Hermes Agent 权限分级实战：3 级凭证隔离配置与 4 类越权风险规避

1. 权限不是加个 if 就完事：Hermes Agent 的凭证隔离为什么必须分三级我第一次在生产环境上线 Hermes Agent 时，给所有子智能体（sub-agent）统一配了同一个数据库只读账号。逻辑很朴素：「反正只读，能出什么问题？」——直到某天凌晨三点，监控告警显示核心订单库被高频扫描，QPS 暴涨 12 倍。排查发现，一个本该只处理 PDF 证卡拼版的pdf-processoragent，因为上游传入的文件路径参数被恶意构造为../../../orders/db.sqlite，触发了它内置的本地文件读取 Skill，顺手把整个订单库拖进了上下文。它没越权写，但“读”的范围早已失控。这件事让我彻底放弃「权限即开关」的幻觉。Hermes Agent 的权限模型不是靠is_admin: true这种布尔值撑起来的，而是由三重隔离层共同咬合：凭证粒度隔离、执行域隔离、上下文可见性隔离。这三层一旦错位，哪怕最基础的hermes agent ubuntu部署或hermes agent docker部署场景，都会让hermes agent 需要翻墙吗这类问题变成伪命题——真正的问题从来不是网络，而是凭证裸奔。你可能已经用过hermes agent 安装命令拉起一个本地实例，也试过hermes agent怎么用跑通hermes agent 智能体案例，但只要没动过soul.md或