Jun 19, 2026

Hermes安全防护权限管理Web UIOpenClawClaude CodeAI Agent

安全防护与进阶玩法——别让你的AI裸奔

这是 AI Agent 系列科普的第六篇。前几篇我们把 Hermes / OpenClaw 装进了电脑、接进了微信飞书、给它装上了声音。现在的它，能读你的文件、能执行终端命令、能给任何人发消息、能联网、能定时干活——它已经不是一个”工具”，而是一个拥有系统级权限、坐在你电脑里的”数字员工”。 那么问题来了：你敢不敢让一个拿着你全部钥匙的员工，24 小时站在人来人往的大街上？

开篇：225 万台实例暴露的安全危机

过去一周，安全圈被一组数字刷屏了。

2,258,305——这是截至目前全网暴露在公网的 AI Agent 实例数量。有人做了一个可视化看板，把这些”裸奔”的服务器一一标注在地图上，其中国内暴露实例超过 1.4 万个，而且这个数字还在快速飙升。

更刺眼的是另一个数字：10.8%——这是在官方插件市场里抽样检测出的恶意 Skills 比例。

这不是某个小众工具的疏忽，而是 AI Agent 时代第一起真正意义上的”大规模安全事件”。

很多人把事故归结为”用户配置错误”。但真相更复杂：AI Agent 的默认配置其实是安全的（只监听本地 127.0.0.1），问题出在”方便”二字——用户想要远程控制，就把监听地址改成 0.0.0.0；想要快速上手，就跳过认证，甚至用单个字符 a 当 Token；想要公网访问，就套上 Nginx 反向代理，却不知这恰好踩中了 CVE-2026-25253 的陷阱：代理后的请求来源变成 127.0.0.1，被误判为本地可信连接，认证形同虚设。

研究人员做过一个实验：在公网部署一个暴露的实例，观察多久会被攻击——结果是几分钟。而攻击者根本不跟 AI 对话，不玩提示词注入，而是直接探测 WebSocket API、尝试认证绕过、执行原始命令。这说明对手已经专业化：研究过源码、了解架构、知道默认端口 18789、甚至能识别 Nginx 反代特征。

最隐蔽的威胁来自 Skills 生态。安全厂商抽样发现，恶意插件手法相当老练：先用 Base64 编码隐藏恶意代码，再通过 curl 下载执行，实现持久化控制。换句话说，即便你配了强认证，一旦装了问题插件，系统照样被渗透。和 npm、PyPI 不同，Skills 直接运行在拥有系统权限的 Agent 上下文中——一旦被感染，攻击者拿到的不是”代码执行”，而是”整台机器”。

所以这篇文章，我们就来认真聊聊：怎么让 AI 既好用，又不裸奔。

第一节：五大安全红线（端口/Token/root/审计/漏洞）

红线一：⚠️危险——端口直接暴露公网

这是最致命的一条。 默认配置只监听 127.0.0.1（只有本机能访问），是安全的。但只要被改成 0.0.0.0 且没有认证，任何人在地球另一端都能连上来控制你的 AI。

正确做法：

配置里确认绑定地址是 127.0.0.1（loopback）而非 0.0.0.0。
Gateway 必须设 "bind": "loopback" + 一个长随机 Token。
如果必须远程访问，用 Tailscale 等 VPN 方案，绝不直接暴露端口。
顺手改掉 SSH 默认端口、用密钥认证替代密码登录，能进一步降低暴露面。

红线二：⚠️危险——弱 Token / 无认证

用 a 当 Token，等于没设。AI Agent 支持 Token + 密码双因素认证，务必启用。一个长随机字符串（32 位以上）是底线。

红线三：⚠️危险——用 root 权限运行

很多图省事的用户直接用 root 启动 AI。这意味着 AI 一旦被攻破，攻击者拿到的是整台服务器的最高权限。

正确做法：降权运行，禁止 root 权限启动；新建普通用户跑 AI；禁用 root 远程登录，避免被暴力破解。

红线四：⚠️危险——没有审计与监控

“没症状不代表没问题。” 安全是个持续过程，必须能”看见”。

正确做法：

启用审计日志，定期看服务器日志，及时发现异常访问。
监控进程和端口状态，设置异常告警。

养成习惯：每次改完配置、接入新渠道、装了新 Skill，都跑一次安全体检：

openclaw security audit          # 基础体检
openclaw security audit --deep   # 深度检查，探测 Gateway
openclaw security audit --fix    # 自动修复能修的问题

给敏感目录收紧权限：chmod 700 ~/.openclaw && chmod 600 ~/.openclaw/openclaw.json。

红线五：⚠️危险——不及时升级，留着已知漏洞

CVE-2026-25253（Nginx 反代导致的认证绕过）已在 2026.1.29 版本修复。还在用更早版本的人，等于敞着门。及时更新到最新稳定版，是最低成本的安全投入。

第二节：权限分级体系（L1 全自动 / L2 通知 / L3 审批）

安全的核心不是”全锁死”，而是分级——不同风险等级的操作，给不同的放权程度。业界实践总结出三档：

最重要的一道门：谁能跟你的 AI 说话？

在讲分级之前，必须先守住这道门，否则后面一切都是摆设。AI Agent 在每个聊天渠道都有一个 DM 策略（dmPolicy）：

模式	类比	安全等级
`pairing`（默认）	有门禁的小区，按门铃你决定开不开	✅ 推荐
`allowlist`	只有拿到门卡的人能进	✅✅ 高安全
`open`	大门敞开，谁都能进	🔴 危险
`disabled`	封死大门，不接客	纯群聊用

只记住一句话：永远不要把 dmPolicy 设成 open，除非你非常清楚自己在做什么。 社区里 80% 的安全事故不是黑客攻击，而是”不该说话的人说上了话”。

L1：全自动（低风险，免审批）

适用：读文件、查资料、总结文档、联网搜索、生成文案这类”就算出错也无所谓”的操作。

配置思路：给 AI 最小够用的工具集。比如一个只负责聊天的 AI，完全不该让它碰文件系统或执行命令：

{
  "tools": {
    "profile": "messaging",
    "deny": ["group:automation", "group:runtime", "group:fs"]
  }
}

就像你可以跟银行柜员聊一下午天，但他没有金库钥匙，你也拿不到钱。

L2：通知（中风险，事后可查）

适用：发消息、修改日程、提交代码这类”影响外部但可回滚”的操作。AI 自己干，但留下完整审计日志，事后你能查。

L3：审批（高风险，必须人工确认）

适用：删文件、执行 Shell 命令、装软件、转账、发邮件给外部这类”不可逆或高影响”的操作。

配置思路：用沙箱 + 危险命令审批。Hermes 默认内置沙盒和危险命令审批机制；OpenClaw 默认不提供安全沙盒，需要自行配置。建议把 AI 关在 Docker 或独立虚拟机里，限制其对宿主机的文件和网络访问：

{
  "sandbox": { "mode": "non-main", "scope": "session", "workspaceAccess": "none" }
}

原则：你自己的私聊直连主机（信任），群聊和其他来源走沙箱（不信任）。有工具权限的 Agent，必须用最新最强的模型——小模型更容易被提示注入操纵，用小模型跑大权限的 Agent，风险极高。

第三节：Skill 安全审查——10.8% 恶意率怎么防

10.8% 的恶意率意味着：你随手装的每 10 个 Skill 里，可能就有 1 个是后门。 这不是危言耸听。

恶意 Skill 长什么样？

安全厂商披露的手法：先用 Base64 编码把恶意代码藏起来（肉眼难辨），再在运行时通过 curl 下载并执行真正的 payload，实现持久化控制。一旦安装，攻击者获得的是”整台机器”的控制权，因为 Skills 直接运行在拥有系统权限的 Agent 上下文中。

怎么防？四条铁律

只装官方审核 / 信任来源的 Skill，移除来源不明的第三方 Skill。记住：每个 Skill 都是潜在的后门。
安装前看源码。开源的好处就是可审计——花两分钟扫一眼，重点看有没有可疑的 curl、eval、exec、Base64 大段编码。
版本锁定。用固定版本而非 @latest，避免上游被篡改后自动更新成恶意版本。
最小权限运行 + 沙箱隔离。即便 Skill 有问题，只要它跑在沙箱里、手里没有危险工具权限，被骗了也炸不了。

一个真实案例：Meta AI 安全专家 Summer Yue 把 AI 接入了工作邮箱，结果这个 Agent 无视了三次”停止”指令，自动删除了数百封邮件。可怕之处不在于”AI 不听话”，而在于它揭示了——Agent 的行动权限，远大于用户的控制权限。权限分级，就是把这个剪刀差收窄。

第四节：Web UI 与桌面版——给 Hermes 一张人脸

安全要紧，但好用也同样重要。成天对着命令行黑框，大多数人坚持不下来。好在社区已经给 AI Agent 配上了正经的”人脸”。

hermes-web-ui：浏览器里的控制面板

这是一个 Vue 3 + Koa 的社区项目，4200+ Stars，MIT 协议。它把聊天、渠道配置、定时任务、用量分析、文件管理、Web 终端全塞进一个网页。一行命令安装：

npm install -g hermes-web-ui
hermes-web-ui start          # 30 秒后自动打开浏览器

或一键脚本（自动检测系统、装 Node.js）：

bash <(curl -fsSL https://raw.githubusercontent.com/EKKOLearnAI/hermes-web-ui/main/scripts/setup.sh)

Docker 用户：

WEBUI_IMAGE=ekkoye8888/hermes-web-ui:latest docker compose up -d hermes-agent hermes-webui

架构亮点：浏览器 → BFF 层（Koa, :8648）→ Hermes Gateway（:8642）→ 底层资源。这种分层设计意味着 Web UI 本身不直接碰你的 API Key，都走 Gateway 中转，安全性有保障。

最实用的功能：以前配一个平台渠道要改 YAML、重启 Gateway、看日志排查；现在在 Web UI 里填几个字段就完事。它支持 8 个平台统一配置（Telegram/Discord/Slack/WhatsApp/Matrix/飞书/微信/企微）。用量分析页面能直观看到哪个模型性价比最高（对同时跑 Claude、GPT、Gemini、DeepSeek 的用户特别有用）。

Hermes Desktop：连浏览器都不用开

开发者把 Web UI 打包进了 Electron 壳，做成原生桌面应用。区别在于：不用开着浏览器、不受浏览器权限影响、双击图标即启动、应用在运行 AI 就不会崩溃——彻底告别网页端那种”临时感”。

对普通用户来说，一个”双击就能用的应用”和”在终端跑的智能体”，在体验上就是”好用”和”凑合能用”的鸿沟。Desktop 版还把 Profile（多角色配置）管理做成了界面，左下角点一下就能在”文案作者""程序员”等角色间切换，无需重启、不输命令。

⚠️ 安全提示：Web UI 和 Desktop 都不是官方维护的社区项目，安装使用时需自行了解安全风险，别盲目给最高权限。

第五节：Hermes vs OpenClaw vs Claude Code——三者怎么选

2026 年的开源 AI 圈比任何一年都热闹。很多人纠结到底用哪个，其实它们不是替代关系，而是三条平行赛道：

框架	一句话定位	核心能力	适用场景
Hermes Agent	会自进化的 AI 数字员工	自主记忆、自动生成 Skill、内置学习循环	长期成长型个人/团队助理
OpenClaw	AI 操作系统的”全能工具箱”	多渠道接入、多 Agent 编排、成熟 Skill 生态（3200+）	企业级自动化、跨平台调度
Claude Code	IDE 里的顶级编码副驾驶	代码理解与生成、终端调试、文件操作	软件开发辅助、代码审查

根本差异在设计哲学：

OpenClaw 的逻辑：控制平面优先，人在决策链中心。所有操作需显式授权，它像一套”AI 操作系统”，擅长多渠道连接和任务调度。
Hermes 的逻辑：学习循环优先，Agent 自主迭代。越用越懂你，它像一个”养成系的打工人”，会自己从经验中学会新能力。最独特的是自动技能生成——完成复杂任务后自动把解决方案提炼成 Skill 文件，下次遇到类似问题不再犯错，连 Token 都省了。它”出厂就带缰绳”（默认沙盒、危险命令审批、容器隔离），不像 OpenClaw 需要自己配安全。
Claude Code：聚焦代码场景的副驾驶。

三者可以协同：让 Hermes 负责记住偏好、积累经验、沉淀技能，让 OpenClaw 负责多渠道调度和执行，用 Harness Engineering（缰绳工程）的治理原则规范两者的边界。

怎么选？

个人开发者 / 小团队、追求长期价值、愿意花时间”培养”AI → Hermes（5 美元 VPS 就能跑，闲置几乎不耗资源）。
需要多渠道接入、多 Agent 编排、成熟生态 → OpenClaw。
主要做软件开发 → Claude Code。

第六节：30 个真实应用场景精选（挑最有价值的 10 个详述）

社区里有个硬核仓库「Awesome OpenClaw Use Cases」，整理了 6 大板块、30 多个真实落地案例。我挑出最有价值的 10 个，用故事的方式讲给你听。

⚠️ 前置提醒：能力越大，漏洞可能带来的灾难就越大。使用这些案例安全风险自负，至少别用在自己的主力机上，防止泄露个人隐私。

1. Daily Tech News Digest（多源技术新闻日报）

小李是技术博主，每天要在 109+ 个来源（RSS、推特、GitHub）里捞技术新闻。现在他让 AI 自动聚合、打分、推送，每天早上喝咖啡时，精选摘要已经在飞书里等着他了。AI 充当”数据清洗层”，替代了人工低效的信息打捞。

2. Self-Healing Home Server（自愈家庭服务器）

老张的家用服务器总在半夜抽风。他给 AI 配了 SSH 权限和 Cron，网络宕机时 AI 自动尝试修复，跑诊断脚本、重启服务、拉起容器。从此老张半夜不用爬起来救火，第二天看日志就知道 AI 做了什么。

3. Phone-Based Personal Assistant（电话语音助理）

王姐开车通勤两小时，眼睛得盯着路。她让 AI 接上电话语音——用嘴问”今天日历有什么""Jira 上那个 bug 状态如何”，AI 用语音回答。真正的无界面交互，双手不离方向盘。

4. Inbox De-clutter（邮件脱水机）

陈总每天收上百封邮件和 Newsletter，根本看不完。AI 自动总结每封 Newsletter，生成一封每日精华邮件，三分钟看完原来要一小时的内容。

5. Custom Morning Brief（定制晨报）

每天早上，AI 准时给小赵发一条短信晨报：今日新闻 + 当天任务 + 昨天的草稿 + AI 给的建议。小赵起床第一件事就是看这条”AI 早报”，一天的方向感立刻清晰。

6. Automated Meeting Notes & Action Items（会议纪要自动分派）

开完会，AI 自动转录总结，并直接在 Jira、Linear 或 Todoist 里建单、分派给对应的人。再也不用开完会还要花半小时整理待办、催别人领任务了。

7. Personal Knowledge Base / RAG（个人第二大脑）

小林读书、看推文、刷网页时，随手把 URL 或文本丢给 Bot，它自动存进可搜索的知识库。下次要用，一句话就能语义检索出来。相当于给自己配了个过目不忘的秘书。

8. Market Research & Product Factory（痛点挖掘 + MVP 工厂）

独立开发者阿凯让 AI 去 Reddit 和 X 上挖真实痛点，然后直接动手构建解决它的小工具 MVP。从”发现需求”到”做出来”全自动，一周能验证好几个点子。

9. Multi-Agent Content Factory（多 Agent 内容工厂）

内容团队在 Discord 里跑多 Agent 协作流：调研员、写手、配图专员各司其职，一个目标丢进去，AI 们自己分工协作产出成品。像拥有了一支不知疲倦的内容流水线。

10. Habit Tracker & Accountability Coach（习惯监督教练）

小周总是坚持不了健身。AI 教练在 Telegram 里主动催打卡，还会根据他的表现调整语气——连续完成就温柔鼓励，连续偷懒就犀利吐槽。比真人教练还”烦人”，但效果出奇地好。

这 10 个场景有个共同点：都是”事件驱动 + 自动化”——AI 不是被动等你提问，而是主动在合适的时间、用合适的渠道，替你把活干了。这正是 AI Agent 区别于普通聊天机器人的本质。

第七节：部署方案对比（本地 / NAS / 云服务器 / Docker）

部署在哪，直接决定了安全性、成本和可用性。下面四种主流方案，按”养虾”成本和优劣对比：

方案一：本地电脑（个人尝鲜首选）

成本：0 元（用现有电脑）。
优点：零成本、上手快、数据完全在本地。
缺点：电脑关机 AI 就下线；多人/多平台在线体验差；主力机部署有隐私泄露风险。
适合：个人开发者尝鲜、学习。
建议：至少跑在非主力机或专门建的虚拟机里，别让它直接操控你的工作环境。

方案二：NAS / 树莓派 / 旧手机（极客性价比之选）

成本：一次性硬件投入（N1 盒子几十块、树莓派几百块、闲置旧手机 0 元）。
优点：7×24 低功耗常开、数据本地、噪音小。
缺点：性能有限，跑复杂模型或浏览器自动化吃力；配置门槛仍在。
适合：有闲置硬件、愿意折腾的极客。
注意：Termux 跑在手机上时，Docker 后端、本地语音转录不可用，核心 CLI/cron/MCP/记忆能用。

方案三：云服务器（生产 / 多人协作首选）

成本：轻量云服务器约 ¥30–100/月（腾讯云 Lighthouse、阿里云 ECS 等），Hermes 官方说 5 美元 VPS 即可稳定跑。
优点：7×24 在线、固定公网 IP、企业微信等公网回调场景必需、可多人共用。
缺点：有月度成本；公网暴露风险最高，必须严格做安全加固。
适合：长期使用、团队协作、需要接入企业微信/钉钉的用户。
必做：限制端口外网访问、强 Token、降权运行（禁 root）、开安全中心防护、定期备份。

方案四：Docker / 容器隔离（安全党首选）

成本：低（可叠加在上述任意方案上）。
优点：隔离性最好——AI 被关在容器里，对宿主机文件和网络的访问受限；即便被攻破，爆炸半径可控；易备份、易迁移、易回滚。
缺点：对新手有一定门槛；Termux/手机上不可用。
适合：注重安全、生产环境、跑不可信 Skill 的场景。
强烈建议：把”群聊和其他不信任来源”都路由到 Docker 沙箱，私聊直连主机。

一张表总结

方案	月成本	7×24 在线	安全性	上手难度	适合人群
本地电脑	0	❌	🟡（主力机有风险）	⭐	尝鲜者
NAS/树莓派/旧手机	0~一次性	✅	🟢	⭐⭐⭐	极客
云服务器	¥30~100	✅	🔴（暴露高，需加固）	⭐⭐	长期/团队
Docker 隔离	低（叠加）	✅	🟢🟢（最佳）	⭐⭐⭐	安全党/生产

现在还有一类”零门槛”选择：国内大厂的云端 SaaS 版（如字节的 ArkClaw、智谱的 AutoClaw 等），2 分钟云端创建、开箱即用，但代价是闭源、数据上云、深度绑定生态。追求开源自由 + 数据自掌控，选自建；追求省事，选 SaaS。 这是另一场”万虾大战”，核心权衡是自由度 vs 便利度。

写在最后

微软安全团队给这类 AI Agent 下了一个精准的定义：“持有长期凭证、执行不受信任代码的运行时”（Untrusted code execution with persistent credentials）。

换句话说，它是一个拿着你家钥匙、还会替你执行陌生指令的员工。这样的人，你敢让他站在开放的大街上吗？

但请不要因噎废食。AI Agent 代表了一个确定的方向——人人都想拥有一个能真正”干活”的数字伙伴。“干活”意味着高权限，高权限意味着高风险，这是硬币的两面。我们要做的不是放弃，而是给它穿上盔甲：

守好门禁——dmPolicy 设 pairing，绝不 open；Gateway 绑 loopback + 强 Token。
最小权限——需要什么开什么，不同角色不同权限，群聊走沙箱。
审查 Skill——只装信任来源，装前看源码，版本锁定。
隔离运行——能上 Docker 就上 Docker，限制爆炸半径。
持续体检——security audit 定期跑，保持模型最新。

现在，去跑一次 openclaw security audit 吧。把你的体检结果对照本文的五大红线逐条检查——没有症状，不代表没有问题。 别让你的 AI 继续裸奔。