事件概述

开源实验室 Nous Research——Hermes 系列大语言模型的幕后团队——于 2026 年 2 月以 MIT 许可证正式发布 Hermes Agent,将其定 位为一款能够从任务执行历 史中持续学习的持久化个人 AI 助手。据项 目文档显示,该仓库在上线后不足两 个月内便累积了超过 40,000 个 GitHub Star。与此同时,竞争框架 OpenClaw 正 面临一场严峻的安全危机——该框 架最初于 2025 年 11 月以 Clawdbot 的 名义作为副项目起步,而区块链安全公司 CertiK 于 2026 年 4 月 4 日发布了一份全面审计报告,在 OpenClaw 生态系统中识别出逾 280 条 GitHub Security Advisories(GHSA)以及约 100 个 CVE。

两款 框架代表着截然不同的架构理念。OpenClaw 扮演的是集中式执行网关的角色—— 通过单一路由枢纽将 Telegram 、Discord、Slack、浏览器自动化、本地 GUI 控制以及无 API 的遗留系统整合为一体。Hermes Agent 则围绕一 套四层记忆系统构建,旨在跨会话积累并 复用程序性知识。

为何值得关注

CertiK 的调查结论揭示了快速普及的 Agent 框架所潜藏的系统性风险。OpenClaw 的 ClawHub 社 区技能库目前已托管超过 44,000 个由社区贡献的技 能包,这一规模使其演变为供应链 攻击的攻击面。CertiK 发现,伪造的安装包与 恶意技能正通过 ClawHub 及第三方 渠道广泛传播。由于这些组件的有效载 荷以自然语言指令的形式投递,而非传统的恶意二进制文 件,因此能够绕过常规的杀毒软件检测。报 告指出,一旦安装成功,这些组件便会悄无 声息地窃取包括凭证在内的敏感数据。

C ertiK 的结论直截了当:OpenClaw 的采用速度已 远超其安全基础设施的成熟度,由 此积累了大量"安全债务"。对 于在生产环境中运行 OpenClaw 且拥有内部系 统访问权限的工程团队而言,这是一个需要立 即应对的运营问题,而非可以搁置的远期隐患。

在架构竞争层面,两个框架之间的记 忆能力差距对需要跨周乃至跨月项目连续性的企 业级场景具有直接影响。OpenClaw 的无状态设计意 味着每次会话重启都需要重新建立完 整的上下文——这一摩擦成本在持续技术研 究或跨版本依赖审计等长周 期任务中会不断叠加放大。

技术细节解 析

Hermes Agent:四层记忆架构

Hermes Agent 的记 忆体系由四个独立层级构成:

  • Prompt Memory( 提示记忆):仅限当前会话内的上 下文,窗口关闭后即清除。
  • Session Retrieval Memory(会话检索记忆):基 于 SQLite 的可搜索历史会话记录,支持跨时间查 询。
  • Procedural Skill Memory(程序技能记忆):存储的并非信息本 身,而是经过验证的执行工作流——包括完 成任务所采取的步骤、记录的结果, 以及将整个过程抽象为可复用 Skill 对象的机制。
  • User Profile Memory(用 户画像记忆):由 LLM 生成的用户偏好、决策模式、技术栈及 项目背景模型,持续动态更新。

其 闭环学习机制运转如下:接收任务 → 规划执 行步骤 → 全程日志记录执行过程 → 任务完成后 自动复盘 → 提取关键步骤 → 生成 Skill → 在后 续相似任务中调用该 Skill 并迭代优化。据 项目文档说明,当同类任务执行次数达 到五次或以上时,系统将自动提示将该工 作流保存为具名 Skill。

截至 v0.8.0 版本(2026 年 4 月 8 日周更), Hermes Agent 内置逾 40 项工具,涵盖网络搜索、浏览 器控制、视觉识别、文件操作、终端命令、定时任务、图像生成以及 TTS 语音合 成。Skill 支持导出与共享。

技能质量风险:本 地模型的注意事项

Hermes Agent 的 Skill 提取 依赖于 LLM 的摘要生成质量。通过 Ollama 运行本地推 理的团队需注意:相较于云端 API 后端,本地部 署在提取准确率上存在已记录在 案的性能下降。项目官方建议,Ollama 部 署的模型参数量至少应达到 700 亿(70B ),并在投入生产使用前对自动生 成的 Skill 进行人工审查。

OpenClaw:三层记忆与 ClawHub 依赖

OpenClaw 的记忆模型覆盖对话历史、会话上下文以及用户事实 三个层面,但不包含程序技能记忆层 。每次重新执行任务都会触 发完整的重新规划,既不参考此前的成功路 径,也不记录曾经遭遇的失败模式。该框架通过 ClawHub 上超 过 44,000 个社区贡献的技能包来弥补这一短板,但这些包需要运营者 手动发现、安装并维护。

OpenClaw 安全漏洞详情

CertiK 审计对截至 2026 年 4 月 4 日 OpenClaw 的安全态 势进行了量化评估:

  • GitHub Security Advisories:逾 280 条
  • 已提交 CVE:约 100 个
  • 已确认的生态级安全事件:自平 台上线以来多次发生
  • 主要攻击向量:恶意 ClawHub 技能包及伪造安装包,通过自然语言指令投递方式绕过 杀毒软件检测

后续关注要点

建议在 未来 30 天内重点跟踪以下动态:

  • OpenClaw 安全响应: 关注 OpenClaw 维护团队是否会针对 CertiK 报 告发布修复路线图。任何迟滞都 将加速企业用户的迁移讨论。同 时留意 ClawHub 是否会引入强制性的技能验证或签名要求。
  • Hermes Agent v0.9.0 发布节奏:该项目目前处于每周更新周 期。下一个里程碑版本或将扩展 Skill 共享基 础设施,这将直接挑战 ClawHub 的社区价值主张。
  • 企 业采用信号:关注是否有云服务商 或托管 AI 服务提供商宣布与 Hermes Agent 的集成。Nous Research 凭借 Hermes 模型系列在开源 LLM 社区积累 的既有声誉,将为该框架提供可信背书,有 望加速 B2B 市场的渗透。
  • 供应链安全工具的 响应:关注安全厂商是否会针对自然语言指令有效载 荷构建 Agent 专项扫描能力。CertiK 的调查结论确立 了一个全新的威胁类别,现有静态分 析工具对此尚无覆盖。
  • 监管合规动向 :关注 EU AI Act 对具备自主技 能执行与持久化用户画像能力的 Agent 框架的合规影响。Her mes Agent 的 User Profile Memory 层在受监管行业中可能需 要引入明确的披露机制。