中文 
没毛衣的蜜蜂
deepin
2026-06-17 08:32 deepin 以后可以远程办公了
Reply Like 0 View the author
All Replies
#1
晚秋(lateautumn)
2026-06-17 08:44 Moderator
什么软件?
Reply Like 0 View the author
fanguanqun
deepin
2026-06-17 09:30 deepin 核心问题(不是小bug,是架构性矛盾):
| 问题 | 具体表现 |
|---|---|
| 🔴 本地默认模式 = 给LLM你本机权限 | 默认 terminal.backend: local,Agent跑在哪台机器上,LLM生成的代码就能碰那台机的文件系统——包括你的 ~/.ssh/、~/.env、浏览器cookie等 |
| 🔴 容器模式反而跳过审批 | Docker/Singularity后端会跳过危险命令审批检查——因为"容器本身就是边界"。但如果容器没配好隔离,等于裸奔 |
| 🔴 Skill自动生成 = 持久化注入入口 | 自动创建的 .skill文件存在 ~/.hermes/skills/,下次启动自动加载执行——恶意网页/文档里的隐藏指令如果被记入memory,可能通过retrieved memory触发prompt injection |
| 🔴 多个CVE、部分未修补 | CVE-2026-10222(config注入RCE)、CVE-2026-9368(沙箱逃逸读env)、CVE-2026-9366(prompt injection via _scan_context_content)等——有公开PoC,且部分披露vendor未响应 |
| 🔴 公网裸奔案例 | 有人把Gateway端口直接映射到公网IP、不加认证,导致全网可扫到完全无保护的实例 |
Reply Like 0 View the author
babyfengfjx
2026-06-17 14:37 Super Moderator
CQA
以后可以7*24H工作了
Reply Like 0 View the author
Please sign in first
hermes真的好用,今天成功接入微信~~