使用Hermes和OpenClaw必须避开的 4 个致命盲区

昨天有条推文让我出了一身冷汗。

一位老哥说，他用了很久的AI Agent，一直觉得挺安全的。直到某天翻了翻服务条款，发现Agent能访问的数据范围比他想象的大得多——邮件、聊天记录、文件、浏览器历史，几乎什么都能看到。他用了一个很形象的词：”你可能正在把手头最私密的数据交出去。”

这话把我吓了一跳。

Darktrace刚出了份2026年AI安全报告，1500个网络安全专业人员里，92%对AI Agent的安全影响感到担忧。

我仔细想了想自己用Agent的场景，越想越觉得不太对劲。于是花了几天时间研究了一圈，把我挖到的东西跟你们聊聊。

Agent到底能”看到”多少东西？

先说一个让你不太舒服的事实。

当你给一个AI Agent接入你的邮箱、日历、文件系统、聊天工具之后，它能访问的数据量远远超出你”以为”的那个范围。

你只想让它帮你整理一下邮件摘要。但它拿到的，不只是邮件内容，还有你所有联系人的信息、邮件往来的时间线、你跟谁说了什么。更别说那些你随手存的密码重置邮件、银行通知、验证码。

再比如，你让它帮你管理文件。它不只是读你指定的那个文件夹，它继承的是你当前用户的全部权限。你的SSH密钥？能看到。你的.env文件里的API Key？能看到。你桌面上那个”密码备忘录.txt”？也能看到。

Tian Pan写过一篇关于AI Agent权限蔓延的文章，里面有个数据让我印象特别深：在一个典型的企业环境里，非人类身份和人类身份的比例是82:1。也就是说，每有一个人在用系统，就有82个”数字身份”在同时访问各种资源。而这82个身份里，97%存在过度授权的问题。

你以为你的Agent只是一把钥匙，实际上，它可能拿到了整栋楼的门禁卡。

四个真正要命的安全盲区

盲区一：权限越大越好用？不，是越大越危险

这是最常见的问题，也是最容易被忽视的。

为了让Agent能”顺畅”地完成各种任务，大多数人（包括我）在配置权限的时候，都会给一个比较宽泛的范围。”反正都是我自己的账号嘛，多给点权限省得后面麻烦。”

IBM的2025年AI安全报告说了一个数字：70%的组织给AI系统的访问权限，超过了同岗位的人类员工。结果呢？拥有过度特权AI的组织，安全事件发生率是76%，而执行最小权限原则的团队只有17%。差了4.5倍。

这就好比你请了个钟点工来打扫客厅，结果你把家里所有房间的钥匙都给他了。他可能确实只打扫了客厅，但你能放心吗？

盲区二：Agent不是一次性工具，它是”活”的

很多人把Agent当成一次性使用的工具。用完就完了，没想过它之前的权限还在。

但实际上，Agent大多有记忆系统。它记得你之前让它做过什么，记得你的偏好，记得你给它看过的数据。更糟糕的是，它的权限在任务完成后基本不会被收回。

Kiteworks的2026年预测报告说，63%的组织无法对AI Agent执行”目的限制”——也就是说，Agent拿到的权限是永久的，没人管它用完之后还保留着什么。

60%的组织无法终止一个行为异常的Agent。

想想看，一个Agent六个月前为了某个项目拿到了你生产数据库的写入权限。那个项目早结束了，但权限还在。没人撤销，没人审计，它就静静地待在那里。

这种”权限债”是最危险的，因为你根本意识不到它的存在。

盲区三：你的Agent可能被”下毒”了

OWASP在2026年发布了Agentic AI十大安全风险，其中一个让我特别警觉：工具投毒和供应链攻击。

你用的Agent，一般会连接各种工具——MCP服务器、插件、第三方服务。这些工具的安全性，你验证过吗？

2026年2月发生了一件大事：一个Agent应用市场里发现了1184个恶意技能。开发者们在不知不觉中安装了这些被”下毒”的工具，Agent在执行任务的时候，悄悄把敏感数据往外送。

同年的一次扫描发现，492台MCP服务器暴露在互联网上，没有任何身份验证。这意味着任何人都可以连接这些服务器，向你的Agent注入恶意指令。

还有一种叫”Agentjacking”的攻击方式。攻击者利用Sentry的开放架构，往你的错误监控系统里注入虚假的issue。当你让Agent去排查Sentry里的问题时，它读到的不是真正的错误报告，而是攻击者精心设计的恶意指令。

你让Agent帮你处理工作，它却在暗地里执行别人的命令。

盲区四：多Agent协作，风险也”协作”

现在越来越多的人开始用多Agent系统。一个Agent负责搜集信息，一个负责分析，一个负责执行。效率确实高了，但风险也跟着放大了。

Galileo AI的研究发现，在多Agent系统中，一个被攻破的Agent可以在4小时内影响下游87%的决策。而且这种级联故障传播得非常快，传统的安全监控根本来不及反应。

更要命的是，Agent之间的通信基本没有加密和身份验证。你没法确认给你发消息的那个Agent，到底是不是真的那个Agent。如果其中一个Agent的凭证被泄露，攻击者就可以伪装成合法的Agent，在你的系统里自由穿梭。

Drift-Salesforce事件就是一个惨痛的教训。一个集成的OAuth令牌被盗，结果攻击者获得了700多个客户环境的访问权限。这些令牌绕过了SSO、MFA和CASB等所有安全控制，因为它们用的是委托授权而不是交互式登录。

从一个漏洞，变成了七百个客户的灾难。

那我们该怎么办？

说了一堆吓人的东西，不是说我们不用Agent了。Agent确实好用，效率提升也是实打实的。但你得知道风险在哪，如何规避。

网上通常给的建议是：给最小权限。说起来简单，但目前不论是Hermes还是OpenClaw都很难做到这一点。

我给的建议是独立的运行环境。单独的迷你主机或VPS。内网使用分配独立的子网络，并配置禁止访问内网，允许主网络访问Agent设备。
VPS修改SSH端口并禁用root账号，开启防火墙并禁用其他端口访问，SSH新账号安装Agent。Agent使用单独的邮箱。

还有就是，验证工具来源。你给Agent装的每一个插件、每一个MCP服务器，都要确认来源可靠。来路不明的工具不要装，道理跟你不会随便装来路不明的手机App一样。

让Agent处理重要文件后让它清除，不要保存在Agent设备。

最后一点，能用沙箱隔离就用。能在沙箱环境里跑的任务，就不要让Agent直接在生产环境里跑。

写在最后

我们正在经历一个很有意思的阶段。AI Agent的能力在飞速增长，安全意识和防护手段却远远没跟上。

给它足够的能力完成任务，同时给它足够的约束保护你的数据。这个平衡挺难找的。

但至少检查下安装Agent的设备上是否有明文密码和不想让外人看到的文件（比如身份证照片）。