Hermes 正在打开远程管理面,同时收紧可执行边界
Hermes PR #23742 新增一组 authenticated remote management endpoints,覆盖 sessions、profiles、SOUL / persona files、memory、toolsets、skills 和 gateway status,让 desktop / dashboard clients 不必靠 filesystem 或 SSH 也能管理 Agent。同一批当前工作里,PR #22535 修掉了更危险的 ACP 边界:过去 ACP clients 可以在 new / load / resume / fork session setup 时传入 stdio MCP server definitions,而这些 definitions 里的本地命令可能在正常 agent turn 或 dangerous-command approval path 之前就被启动。修复方向是默认禁用 client-provided stdio MCP servers,同时保留 HTTP / SSE MCP servers,并提供 explicit trusted-operator opt-in。PR #23740 还把 clarify tool 接到 messaging platforms,说明 Hermes 的远程和频道运行正在变得更可交互,而不只是 headless API。
远程 desktop / dashboard control 很有用,但前提是 control plane 比它管理的机器更窄。sessions、memory、skills、toolsets、persona files 和 gateway status 都是敏感面;如果再叠加 client-supplied executable MCP definitions,就会变成严重的提权路径。Hermes 正在走向更强的远程运维能力,但读者真正要抓住的是:management API 和 session-setup executable boundary 必须一起审计。
- PR #23742 增加 sessions、profiles、persona / SOUL.md、memory、toolsets、skills 与 gateway status 的 authenticated API endpoints,并通过 /v1/capabilities 暴露能力
- 该 PR 包含 capabilities、memory roundtrips、auth enforcement 和 skill content path safety 测试
- PR #22535 指出 ACP client-provided stdio MCP servers 可能在 session setup 阶段、绕过普通 approval layer 启动本地命令
- 修复默认禁用这些 stdio definitions,保留 HTTP / SSE client-provided MCP servers,并加入 trusted-operator opt-in 和回归测试
- PR #23740 接入 gateway clarify lifecycle 与 interactive card rendering,让 messaging clients 可以回答 clarify prompts,而不是看到工具不可用
- remote management API 和 ACP stdio hardening 仍是 PR,不是 tagged Hermes release
- authenticated management APIs 仍需要部署层控制,例如 localhost binding、TLS、token rotation 与 audit logs
- trusted-operator opt-in 如果为了方便被大范围开启,会变成长期脚枪
- messaging clarify state 必须避免 stale answer 被应用到错误 session 或用户