Security

长期在线且会行动的 Agent，为什么不能把安全当附录

Hermes 的安全问题不只是“有没有密码”这么简单。长期运行、真实执行、多入口和自动推进组合在一起后，风险会从“说错”变成“持续做错”。这一页先帮你建立边界判断，再承接官方 Security。

风险来源

Hermes 的风险，不来自某个单点，而来自这些能力叠加之后

长期在线放大了错误的持续时间

普通聊天 agent 的错误常常止于当前会话，但长期在线系统的错误可能持续累积。

真实执行面放大了外部影响

一旦 agent 可以调用工具、浏览器和自动化任务，风险就从“说错”变成“做错”。

多入口会放大控制面复杂度

CLI、消息、浏览器和自动化入口一起存在时，真正的风险来自边界是否统一。

自动推进要求更强的人类接管设计

一个能持续推进任务的系统，必须同时设计好暂停、审查、接手和回滚路径。

更稳的启用顺序

让 Hermes 真正长期运行前，先按风险梯子往上走

先跑最小执行面

先在最小权限和最小入口下运行 Hermes，再逐步增加入口、浏览器和自动化能力。

再开放长期运行能力

只有当日志、回报和人类接手路径都清楚时，长期运行才值得打开。

最后再开放高风险自动化

浏览器、外部写入和自动触发这类能力，不该作为默认起手式。

运行前检查

如果你准备把 Hermes 从演示推向长期运行，至少先确认这四件事

先缩小入口，再扩大能力

不要一开始就同时开放消息、浏览器和自动化任务；先让最小入口稳定，再逐步放开。

先能看见状态，再谈自治

如果没有清晰的日志、结果回报和接管路径，所谓长期自治只会增加排障和风险成本。

高风险动作最后启用

任何外部写入、浏览器操作和自动触发都应该晚于基础运行验证，而不是反过来。

把安全当作运行设计的一部分

对于长期在线的 agent，安全不该是最后一页文档，而应是运行方式的一部分。

案例印证

安全策略在实践中是怎么落地的

逐步放权的安全策略

某团队希望 Hermes 能最终处理文件写入操作，但不想一步到位开放所有权限。

做法

第一阶段只开放只读操作，第二阶段增加可控写入（写入前需二次确认），第三阶段才开放自动写入。每个阶段运行至少两周。

效果

零安全事故。团队对 Hermes 的信任建立在渐进验证的基础上，而不是冲动授权。

多入口权限隔离

Hermes 同时接入 Slack 和自动化任务，两类入口的安全要求不同。

做法

Slack 入口的权限限制为只读查询，自动化任务入口拥有完整的巡检和执行权限。两类入口使用不同的 Token 和沙箱配置。

效果

即使消息入口的 Token 泄露，攻击面也仅限于只读查询，核心系统不受影响。

反模式

这些安全做法最容易引入不该有的风险

把安全配置留到"出了问题再改"

长期在线的 agent 不像一次性脚本，出错的持续时间和影响面都会放大。安全应该在第一天就纳入设计。

所有入口共用一个身份和权限

不同的入口有不同的风险等级。共用身份意味着最高权限被所有入口共享，任何一个入口的泄露都会威胁全部。

自动化任务不设人工复核节点

某些高风险操作（如文件删除、数据写入、命令执行）应该设置人工复核节点，而不是完全交给 agent 自动决定。

运行后不再回顾安全配置

安全配置不是一劳永逸的。随着入口增加、能力扩展和任务变化，安全边界也应该定期重新评估。

官方入口

真正开始启用前，至少先核对这几份资料

官方 Security

先看官方安全页，理解 Hermes 长期运行时最核心的风险面。

打开入口

Quickstart

回到 Quickstart 重新核对你当前启用的运行方式和入口。

打开入口

Features Overview

如果你还没搞清自己启用了哪些能力，先回功能总览页再判断风险更稳。

打开入口