1. 权限不是加个 if 就完事:Hermes Agent 的凭证隔离为什么必须分三级
我第一次在生产环境上线 Hermes Agent 时,给所有子智能体(sub-agent)统一配了同一个数据库只读账号。逻辑很朴素:「反正只读,能出什么问题?」——直到某天凌晨三点,监控告警显示核心订单库被高频扫描,QPS 暴涨 12 倍。排查发现,一个本该只处理 PDF 证卡拼版的pdf-processoragent,因为上游传入的文件路径参数被恶意构造为../../../orders/db.sqlite,触发了它内置的本地文件读取 Skill,顺手把整个订单库拖进了上下文。它没越权写,但“读”的范围早已失控。
这件事让我彻底放弃「权限即开关」的幻觉。Hermes Agent 的权限模型不是靠is_admin: true这种布尔值撑起来的,而是由三重隔离层共同咬合:凭证粒度隔离、执行域隔离、上下文可见性隔离。这三层一旦错位,哪怕最基础的hermes agent ubuntu部署或hermes agent docker部署场景,都会让hermes agent 需要翻墙吗这类问题变成伪命题——真正的问题从来不是网络,而是凭证裸奔。
你可能已经用过hermes agent 安装命令拉起一个本地实例,也试过hermes agent怎么用跑通hermes agent 智能体案例,但只要没动过soul.md或
