Lorsque vous disposez de plus en plus de clés API comme OpenAI, Anthropic, OpenRouter et xAI dans Hermes Agent, vous pouvez envisager Bitwarden Secrets Manager, mais ne le laissez pas couvrir les ~/.hermes/.env locales immédiatement. À partir de la version 0.15.0, Hermes prend en charge l’extraction de plusieurs ensembles d’identifiants de Bitwarden avec un seul BWS_ACCESS_TOKEN, adapté à une utilisation à long terme et à la maintenance en équipe.
Quand est-ce que ça vaut le coup de déménager ?
Si vous n’avez qu’une seule clé OpenRouter, les .env locaux peuvent aussi l’utiliser ; Si vous avez plusieurs fournisseurs, plusieurs machines et que vous changez fréquemment les clés, Bitwarden est clairement plus sans souci. Sa valeur principale n’est pas d’être « plus cool », mais plutôt qu’après la rotation des clés, vous n’avez pas à modifier manuellement les fichiers sur chaque serveur.
Ordre de migration recommandé
- Sauvegardez d’abord la
~/.hermes/.envactuelle, en gardant au moins une copie hors ligne. - Créez les secrets correspondants dans Bitwarden, en les nommant pour correspondre aux variables lues par Hermès.
- D’abord, injectez le
BWS_ACCESS_TOKEN, puis lancez Hermes pour vérifier le médecin ou configurez la source des identifiants dans la sortie. - Après avoir confirmé que la nouvelle source est disponible, décidez si Bitwarden peut remplacer la variable locale portant le même nom.
La documentation officielle mentionne que Bitwarden est par défaut plus une source de vérité, ce qui signifie que la valeur portant le même nom peut passer outre l’environnement local. Ce comportement convient à la gestion centralisée mais pas aux débutants qui essaient de s’adapter simultanément. Vous pouvez désactiver l’écrasement en premier, et ne changer qu’après avoir confirmé que tout va bien.
Le piège le plus facile dans lequel tomber
Premièrement, les permissions de jetons sont trop grandes, exposant tous les environnements au même jeton bootstrap ; Deuxièmement, il existe de vieilles clés locales, donc quand on les tape mal, on ne sait pas laquelle Hermès a réellement utilisée ; Troisièmement, un membre de l’équipe est passé à Bitwarden, et après la reprise du service en ligne, ils ont soudainement changé leurs identifiants. La solution est simple : séparer les jetons pour différents environnements, enregistrer la source des identifiants, et notifier les passerelles concernées et les tâches planifiées avant de changer les clés.
