HermesエージェントがMCPに接続しても必ずしもAPIキーが漏れるわけではありませんが、セキュリティ境界に従って設定した場合に限ります。 公式のセキュリティモデルでは、MCPの標準サブプロセスはデフォルトでフィルタリング済みの環境変数のみを受け取り、APIキー、トークン、シークレットなどの機密変数は随意に送信されません。 実際の危険は、ユーザーがMCPのenvやヘッダー、または過度に広範なツール権限に自分のキーを書き込むことが多い点です。
セキュリティ境界の理解方法
- 環境変数フィルタリング:デフォルトでは
PATH、HOME、USER、言語、ターミナル関連変数、そしてXDG_*のみです。 - 明示的なenvは送信されます。MCP設定で書いた
envはサーバーに渡されるので、無関係なキーを詰め込まないでください。 - OAuthはサードパーティログインにより適しており、v0.8.0はMCP OAuth 2.1 PKCEをサポートしており、認証が必要なサービスに適しています。
- OSVスキャンは万能薬ではありません。悪意のあるパケットのリスクを減らすものの、ツールが過剰に特権を持っているかどうかは判別できません。
より安定したマッチング方法
まず、各MCPサーバーごとに最小権限キーを個別に設定し、マスターアカウントのユニバーサルトークンを再利用しないでください。 次に、tools.includeホワイトリストを使って呼び出せるツールを制限しましょう。 第三に、ファイルシステムMCPはプロジェクトディレクトリのみを指し示し、ホーム全体を直接公開するわけではありません。 第四に、書き込み、削除、メッセージ送信、注文、権限変更ができるツールをまずオフにするか確認してください。
チーム環境であれば、Hermes Agentのゲートウェイユーザー許容リスト、危険なコマンド承認、Docker/SSHバックエンドも検討すべきです。 MCPのセキュリティはスイッチではなく、境界線の集合です。誰がコマンドを出せるか、ツールが何をできるか、キーがアクセスできる場所、実行環境がどこにあるかです。
公式オープンソースアドレス:https://github.com/NousResearch/hermes-agent; 公式文書登録:https://hermes-agent.nousresearch.com/。
