漏洞总结:Hermes Agent 代码执行与凭证泄露 漏洞概述 标题:Hermes Agent — 工具允许未经授权的远程代码执行和凭证泄露 严重性:Critical (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/H:H/A:H) 核心问题: Hermes Agent 的 工具允许 LLM 生成的 Python 脚本直接在宿主机上运行,且未通过保护 工具的危险命令审批流( )。此外,用于过滤敏感环境变量的逻辑存在缺陷,导致数据库 URL、Slack Webhook 和 AWS 凭证等敏感信息泄露。 技术细节: 1. 无审批机制: 工具通过 直接调用 ,绕过了 工具的安全检查。 2. 过滤逻辑缺陷: 命名规范漏洞:仅过滤包含特定子串(如 , )的变量,无法覆盖 、 等常见命名。 前缀误判: 前缀被允许通过,导致包含敏感内部状态的变量泄露。 磁盘读取:即使环境变量过滤完美,脚本仍可通过 直接读取配置文件中的密钥。 影响范围 受影响产品: 受影响版本: 受影响生态系统:pip 攻击场景: 任意代码执行:攻击者可通过 Telegram、Discord、Slack 等网关发送消息,诱导 LLM 执行任意 Python 代码(包括文件操作、网络请求)。 凭证泄露:敏感环境变量和配置文件内容可被提取。 修复方案 已修复版本: (commit ) 修复措施**: 1. 在 工具中引入 调用,强制执行审批流程。 2. 完善环境变量过滤逻辑,覆盖更多常见敏感变量命名模式。 3. 限制子进程对磁盘文件的读取权限。 概念验证 (PoC) 1. 最小化 PoC ( ) 用于验证环境变量泄露。 2. 全功能 PoC ( ) 用于验证任意代码执行和凭证外泄。