1. 内网部署不是“装上就跑”,而是等保2.0合规的起点Hermes Agent 在内网落地的第一步,往往不是写第一个智能体,而是被安全扫描平台标红的那一刻——“未授权端口暴露”、“敏感配置明文存储”、“日志未脱敏”、“无审计追踪路径”。我接手的三个金融与政务类内网项目,平均在部署后第3.2天触发首次安全告警。这不是工具的问题,而是把云上开箱即用的默认配置直接搬进内网时,天然踩中了等保2.0第三级“安全计算环境”和“安全管理中心”的硬性条款。很多人以为“内网=天然安全”,但等保2.0明确要求:内网系统必须具备与外网同等强度的身份鉴别、访问控制、安全审计与剩余信息保护能力。Hermes Agent 的默认行为——比如自动加载.env中的 API Key、将soul.md元数据写入工作目录、通过http://localhost:8080暴露管理接口——在等保语境下,每一项都是可被判定为“高风险项”的事实依据。更关键的是,这些配置错误不会立刻报错,它会安静地潜伏在日志里、缓存中、临时文件夹下,直到某次渗透测试或等保测评时被逐条拎出。我们团队曾在一个省级政务平台项目中,因hermes agent默认启用的--dev模式未关闭,导致/debug/pprof/接口暴露,被测评机构直接扣掉 15 分(占“安全计算环境”子项总分的 30%)。本文不讲“怎么安装 Hermes Agent”,因为curl -L https://get.hermes.dev | bash这一