如何进行Hermes Agent API安全测试?
- 内容介绍
- 文章标签
- 相关推荐
本文共计874个文字,预计阅读时间需要4分钟。
若您想测试Hermes Agent对外暴露的API接口是否具备基本的防护能力,但缺乏系统性的测试路径,这可能是因为未充分覆盖LLM驱动的审计、执行环境隔离与技能信任链的三重维度。以下为解决此问题的步骤:
一、执行LLM驱动的智能漏洞扫描
该方法利用内置大型语言模型对模型提示逻辑、技能调用链及上下文压缩策略进行语义级审计,可识别传统静态分析难以覆盖的提示注入、上下文泄露与策略绕过类风险。扫描结果直接关联至tools/skills_guard.py中定义的LLM_AUDIT_PROMPT模板,确保检测深度与业务语义一致。
1、在项目根目录下执行命令:hermes skills audit --mode=llm
2、等待扫描完成,检查输出中的Critical与High风险项,重点关注agent/context_compressor.py中protect_first_system和protect_first_human参数是否被动态覆盖
3、若发现提示注入风险,立即审查对应SKILL.md文件中user_prompt与system_prompt字段的拼接逻辑
二、启用沙箱终端环境隔离模型执行
通过将模型推理与工具调用强制运行于受限容器环境中,可阻断恶意技能对宿主系统的直接访问,尤其防止路径遍历、shell注入与权限提升等底层攻击。Docker与SSH后端均默认启用--security-opt no-new-privileges安全选项,构成基础设施锁定基础。
1、修改environments/config.yaml,将backend字段设为docker或ssh
2、确认environments/docker.py中resource_limits配置已启用CPU与内存限制
3、重启Hermes Agent服务,验证所有技能调用日志中显示的执行环境标识为sandboxed
三、审查技能信任级别与隔离区状态
第三方技能是模型安全链中最易受攻击的环节。Hermes Agent强制所有非builtin技能首先进入quarantine/目录,并由skills_guard.py完成正则匹配与LLM双模扫描。未通过扫描的技能无法注册至工具集分发系统,从而从源头切断风险传播路径。
1、进入skills/quarantine/目录,列出所有待审技能文件夹
2、运行命令:python tools/skills_guard.py --scan-dir ./skills/quarantine/ --trust-level community
3、检查audit.log中对应时间戳条目,确认是否存在“blocked due to data_leak_pattern”或“prompt_injection_confidence > 0.85”记录
四、触发PTY权限约束机制验证
PTY(伪终端)是Hermes Agent执行系统命令的核心通道,其安全策略包括黑名单拦截、人工审批与白名单豁免三类模式。验证需主动构造高危命令输入,观察是否被实时阻断或转入人工确认流程。
1、启动交互式终端:hermes terminal
2、在会话中输入已知黑名单命令,例如:rm -rf /或chmod 777 /etc/shadow
3、确认返回结果为拦截提示,且日志中包含“blocked by PTY security policy”字样
五、模拟外部API依赖链注入攻击
Hermes Agent完全信任LiteLLM等外部模型返回结果,若其版本低于1.83.0,可能因上游漏洞导致API响应被污染。本测试聚焦于验证Agent是否对不可信API输出实施内容过滤与结构校验。
1、临时修改.env文件,将LITE_LLM_BASE_URL指向可控测试服务地址
2、部署一个返回伪造JSON的Mock API,其中嵌入恶意JavaScript片段与超长base64编码字段
3、调用hermes terminal --command "echo test"并捕获原始响应体,检查是否出现未转义的<script>标签或未截断的payload字段</script>
本文共计874个文字,预计阅读时间需要4分钟。
若您想测试Hermes Agent对外暴露的API接口是否具备基本的防护能力,但缺乏系统性的测试路径,这可能是因为未充分覆盖LLM驱动的审计、执行环境隔离与技能信任链的三重维度。以下为解决此问题的步骤:
一、执行LLM驱动的智能漏洞扫描
该方法利用内置大型语言模型对模型提示逻辑、技能调用链及上下文压缩策略进行语义级审计,可识别传统静态分析难以覆盖的提示注入、上下文泄露与策略绕过类风险。扫描结果直接关联至tools/skills_guard.py中定义的LLM_AUDIT_PROMPT模板,确保检测深度与业务语义一致。
1、在项目根目录下执行命令:hermes skills audit --mode=llm
2、等待扫描完成,检查输出中的Critical与High风险项,重点关注agent/context_compressor.py中protect_first_system和protect_first_human参数是否被动态覆盖
3、若发现提示注入风险,立即审查对应SKILL.md文件中user_prompt与system_prompt字段的拼接逻辑
二、启用沙箱终端环境隔离模型执行
通过将模型推理与工具调用强制运行于受限容器环境中,可阻断恶意技能对宿主系统的直接访问,尤其防止路径遍历、shell注入与权限提升等底层攻击。Docker与SSH后端均默认启用--security-opt no-new-privileges安全选项,构成基础设施锁定基础。
1、修改environments/config.yaml,将backend字段设为docker或ssh
2、确认environments/docker.py中resource_limits配置已启用CPU与内存限制
3、重启Hermes Agent服务,验证所有技能调用日志中显示的执行环境标识为sandboxed
三、审查技能信任级别与隔离区状态
第三方技能是模型安全链中最易受攻击的环节。Hermes Agent强制所有非builtin技能首先进入quarantine/目录,并由skills_guard.py完成正则匹配与LLM双模扫描。未通过扫描的技能无法注册至工具集分发系统,从而从源头切断风险传播路径。
1、进入skills/quarantine/目录,列出所有待审技能文件夹
2、运行命令:python tools/skills_guard.py --scan-dir ./skills/quarantine/ --trust-level community
3、检查audit.log中对应时间戳条目,确认是否存在“blocked due to data_leak_pattern”或“prompt_injection_confidence > 0.85”记录
四、触发PTY权限约束机制验证
PTY(伪终端)是Hermes Agent执行系统命令的核心通道,其安全策略包括黑名单拦截、人工审批与白名单豁免三类模式。验证需主动构造高危命令输入,观察是否被实时阻断或转入人工确认流程。
1、启动交互式终端:hermes terminal
2、在会话中输入已知黑名单命令,例如:rm -rf /或chmod 777 /etc/shadow
3、确认返回结果为拦截提示,且日志中包含“blocked by PTY security policy”字样
五、模拟外部API依赖链注入攻击
Hermes Agent完全信任LiteLLM等外部模型返回结果,若其版本低于1.83.0,可能因上游漏洞导致API响应被污染。本测试聚焦于验证Agent是否对不可信API输出实施内容过滤与结构校验。
1、临时修改.env文件,将LITE_LLM_BASE_URL指向可控测试服务地址
2、部署一个返回伪造JSON的Mock API,其中嵌入恶意JavaScript片段与超长base64编码字段
3、调用hermes terminal --command "echo test"并捕获原始响应体,检查是否出现未转义的<script>标签或未截断的payload字段</script>