夜雨聆风OpenClaw 刚部署好,技能库还没刷完,QQ 机器人终于稳定跑起来了——然后你打开社交媒体,发现大家在刷 Hermes Agent。
又来?
我知道你可能在想什么。又是新工具,又是要折腾。
一开始我也是这么认为的,但作为AI发烧友,还是忍不住又下场试了一下,结果有点出人意料,感觉还真是蛮甜的,尤其是对比OpenClaw的一些槽点,你的感受会更强烈一些。
OpenClaw 的几宗"罪"
一、安全审计:29 个严重漏洞
一位开发者用 Claude Code 对 OpenClaw 整个代码库(3,206 个 TypeScript 文件)做了完整安全审计。结果:14 个严重(CRITICAL)+ 15 个高危(HIGH),外加 18 个中危和 8 个低危。
具体来说:
•默认管理员权限:任何未明确配置范围的连接,直接拿到 `operator.admin` 级别
•本地客户端自动配对:同一局域网内的攻击者可以直接获得管理员权限
•代码注入漏洞:浏览器上下文存在远程代码执行风险
•明文存储令牌:localStorage 里直接存 token,XSS 攻击可直接窃取
•CDP 端口暴露:浏览器调试端口对 0.0.0.0 开放,远程代码执行敞口大开
•Docker 沙箱逃逸:容器配置允许绑定 Docker socket,可实现宿主机逃逸
"对于一个用户在自己的服务器上运行、大量暴露攻击面的项目来说,这样的代码质量是一个定时炸弹。"
二、工程债务:从第一天就在欠债
一位贡献者在 GitHub 上写了一篇详细的代码质量报告,标题很直接:"[Feature]: Improve code quality please!!!"(请提高代码质量!)。原文这样说:
"这个仓库的组织方式相当糟糕,代码没有任何一致的风格。从第一天开始就是' vibe coded'——感觉就是这样一路堆出来的,这让它很难成为一个长期项目。"
具体糟糕到什么程度:
•`/scripts` 目录里有 60 个 `.sh`、`.ts`、`.js`、`.mjs` 混在一起,还有个完整的 Go 项目
•`/src/memory/manager.ts` 单个文件 2,355 行;最长的测试文件 `/src/telegram/bot.test.ts` 达 2,995 行
•整个代码库有 104 个文件超过 500 行——这个数字本身就是一个维护噩梦
这位贡献者说:"我想参与重构,但我做不到。这个代码库根本无法正常工作。"
三、吞金兽:一次心跳吃掉四千七百万 token
这是最要命的问题。
2026 年 2 月 17 日,一个仅运行心跳(Heartbeat)功能的 OpenClaw 会话,在 24 小时内消耗了 47,659,109 个 assistant token——不是对话,就是单纯的心跳检查,反复调用 `session_status` 而非返回一行简单的 `HEARTBEAT_OK`。
这只是其中一次。同月 15 日,另一次心跳循环消耗了 117,299,323 token。
这不是配置错误。官方 Issue 编号 [#21597](https://github.com/openclaw/openclaw/issues/21597) 记录了这个 bug,问题是:心跳配置明确写了"禁止调用工具",但它就是会陷入循环调用工具。
另一个场景:Cron 定时任务。用户的脚本本身 72 秒就跑完了,但 Hermes Agent 的 agentTurn 陷入了重试循环——30 分钟内执行了 498 次 exec 调用,把整个 token 预算烧光了。官方 Issue [#28533](https://github.com/openclaw/openclaw/issues/28533) 记录了这次事故,表格里清清楚楚:
| 类型** | 次数** | 说明 |
|---|---|---|
| `Already running, skip` | 389 次 | 脚本已运行,Agent 继续重复调用 |
| `DATA_DIR: unbound variable` | 30 次 | 脚本报错,Agent 每 2 秒重试一次 |
| `Command still running` | 40 次 | Agent 同时开了 40 个新进程 |
一个正经的框架,这种无界循环是根本不应该发生的。
与OpenClaw相比,Hermes Agent 至少具备五个方面的优势
1. 内置学习循环——会自己变聪明
OpenClaw 是一个出色的多平台连接器,但严格意义上来说,它并不会主动学习。你告诉它的东西,大概率下次会话还得再说一遍。
Hermes 实现了真正的学习闭环:
•自动创建技能:完成复杂任务后,Agent 把解决方案写成 markdown 技能文件,下次同类问题直接调用
•技能自我改进:每次使用技能,发现不足就更新它
•主动记忆写入:Agent 周期性把重要信息推入 MEMORY.md,不需要你提醒
•跨会话搜索:FTS5 全文检索 + LLM 摘要压缩,不遗漏任何历史积累
用 Reddit 网友的话说——
"用了两周 Hermes,它记住了我所有项目的命名规范、代码风格偏好,甚至我讨厌用中文注释这个习惯。现在新会话不用再重复任何背景信息,直接进入工作状态。"
OpenClaw 的记忆是隔离的,每个会话独立;Hermes 的记忆是全局的、会整理的、会主动遗忘次要信息的。
2. 记忆系统——工程级别,不是凑合用
OpenClaw 的记忆靠你手动维护;Hermes 的记忆是工程级设计:
•原子写入 + 文件锁:多进程安全,不会出现并发损坏
•注入/泄露扫描:防止 prompt 注入攻击记忆文件
•FTS5 全文检索:几千条记忆秒级搜索
•LLM 摘要压缩:把长段记忆压缩成精华再加载,节省 token
•冻结快照:保留历史版本,前缀缓存稳定
3. 安全记录干净——零已知 Agent CVE
OpenClaw 2026 年爆出过多个安全漏洞,官方修复很快,但历史债在那里。
Hermes 强调的是:
•零遥测:使用数据不发送任何服务器
•零已知 Agent CVE:官方文档直接写明
•容器沙箱:命令在隔离环境执行
•环境变量隔离:防止 API key 泄露
4. 成本结构优——$5/月 VPS 跑得动
OpenClaw 建议配置较高,Node.js + 多渠道并发,小内存 VPS 吃力。
Hermes 可选方案:
•$5/月 Hetzner/DigitalOcean VPS(最低 2GB 内存)
•Daytona / Modal serverless:空闲自动休眠,几乎不收费
•GPU 集群:大模型推理
官方给出 $5/月 VPS + OpenRouter 免费额度 的极低成本方案,个人用户门槛接近零。
5. 研究友好——内置 RL 工具链,OpenClaw 没有
•批量轨迹生成:一次生成成百上千条 ShareGPT 格式训练数据
•Atropos RL 环境:强化学习轨迹
•轨迹压缩:为下一代工具调用模型准备数据
想用自己的数据微调模型?这是唯一开箱即用的开源方案。
两者核心差异
| OpenClaw | Hermes Agent | |
|---|---|---|
| GitHub Stars | 346K | 23K+ |
| 编程语言 | TypeScript / Node.js | Python (93%) |
| 平台数量 | 50+ | 6 |
| 自学习能力 | 无 | 有(技能创建+自我改进) |
| 记忆系统 | 基础,多会话隔离 | FTS5 搜索 + LLM 摘要 |
| 安全记录 | 29 个严重/高危漏洞史 | 零已知 Agent CVE |
| 吞金兽风险 | 心跳/Cron 有无界循环 | 有超时和隔离保护 |
| 最低运行成本 | ~$10/月 | ~$5/月(serverless 可接近 $0) |
| RL 研究工具 | 无 | 内置 |
| 从 OpenClaw 迁移 | N/A | 一键 `hermes claw migrate` |
一句话: OpenClaw 是生态王者,Hermes 是智能先锋。需要 50+ 平台接入、团队协作、企业安全,选 OpenClaw。想要一个越来越懂你的私人助手,选 Hermes。
二、如何安装 Hermes Agent
安装只需一条命令,支持 Linux、macOS 和 WSL2。
一步安装
curl -fsSL https://raw.githubusercontent.com/NousResearch/hermes-agent/main/scripts/install.sh | bash安装后:
source ~/.bashrc # 刷新 shell
hermes # 开始对话!Windows 用户需先安装 WSL2。
初始配置
hermes setup # 全套设置向导(推荐)
hermes model # 选择模型(支持 OpenRouter 200+、Nous Portal、Kimi、MiniMax 等)
hermes tools # 配置启用的工具推荐先跑 `hermes model`,把 API key 配置好。OpenRouter 最方便,200+ 模型一个入口。
接入消息平台
支持 Telegram、Discord、Slack、WhatsApp、Signal、邮件。
以 Telegram 为例:
hermes gateway setup # 选择 Telegram,填入 Bot Token
hermes gateway start # 启动网关从 OpenClaw 迁移
已有 OpenClaw 配置?一键迁移:
hermes claw migrate # 交互式迁移
hermes claw migrate --dry-run # 预览迁移内容自动导入:SOUL.md、MEMORY.md、USER.md、用户技能、平台配置、API keys、TTS 音频文件。增量为先,不覆盖已有 Hermes 数据。
更新和诊断
hermes update # 更新到最新版
hermes doctor # 自动诊断问题资源链接
•官网文档:[hermes-agent.nousresearch.com/docs](https://hermes-agent.nousresearch.com/docs/)
•GitHub:[github.com/NousResearch/hermes-agent](https://github.com/NousResearch/hermes-agent)(23K+ stars)
•Discord 社区:[discord.gg/NousResearch](https://discord.gg/NousResearch)
•技能市场:[agentskills.io](https://agentskills.io)
•OpenClaw 迁移工具:内置 `hermes claw migrate`
