Hermes Agent 里 OpenAI、Anthropic、OpenRouter、xAI 等 API Key 越配越多时,可以考虑 Bitwarden Secrets Manager,但不要第一步就让它覆盖本地 ~/.hermes/.env。v0.15.0 开始,Hermes 支持用一个 BWS_ACCESS_TOKEN 从 Bitwarden 拉取多套凭据,适合长期使用和团队维护。
什么时候值得迁移
如果你只有一个 OpenRouter key,本地 .env 也能用;如果你有多个 provider、多台机器、经常换 key,Bitwarden 才明显省心。它的核心价值不是“更酷”,而是密钥轮换后不用到每台服务器手动改文件。
建议迁移顺序
- 先备份当前
~/.hermes/.env,至少保留一份离线副本。 - 在 Bitwarden 里建好对应 secrets,命名要和 Hermes 读取的变量一致。
- 只先注入
BWS_ACCESS_TOKEN,启动 Hermes 看 doctor 或配置输出里凭据来源。 - 确认新来源可用后,再决定是否让 Bitwarden 覆盖同名本地变量。
官方说明里提到 Bitwarden 默认更像 source of truth,也就是同名值可能覆盖本地 env。这个行为很适合集中管理,但不适合边试边改的新手。你可以先把覆盖关掉,确认没问题后再切换。
最容易踩的坑
第一是 token 权限太大,把所有环境都暴露给同一个 bootstrap token;第二是本地还有旧 key,排错时不知道 Hermes 实际用了哪一份;第三是团队成员改了 Bitwarden,线上服务重启后突然换凭据。解决办法很简单:给不同环境拆 token,记录凭据来源,改 key 前先通知会受影响的 gateway 和定时任务。
