Hermes Agent 连接 MCP 不等于一定会泄露 API Key,但前提是你按安全边界配置。官方安全模型里,MCP stdio 子进程默认只拿到经过过滤的环境变量,API keys、tokens、secrets 这类敏感变量不会随便透传;真正危险的往往是用户自己把密钥写进 MCP 的 env、headers 或过宽的工具权限里。
安全边界怎么理解
- 环境变量过滤:默认只透传
PATH、HOME、USER、语言和终端相关变量,以及XDG_*。 - 显式 env 才会传:你在 MCP 配置里写的
env会传给该服务器,所以别把不相关密钥都塞进去。 - OAuth 更适合第三方登录:v0.8.0 支持 MCP OAuth 2.1 PKCE,适合需要授权的服务。
- OSV 扫描不是万能保险:它能降低恶意包风险,但不能替你判断工具权限是否过大。
怎么配更稳
第一,给每个 MCP server 单独配置最小权限密钥,不要复用主账号万能 token。第二,用 tools.include 白名单限制可调用工具。第三,文件系统 MCP 只指向项目目录,不要直接暴露整个 home。第四,对会写入、删除、发消息、下单、改权限的工具,先关掉或单独确认。
如果你是团队环境,还要把 Hermes Agent 的 gateway 用户 allowlist、危险命令审批、Docker/SSH 后端一起看。MCP 安全不是一个开关,而是一组边界:谁能发指令、工具能做什么、密钥能访问哪里、执行环境在哪里。
官方开源地址:https://github.com/NousResearch/hermes-agent;官方文档入口:https://hermes-agent.nousresearch.com/。
