防止HermesAgent误改文件：设置只读权限与沙箱隔离指南

是否曾遇到这样的困扰：当你部署 Hermes Agent 处理文档任务后，却发现它意外修改了系统配置文件、清除了关键日志记录，甚至擅自改动了自动化脚本？这通常并非智能体产生了“自主意识”，而是由于文件访问权限管控不足、沙箱隔离机制被穿透，或是可访问路径白名单设置得过于宽松所致。无需焦虑，要彻底杜绝这类“越权”操作，我们可以通过一套多层次的安全策略来构建稳固的防御体系。

一、启用 sandbox 模式强制文件系统隔离

这是最核心的解决方案。激活沙箱模式后，Hermes Agent 的所有文件读写操作都将被严格限制在一个独立的临时环境中，它完全无法“感知”到宿主机的真实目录结构，从根本上消除了误改系统文件的可能性。

配置流程非常简便：

1. 定位至项目根目录下的配置文件 environments/hermes_swe_env/default.yaml。

2. 在文件中找到 filesystem_mode 配置参数，将其默认值 host 调整为 sandbox。

3. 修改保存后，执行关键步骤：运行 hermes stop && hermes start 命令，完整重启 Hermes Agent 服务以使新配置生效。

二、将关键路径挂载为只读（ro）模式

启用沙箱后，若仍需允许 Agent 读取某些宿主机的参考文件（如配置模板），可采用只读挂载策略。明确告知 Agent：这些路径仅开放读取权限，任何写入尝试都将被系统直接拒绝。

实施步骤：

1. 编辑环境配置文件 environments/hermes_swe_env/hermes_swe_env.py。

2. 在 mount_points 字典中，新增只读挂载条目。例如，若需保护宿主机上的配置备份目录 /home/user/conf-backup，可添加："/etc": {"path": "/home/user/conf-backup", "mode": "ro"}。此后，Agent 内部对 /etc 的访问将映射到该备份目录的只读视图。

3. 务必确保宿主机目录 /home/user/conf-backup 实际存在且包含所需文件。

4. 重启环境后，可在 Agent 内部执行 ls -l /etc 命令，若挂载点显示 ro 属性，则表明只读挂载配置成功。

三、在 cli-config.yaml 中收紧白名单路径

此配置构成工具调用前的最终防线。若目标路径未包含在允许列表（allowed_paths）内，Hermes Agent 的文件操作工具将在调用阶段直接被驳回，无需进入系统权限校验流程。

优化方法：

1. 打开实际生效的配置文件 cli-config.yaml（注意区分于 .example 示例文件）。

2. 定位至 file_operations → allowed_paths 配置字段。

3. 执行一次彻底的清单清理，移除其中所有涉及系统核心路径的条目，例如 /etc/、/usr/、/var/、/boot/ 等。

4. 仅保留你明确授权 Agent 进行写入操作的路径，例如 ["/workspace/", "/tmp/hermes-tmp/"]。建议路径末尾保留斜杠，以避免因路径前缀意外匹配导致的安全漏洞。

四、扩展 is_blocked_path() 拦截高危文件类型

除路径管控外，还可通过文件类型进行精准拦截。强化路径过滤函数，使其对特定后缀的敏感文件自动触发操作中止。

1. 在 hermes_swe_env.py 文件中，定位到 is_blocked_path() 函数定义。

2. 在其现有的正则匹配规则中，补充需要屏蔽的高风险文件后缀。例如：r"\.(conf|yaml|yml|sh|bash|zsh|env|gitconfig|ssh|pem|key)$"。此规则将覆盖所有配置文件、Shell脚本、环境变量文件及密钥证书。

3. 请注意，当此函数返回 True 时，系统将抛出 Operation blocked by path filter 错误提示。

4. 配置完成后重启 Agent 服务，可通过执行测试命令 hermes tool fs read /etc/hosts 进行验证，若返回的是拦截提示而非文件内容，则表明路径过滤器已正常生效。

五、为宿主目录设置系统级只读权限

前述措施均属应用层防护，最后我们还可启用操作系统底层的终极保障：直接修改目录的权限标识。即使上层沙箱或应用配置意外失效，内核级权限机制仍能坚守最后防线。

此方法尤其适用于保护绝对不允许变更的静态资源，如配置归档库、SSL证书目录等。

1. 首先，变更目录所有权至 root 用户：sudo chown root:root /home/user/conf-backup。

2. 随后，施加最严格的权限锁：sudo chmod 555 /home/user/conf-backup。权限码“555”表示所有者、所属组及其他所有用户均仅具备读取和执行权限，彻底移除写入权限。

3. 使用 ls -ld /home/user/conf-backup 命令验证权限，输出应显示为 r-xr-xr-x。

4. 此时，即使从 Hermes Agent 内部尝试执行写入命令（例如 echo test > /etc/test.conf），也只会收到系统返回的 Permission denied 错误。

将上述五层防护机制——虚拟环境隔离、只读访问控制、路径白名单限制、文件类型过滤及系统级权限锁——协同部署，即可构建一个立体化的纵深防御网络，最大限度确保 Hermes Agent 仅在指定的“安全作业区”内运行，有效避免重要文件遭遇未授权的意外更改。