慎使用) DISCORD_ALLOW_ALL_USERS=true # 全局允许所有用户(极度谨慎使用) GATEWAY_ALLOW_ALL_USERS=true ``` :::warning 若**未配置任何允许列表**且未设置 `GATEWAY_ALLOW_ALL_USERS`,则**所有用户均被拒绝**。Gateway 在启动时会记录警告: ``` No user allowlists configured. All unauthorized users will be denied. Set GATEWAY_ALLOW_ALL_USERS=true in ~/.hermes/.env to allow open access, or configure platform allowlists (e.g., TELEGRAM_ALLOWED_USERS=your_id). ``` ::: ### DM 配对系统 为实现更灵活的授权,Hermes 提供了基于验证码的配对系统。无需预先提供用户 ID,未知用户会收到一次性配对码,由机器人所有者通过 CLI 批准。 **工作原理:** 1. 未知用户向机器人发送 DM 2. 机器人回复一个 8 位配对码 3. 机器人所有者在 CLI 上运行 `hermes pairing approve ` 4. 该用户在该平台上获得永久批准 在 `~/.hermes/config.yaml` 中控制未授权私信的处理方式: ```yaml unauthorized_dm_behavior: pair whatsapp: unauthorized_dm_behavior: ignore ``` - `pair` 为默认值。未授权的 DM 会收到配对码回复。 - `ignore` 静默丢弃未授权的 DM。 - 平台部分会覆盖全局默认值,因此可以在 Telegram 上保持配对,同时让 WhatsApp 保持静默。 **安全特性**(基于 OWASP + NIST SP 800-63-4 指南): | 特性 | 详情 | |---------|---------| | 验证码格式 | 8 位字符,来自 32 位无歧义字母表(不含 0/O/1/I) | | 随机性 | 密码学安全(`secrets.choice()`) | | 验证码有效期 | 1 小时过期 | | 速率限制 | 每用户每 10 分钟 1 次请求 | | 待处理上限 | 每平台最多 3 个待处理验证码 | | 锁定 | 5 次失败的批准尝试 → 1 小时锁定 | | 文件安全 | 所有配对数据文件执行 `chmod 0600` | | 日志 | 验证码永不记录到 stdout | **配对 CLI 命令:** ```bash # 列出待处理和已批准的用户 hermes pairing list # 批准配对码 hermes pairing approve telegram ABC12DEF # 撤销用户访问权限 hermes pairing revoke telegram 123456789 # 清除所有待处理验证码 hermes pairing clear-pending ``` **存储:** 配对数据存储于 `~/.hermes/pairing/`,按平台分为独立的 JSON 文件: - `{platform}-pending.json` — 待处理的配对请求 - `{platform}-approved.json` — 已批准的用户 - `_rate_limits.json` — 速率限制和锁定追踪 ## 容器隔离 使用 `docker` 终端后端时,Hermes 对每个容器应用严格的安全加固。 ### Docker 安全标志 每个容器均使用以下标志运行(定义于 `tools/environments/docker.py`): ```python _SECURITY_ARGS = [ "--cap-drop", "ALL", # 丢弃所有 Linux capabilities "--cap-add", "DAC_OVERRIDE", # root 可写入绑定挂载目录 "--cap-add", "CHOWN", # 包管理器需要文件所有权 "--cap-add", "FOWNER", # 包管理器需要文件所有权 "--security-opt", "no-new-privileges", # 阻止权限提升 "--pids-limit", "256", # 限制进程数量 "--tmpfs", "/tmp:rw,nosuid,size=512m", # 有大小限制的 /tmp "--tmpfs", "/var/tmp:rw,noexec,nosuid,size=256m", # 禁止执行的 /var/tmp "--tmpfs", "/run:rw,noexec,nosuid,size=64m", # 禁止执行的 /run ] ``` ### 资源限制 容器资源可在 `~/.hermes/config.yaml` 中配置: ```yaml terminal: backend: docker docker_image: "nikolaik/python-nodejs:python3.11-nodejs20" docker_forward_env: [] # 仅显式允许列表;空值可防止密钥进入容器 container_cpu: 1 # CPU 核心数 container_memory: 5120 # MB(默认 5GB) container_disk: 51200 # MB(默认 50GB,需要 XFS 上的 overlay2) container_persistent: true # 跨会话持久化文件系统 ``` ### 文件系统持久化 - **持久模式**(`container_persistent: true`):从 `~/.hermes/sandboxes/docker//` 绑定挂载 `/workspace` 和 `/root` - **临时模式**(`container_persistent: false`):工作区使用 tmpfs——清理后所有内容丢失 :::tip 对于生产 gateway 部署,使用 `docker`、`modal` 或 `daytona` 后端,将 Agent 命令与宿主机系统隔离。这样可以完全消除危险命令审批的需要。 ::: :::warning 若向 `terminal.docker_forward_env` 添加名称,这些变量会被有意注入容器供终端命令使用。这对于任务专属凭据(如 `GITHUB_TOKEN`)很有用,但也意味着容器内运行的代码可以读取并泄露这些变量。 ::: ## 终端后端安全对比 | 后端 | 隔离 | 危险命令检查 | 适用场景 | |---------|-----------|-------------------|----------| | **local** | 无——在宿主机上运行 | ✅ 是 | 开发、受信任用户 | | **ssh** | 远程机器 | ✅ 是 | 在独立服务器上运行 | | **docker** | 容器 | ❌ 跳过(容器即边界) | 生产 gateway | | **singularity** | 容器 | ❌ 跳过 | HPC 环境 | | **modal** | 云沙箱 | ❌ 跳过 | 可扩展的云隔离 | | **daytona** | 云沙箱 | ❌ 跳过 | 持久化云工作区 | ## 环境变量透传 {#environment-variable-passthrough} `execute_code` 和 `terminal` 都会从子进程中剥离敏感环境变量,以防止 LLM 生成的代码泄露凭据。但是,声明了 `required_environment_variables` 的技能(skill)确实需要访问这些变量。 ### 工作原理 两种机制允许特定变量通过沙箱过滤器: **1. 技能作用域透传(自动)** 当技能通过 `skill_view` 或 `/skill` 命令加载,且声明了 `required_environment_variables` 时,环境中实际已设置的这些变量会自动注册为透传变量。尚未设置(仍处于待配置状态)的变量**不会**被注册。 ```yaml # 在技能的 SKILL.md frontmatter 中 required_environment_variables: - name: TENOR_API_KEY prompt: Tenor API key help: Get a key from https://developers.google.com/tenor ``` 加载此技能后,`TENOR_API_KEY` 会透传到 `execute_code`、`terminal`(本地)**以及远程后端(Docker、Modal)**——无需手动配置。 :::info Docker & Modal 在 v0.5.1 之前,Docker 的 `forward_env` 与技能透传是独立的系统。现在它们已合并——技能声明的环境变量会自动转发到 Docker 容器和 Modal 沙箱,无需手动添加到 `docker_forward_env`。 ::: **2. 基于配置的透传(手动)** 对于未被任何技能声明的环境变量,将其添加到 `config.yaml` 中的 `terminal.env_passthrough`: ```yaml terminal: env_passthrough: - MY_CUSTOM_KEY - ANOTHER_TOKEN ``` ### 凭据文件透传(OAuth token 等) {#credential-file-passthrough} 某些技能需要在沙箱中访问**文件**(而非仅环境变量)——例如,Google Workspace 将 OAuth token 存储为活跃 profile 的 `HERMES_HOME` 下的 `google_token.json`。技能在 frontmatter 中声明这些文件: ```yaml required_credential_files: - path: google_token.json description: Google OAuth2 token (created by setup script) - path: google_client_secret.json description: Google OAuth2 client credentials ``` 加载后,Hermes 会检查这些文件是否存在于活跃 profile 的 `HERMES_HOME` 中,并将其注册为挂载: - **Docker**:只读绑定挂载(`-v host:container:ro`) - **Modal**:在沙箱创建时挂载,并在每次命令前同步(处理会话中途的 OAuth 配置) - **本地**:无需操作(文件已可访问) 也可以在 `config.yaml` 中手动列出凭据文件: ```yaml terminal: credential_files: - google_token.json - my_custom_oauth_token.json ``` 路径相对于 `~/.hermes/`。文件在容器内挂载到 `/root/.hermes/`。 ### 各沙箱的过滤规则 | 沙箱 | 默认过滤 | 透传覆盖 | |---------|---------------|---------------------| | **execute_code** | 阻止名称中包含 `KEY`、`TOKEN`、`SECRET`、`PASSWORD`、`CREDENTIAL`、`PASSWD`、`AUTH` 的变量;仅允许安全前缀变量通过 | ✅ 透传变量绕过两项检查 | | **terminal**(本地) | 阻止明确的 Hermes 基础设施变量(提供商密钥、gateway token、工具 API 密钥) | ✅ 透传变量绕过黑名单 | | **terminal**(Docker) | 默认不传入宿主机环境变量 | ✅ 透传变量 + `docker_forward_env` 通过 `-e` 转发 | | **terminal**(Modal) | 默认不传入宿主机环境/文件 | ✅ 凭据文件挂载;环境变量通过同步透传 | | **MCP** | 阻止所有变量,仅允许安全系统变量 + 显式配置的 `env` | ❌ 不受透传影响(改用 MCP `env` 配置) | ### 安全注意事项 - 透传仅影响你或你的技能明确声明的变量——任意 LLM 生成代码的默认安全态势不变 - 凭据文件以**只读**方式挂载到 Docker 容器中 - Skills Guard 在安装前会扫描技能内容中的可疑环境变量访问模式 - 缺失/未设置的变量永远不会被注册(不存在的内容无法泄露) - Hermes 基础设施密钥(提供商 API 密钥、gateway token)不应添加到 `env_passthrough`——它们有专用机制 ## MCP 凭据处理 MCP(Model Context Protocol)服务器子进程接收**经过过滤的环境**,以防止意外泄露凭据。 ### 安全环境变量 从宿主机传递到 MCP stdio 子进程的变量仅限以下几项: ``` PATH, HOME, USER, LANG, LC_ALL, TERM, SHELL, TMPDIR ``` 以及所有 `XDG_*` 变量。所有其他环境变量(API 密钥、token、密钥)均被**剥离**。 在 MCP 服务器的 `env` 配置中显式定义的变量会被透传: ```yaml mcp_servers: github: command: "npx" args: ["-y", "@modelcontextprotocol/server-github"] env: GITHUB_PERSONAL_ACCESS_TOKEN: "ghp_..." # 仅此变量被传递 ``` ### 凭据脱敏 MCP 工具的错误消息在返回给 LLM 之前会经过清理。以下模式会被替换为 `[REDACTED]`: - GitHub PAT(`ghp_...`) - OpenAI 风格密钥(`sk-...`) - Bearer token - `token=`、`key=`、`API_KEY=`、`password=`、`secret=` 参数 ### 网站访问策略 你可以限制 Agent 通过其 Web 和浏览器工具可访问的网站。这对于防止 Agent 访问内部服务、管理面板或其他敏感 URL 非常有用。 ```yaml # 在 ~/.hermes/config.yaml 中 security: website_blocklist: enabled: true domains: - "*.internal.company.com" - "admin.example.com" shared_files: - "/etc/hermes/blocked-sites.txt" ``` 当请求被阻止的 URL 时,工具会返回一条错误,说明该域名已被策略阻止。黑名单在 `web_search`、`web_extract`、`browser_navigate` 及所有支持 URL 的工具中均强制执行。 完整详情请参见配置指南中的[网站黑名单](/user-guide/configuration#website-blocklist)。 ### SSRF 防护 所有支持 URL 的工具(网页搜索、网页提取、视觉、浏览器)在获取 URL 之前都会进行验证,以防止服务器端请求伪造(SSRF)攻击。被阻止的地址包括: - **私有网络**(RFC 1918):`10.0.0.0/8`、`172.16.0.0/12`、`192.168.0.0/16` - **回环地址**:`127.0.0.0/8`、`::1` - **链路本地地址**:`169.254.0.0/16`(包括 `169.254.169.254` 处的云元数据) - **CGNAT / 共享地址空间**(RFC 6598):`100.64.0.0/10`(Tailscale、WireGuard VPN) - **云元数据主机名**:`metadata.google.internal`、`metadata.goog` - **保留地址、多播地址和未指定地址** SSRF 防护对面向互联网的使用始终有效,DNS 失败被视为阻止(故障关闭)。重定向链在每一跳都会重新验证,以防止基于重定向的绕过。 #### 有意允许私有 URL 某些场景确实需要访问私有/内部 URL——将 `home.arpa` 解析到 RFC 1918 空间的家庭网络、仅限局域网的 Ollama/llama.cpp 端点、内部 wiki、云元数据调试等。对于这些情况,提供了一个全局选项: ```yaml security: allow_private_urls: true # 默认:false ``` 开启后,Web 工具、浏览器、视觉 URL 获取和 gateway 媒体下载不再拒绝 RFC 1918 / 回环 / 链路本地 / CGNAT / 云元数据目标。**这是一个有意为之的信任边界**——仅在 Agent 针对本地网络执行任意 prompt 注入 URL 属于可接受风险的机器上启用。面向公众的 gateway 应保持关闭。 主机子字符串防护(即使底层 IP 是公共的,也能阻止 Unicode 同形字域名欺骗)无论此设置如何均保持开启。 ### Tirith 预执行安全扫描 Hermes 集成了 [tirith](https://github.com/sheeki03/tirith) 用于在执行前进行内容级命令扫描。Tirith 能检测单纯模式匹配所遗漏的威胁: - 同形字 URL 欺骗(国际化域名攻击) - 管道传解释器模式(`curl | bash`、`wget | sh`) - 终端注入攻击 Tirith 在首次使用时从 GitHub Releases 自动安装,并进行 SHA-256 校验和验证(若 cosign 可用,还会进行 cosign 来源验证)。 ```yaml # 在 ~/.hermes/config.yaml 中 security: tirith_enabled: true # 启用/禁用 tirith 扫描(默认:true) tirith_path: "tirith" # tirith 二进制路径(默认:PATH 查找) tirith_timeout: 5 # 子进程超时(秒) tirith_fail_open: true # tirith 不可用时允许执行(默认:true) ``` 当 `tirith_fail_open` 为 `true`(默认)时,若 tirith 未安装或超时,命令照常执行。在高安全性环境中,将其设置为 `false` 可在 tirith 不可用时阻止命令执行。 Tirith 为 Linux(x86_64 / aarch64)和 macOS(x86_64 / arm64)提供预构建二进制文件。在没有预构建二进制文件的平台(Windows 等)上,tirith 会被静默跳过——模式匹配防护仍然运行,CLI 不会显示"不可用"横幅。若要在 Windows 上使用 tirith,请在 WSL 下运行 Hermes。 Tirith 的判定与审批流程集成:安全命令直接通过,可疑和被阻止的命令会触发用户审批,并附上完整的 tirith 发现(严重性、标题、描述、更安全的替代方案)。用户可以批准或拒绝——默认选择为拒绝,以确保无人值守场景的安全。 ### 上下文文件注入防护 上下文文件(AGENTS.md、.cursorrules、SOUL.md)在被纳入系统 prompt 之前会扫描 prompt 注入。扫描器检查以下内容: - 指示忽略/无视先前指令的内容 - 含有可疑关键词的隐藏 HTML 注释 - 尝试读取密钥(`.env`、`credentials`、`.netrc`) - 通过 `curl` 泄露凭据 - 不可见 Unicode 字符(零宽空格、双向覆盖) 被阻止的文件会显示警告: ``` [BLOCKED: AGENTS.md contained potential prompt injection (prompt_injection). Content not loaded.] ``` ## 生产部署最佳实践 ### Gateway 部署检查清单 1. **设置明确的允许列表** — 生产环境中切勿使用 `GATEWAY_ALLOW_ALL_USERS=true` 2. **使用容器后端** — 在 config.yaml 中设置 `terminal.backend: docker` 3. **限制资源上限** — 设置合适的 CPU、内存和磁盘限制 4. **安全存储密钥** — 将 API 密钥保存在具有适当文件权限的 `~/.hermes/.env` 中 5. **启用 DM 配对** — 尽可能使用配对码,而非硬编码用户 ID 6. **审查命令允许列表** — 定期审计 config.yaml 中的 `command_allowlist` 7. **设置 `MESSAGING_CWD`** — 不要让 Agent 在敏感目录中操作 8. **以非 root 用户运行** — 切勿以 root 身份运行 gateway 9. **监控日志** — 检查 `~/.hermes/logs/` 中的未授权访问尝试 10. **保持更新** — 定期运行 `hermes update` 以获取安全补丁 ### 保护 API 密钥 ```bash # 为 .env 文件设置适当权限 chmod 600 ~/.hermes/.env # 为不同服务使用独立密钥 # 切勿将 .env 文件提交到版本控制 ``` ### 网络隔离 为获得最高安全性,请在独立的机器或虚拟机上运行 gateway。在 `config.yaml` 中设置 `terminal.backend: ssh`,然后通过 `~/.hermes/.env` 中的环境变量提供主机详情: ```yaml # ~/.hermes/config.yaml terminal: backend: ssh ``` ```bash # ~/.hermes/.env TERMINAL_SSH_HOST=agent-worker.local TERMINAL_SSH_USER=hermes TERMINAL_SSH_KEY=~/.ssh/hermes_agent_key ``` SSH 连接详情保存在 `.env`(而非 `config.yaml`)中,以避免随 profile 导出时被检入或共享。这样可以将 gateway 的消息连接与 Agent 的命令执行分离。 ## 供应链安全公告检查 Hermes 内置了一个公告扫描器,用于标记活跃 venv 中与已知受损版本目录匹配的 Python 包(例如 2026 年 5 月的 `mistralai 2.4.6` 供应链投毒事件)。实现位于 `hermes_cli/security_advisories.py`。 运行方式: - **CLI 启动横幅。** 若有任何公告匹配,会打印一行警告,并指向 `hermes doctor` 获取完整修复方案。 - **`hermes doctor`。** 显示所有活跃公告的版本详情和 2-4 步修复说明。 - **Gateway 启动。** 记录到 `gateway.log`;第一条交互消息会附带简短的操作者横幅。 每条公告都有一个稳定 ID。阅读并处理后,可以永久忽略它: ```bash hermes doctor --ack ``` 确认信息持久化到 `config.security.acked_advisories`,重启后仍有效。旧公告**不会**从目录中删除——保留它们可以确保新安装的用户收到关于历史受损版本的警告,这些版本可能仍缓存在私有镜像中。 检查本身仅使用标准库,每条公告执行一次 `importlib.metadata.version()` 查找,因此在每次启动时运行是安全的。 ### 可选依赖的懒加载安装 许多功能(Mistral TTS、ElevenLabs、Honcho 记忆、Bedrock、Slack、Matrix 等)依赖并非每个用户都需要的 Python 包。Hermes 在首次使用时**懒加载**安装这些包,而非在 `hermes-agent[all]` 下急切安装。实现位于 `tools/lazy_deps.py`。 此方案解决的权衡问题: - **脆弱性。** 当某个额外依赖的传递依赖在 PyPI 上不可用时(因恶意软件被隔离、被撤回、上传损坏),整个 `[all]` 解析会失败,新安装会静默回退到精简版本——同时丢失 10 个以上不相关的额外功能。懒加载安装将每个后端隔离,使一个受损依赖不会破坏不相关的功能。 - **臃肿。** 只使用一个提供商的用户不再需要拉取数百个永远不会导入的包。 工作原理: 1. 后端模块在其首次导入路径的顶部调用 `ensure("feature.name")`。 2. 若依赖缺失,`ensure` 检查 `config.yaml` 中的 `security.allow_lazy_installs`(默认 `true`),并为允许列表中的规格运行 venv 作用域的 `pip install`。 3. 若安装失败或用户已禁用懒加载安装,调用会抛出 `FeatureUnavailable`,附带实际的 pip stderr 和指向 `hermes tools` 的提示。 `tools/lazy_deps.py` 强制执行的安全保证: | 保证 | 含义 | |---|---| | 仅限 venv 作用域 | 安装目标为活跃 venv 中的 `sys.executable`——绝不安装到系统 Python | | 仅按名称从 PyPI 安装 | 规格接受 `"package>=1.0,<2"` 语法。不允许 `--index-url`、`git+https://` 或 `file:` 路径——恶意的 `config.yaml` 无法重定向安装 | | 允许列表 | 只有出现在内置 `LAZY_DEPS` 映射中的规格才能通过此路径安装。功能名称中的拼写错误**不会**获得任意安装语义 | | 可选退出 | 设置 `security.allow_lazy_installs: false` 可完全禁用运行时安装。适用于受限网络或严格安全态势 | | 无静默重试 | 失败以 `FeatureUnavailable` 形式呈现——不缓存错误状态,不发生重试风暴 | 禁用运行时安装: ```yaml # ~/.hermes/config.yaml security: allow_lazy_installs: false ``` 禁用后,需要可选依赖的后端会提示用户手动运行安装(`pip install …`)或通过 `hermes tools` 选择其他后端。