2026-05-15 风险提醒关注

Hermes workflow core 出现，同时补上 URL safety bypass 与 profile-scoped cron jobs

Hermes 最新窗口里最值得看的，是架构层更新：PR #25806 增加 workflow system core，包括 workflow policy、store、DAG、gate、materialization foundations，并通过 Core / dashboard 暴露 workflow read、inbox、promotion、gate、materialization API，还加了 stale inbox promotion guards。这说明 Hermes 正从临时 agent turns 往更正式的任务 / 工作流层推进。风险上最该注意的是 #25961：`fe80::1%eth0` 这类 IPv6 scope IDs 会让 URL safety parsing 抛 `ValueError`，旧逻辑直接 silently skip resolved address；如果 attacker 控制的 hostname 只返回这类地址，就可能绕过 link-local 或 cloud metadata 保护。修复方式是 strip scope ID，并对仍无法解析的地址 fail closed。另一个可靠性修复 #25962 解决了昨天提到的 clarify timeout split-brain：CLI callback 现在先读 `agent.clarify_timeout`，再 fallback 到旧的 `clarify.timeout`。PR #25917 让 scheduled jobs 支持指定 profile，使 cron jobs 能在某个 Hermes profile 的 config、scripts、skills、memory paths 下运行。周边 channel 与 operator polish 也很实用：#25956 在送进 TTS 前剥离 emoji、diagrams、inline code、tables 和 symbols，避免语音把 UI 符号念成垃圾；#25960 防止 native Windows 上 Telegram `/restart` 把 gateway 停掉后起不来；#25959 收紧 Discord channel-directory resurrection 并降低 batching latency；#25958 允许配置 Discord role mentions 作为触发；#25954 增加 read-only Kanban metrics CLI，用于 review / verification gates。

影响观察中来源3 对象operator · developer · team

为什么重要

workflow core 让 Hermes 从 turn runner 往更可检查的 operations system 走。URL-safety fix 更紧急，因为 agent web-fetch 与 proxy tools 经常接触不可信 hostname；fail-open 的 URL classification 可能变成 SSRF 路径。profile-scoped cron 与 clarify-timeout 统一，则减少 scheduled agents 最难排查的隐形上下文错配。

证据

PR #25806 增加 workflow policy / store / DAG / gate / materialization foundations，以及 workflow read / inbox / promotion / gate / materialization APIs
PR #25961 记录 `is_always_blocked_url()` 与 `is_safe_url()` 中 IPv6 scope-ID parsing bypass，并把 unparseable addresses 改为 fail closed
PR #25962 让 CLI clarify callback 读取 `agent.clarify_timeout`，修复 issue #25859 中 CLI / TUI 仍 120 秒 timeout 的问题
PR #25917 为 scheduled jobs 增加 profile field，并贯通 cron creation、updates、CLI、tools 与 subprocess home scoping
PR #25956 只清理传给 TTS engine 的文本，原始聊天输出不受影响
PR #25960 将 native Windows gateway restart / start 路径切到 detached backend，避免 Telegram `/restart` 后 gateway 停住
PR #25959 与 #25958 分别收紧 Discord channel controls，并加入 configured role-mention triggers
PR #25954 增加 `hermes kanban metrics`，覆盖 re-review / re-verify tasks 的 gate metrics

风险提示

workflow core 仍是 foundation；真实影响取决于 policies、gates 与 materialization endpoints 在安装中的暴露方式
URL-safety fix 应尽快 backport 或 staging，但 IPv6 literals、scoped addresses 与 allowlist / proxy 行为需要回归测试
profile-scoped cron 增强能力也增加复杂度；operator 必须能清楚看到 scheduled job 实际用了哪个 profile、skills 与 memory path

判断

关注

下一步： 如果在运行 Hermes，凡是 agent 会 fetch URL 或 proxy web content 的环境，优先合入或验证 URL-safety patch。然后用 stale inbox、gate transitions 测 workflow APIs；用 profile-specific skills / memory 测 profile-pinned cron jobs；同时横向验证 Gateway、CLI、TUI 的 clarify timeout。聊天部署还要先回归 Windows Telegram restart 与 Discord role / channel controls。

相关阅读

Hermes 用 structured HTTP 和 argv tools 逃离 bash quoting 陷阱

Hermes approval hardening 修掉 critical YOLO-mode bypass，并暴露长会话失败模式

Hermes 最新可靠性问题集中在 Web UI 消失消息、压缩失败、vision fallback 和 dashboard auth