# Hermes Agent CaMeL

> 仓库地址：https://github.com/nativ3ai/hermes-agent-camel
> 作者/组织：nativ3ai
> 成熟度：beta
> 分析日期：2026-04-15

## 一句话总结
将 Google CaMeL 信任边界机制集成到 Hermes Agent 运行时的安全加固 fork，防御 indirect prompt injection 攻击。

## 项目定位与架构
Hermes Agent CaMeL 解决了 LLM agent 面临的核心安全威胁——indirect prompt injection。当 agent 从 tool output、网页内容、文件或 MCP 数据中检索信息时，恶意内容可能被模型当作控制指令执行。CaMeL 通过区分 trusted 和 untrusted 数据通道来阻断这一攻击路径。

架构在 Hermes Agent 基础上增加五层安全机制：(1) **Trusted operator plan** 仅从真实用户交互中提取；(2) **Untrusted data channel** 为 tool output 添加 provenance 元数据包装；(3) **Security envelope** 每轮注入系统上下文，描述目标、能力和不可信来源；(4) **Capability gating** 对 side-effecting tool 进行操作员计划验证；(5) **Provider hygiene** API 调用前清除内部元数据。

## 关键技术特性
- **三种运行模式**：enforce（完整 CaMeL）/ monitor（记录但不阻断）/ legacy（CaMeL 禁用）
- **能力门控**：terminal 执行、文件修改、持久化记忆写入、外部消息、计划任务、skill 修改和委托、浏览器操作均需授权
- **Provenance-aware wrapping**：所有 tool output 标记来源信息
- **完备测试**：205 个测试通过，包含间接数据泄露、消息发送、记忆写入和浏览器操作的阻断验证
- **开发者友好**：Python 3.11+ / uv / pytest，标准化开发流程

## 设计亮点与创新
基于 Google CaMeL 论文的学术研究成果，将理论安全模型工程化到实际 agent 运行时中。三种模式（enforce / monitor / legacy）的渐进式采用策略降低了迁移门槛。205 个测试用例覆盖了主要攻击向量，是 agent 安全领域少有的带完备测试的项目。

## 局限性与风险
作为 fork，需持续跟进上游 Hermes Agent 的更新。安全模型增加了运行时开销和复杂度。capability gating 可能在某些合法场景下产生 false positive。CaMeL 论文中的威胁模型假设可能不覆盖所有真实攻击场景。

## 与生态系统的关联
是 Hermes Agent 安全加固的最重要 fork，直接解决了 agent 生态面临的 prompt injection 风险。与所有使用外部 tool / MCP / web 数据的 Hermes 应用相关。其安全模式可考虑上游合并到 Hermes 核心。