从 OpenClaw 到 Hermes新一代 AI Agent 架构到底强在哪本文所有技术细节均来自实际测试情况 部分细节来自 Hermes Agent 源码GitHub: NousResearch/hermes-agent一、你是不是也被 OpenClaw 伤过2026 年上半年AI 圈没有比OpenClaw龙虾 AI更魔幻的故事从 GitHub 36 万星、全民养虾到安全预警、集体退坑短短三个月走完“封神—翻车—降温”的完整周期。如果你用过 OpenClaw大概率踩过这些坑权限失控Agent 默认 root 权限rm -rf说跑就跑你连确认的机会都没有临时文件堆积跑一天任务磁盘莫名其妙少了好几G截图、日志、中间产物全堆着从不清理密钥裸奔API Key、Token 全部明文写入 .jsonl 日志谁看到谁拿走技能生态投毒ClawHub 上 10.8% 的插件是恶意的装一个就可能被反向控制任务死循环Agent 遇到不确定就反复重试永不退出token 烧到你心疼假完成Agent 说文件改好了实际没改说测试通过了实际没跑…如果你也曾遇到过上面的相同问题那么可以试试Hermes Agent或许将是一个不错的选择。二、Hermes Agent 是什么Hermes Agent 是Nous Research开源的 AI Agent 框架内置了一套完整的闭环学习机制完成复杂任务后自动提炼成可复用的技能后续使用中持续优化每 10 轮对话就 fork 一个后台 Agent 专门沉淀值得长期记住的信息还支持跨会话检索所有历史对话。是真正能越用越聪明的 AI Agent。和 OpenClaw 不同Hermes 不是一个人搞出来的 side project而是一家有模型、有训练框架、有资本支持的研究组织沿着 “模型→训练→Agent” 这条链路做的应用层产品。Nous Research 2023 年成立于纽约种子轮 520 万美元A 轮由 Paradigm 领投 5000 万美元估值 10 亿美元。Hermes 模型家族以工具调用能力著称Hermes Agent 是这条链路的末端围绕自家模型的工具调用能力构建的 Agent 框架。时间线上Hermes 于 2025 年 7 月启动内部开发2026 年 2 月 25 日正式开源比 OpenClaw小龙虾的面世时间晚了约 3 个月。开源首月Hermes 的 Star 数仅突破 1000初期声量与社区热度远不及同期的 OpenClaw。Hermes 的真正爆发始于 2026 年 4 月而这一时间点恰好与 OpenClaw 的技术危机与社区信任崩塌期高度重合。随着 OpenClaw 各类问题集中暴露、逐渐走下神坛Hermes 凭借更稳定的架构和更丰富的功能迅速填补了市场空白完成了从 “追赶者” 到 “新标杆” 的身份转换上演了一场典型的“旧王退位新王崛起”的行业更迭。三、OpenClaw 的坑Hermes 是怎么填的上面提到 OpenClaw 的那些问题Hermes 或多或少都有对应的解决方案有的问题彻底解决了有的虽然没解决但是也很大程度上进行了规避和缓解。1. 权限失控大幅缓解OpenClaw 怎么做的Agent 不做任何权限校验想干嘛干嘛无法无天夭寿啦Hermes 不能说完全解决了这个问题但它用了一套分层拦截架构把 “想干嘛干嘛” 变成了 “想干嘛得过几道关”第一道硬拦截Hardline。有些命令绝对不能执行谁说都没用——rm -rf /、格式化磁盘、fork bomb、关机重启。即使用户开了 yolo 模式自动批准权限这些命令照样被拦。第二道危险拦截DANGEROUS。有些命令不是绝对不行但需要你确认——比如chmod 777全局可写、curl | sh从网上拉脚本直接跑等等……这些命令触发后进入审批流程弹框让你选择 “执行一次/本次会话都允许/永久允许/拒绝”。审批有三种模式manual默认每个可疑命令都问你、smart辅助模型自动判断风险拿不准的再问你、off全放行但 Hardline 照样拦。总的来说Hermes 在 “能不能做” 这个维度上做得很好在 “能做多大范围” 上和 OpenClaw 一样——没有文件系统边界限制没有 allowed_paths/restricted_paths 这种沙箱。但即便如此Hermes 已实现了绝大多数场景下的可控性其权限安全水平远高于 OpenClaw。2. 临时文件堆积大幅缓解OpenClaw 怎么做的Agent 跑任务不停地生成临时文件——截图、日志、中间产物——而且从不清理。跑一天下来磁盘少了好几 G文件夹里一堆乱七八糟的文件也不知道哪些有用哪些没用删也不敢删。Hermes 同样会产生临时文件区别在于 Hermes 还设计了三层清理机制第一层用完即删。代码沙箱execute_code、终端会话的快照文件、临时中间文件等等——这些在代码的 try/finally 块里立刻删掉不会有残留。生命周期就是一次函数调用用完即走不留痕迹。第二层定时过期。浏览器截图 24 小时后删、录屏 72 小时后删、网关附件缓存 24 小时后删等。有意思的是Hermes 不专门起一个定时器来打扫——而是每次产生新文件时顺便扫描一下旧文件。用操作的自然频率驱动清理更加轻量化。第三层disk-cleanup 插件。前两层处理的是 Hermes 内部已知的临时文件但 Agent 自己也会创建业务临时文件——比如跑测试生成的 test 目录、cron 任务的输出文件等。disk-cleanup 插件通过 post_tool_call 钩子自动追踪这些文件按类别设 TTL。并且只清理 Hermes 自己的目录和 /tmp/hermes-* 下的文件绝不碰日志目录或系统目录。3. 密钥裸奔完全解决OpenClaw 怎么做的你的 API Key、Token 全部明文写在日志文件里任何能读到日志的人都能看到凭证。Hermes 的做法是所有文本经过日志、工具输出、流式响应时都会走一轮扫描碰到 API Keysk-、ghp_、AIza 等前缀只保留首尾几个字符方便调试中间用...替换做到信息脱敏包括碰到 JSON 里的敏感字段、Authorization 头、数据库连接串里的密码、私钥块、JWT token等等统统脱敏。保证日志里看不到任何完整的密钥Agent 也没法通过读日志来获取你的凭证。4. 技能生态投毒大幅缓解OpenClaw 怎么做的从 ClawHub 装个技能插件拿来就用没有任何安全检查。如果遇到恶意投毒的skill装一个就可能被反向控制。Hermes 的做法分两步先隔离再扫描。第一步从社区下载的技能先进隔离区quarantine不直接安装到技能目录里。就像快递到了先放门口消毒不直接拿进屋。第二步进隔离区后跑一轮静态扫描检查 6 大类威胁包括数据外泄、注入攻击、破坏性操作、持久化植入、通信漏洞以及代码混淆等。每类都有几十条检测规则来保证安全性。虽然静态扫描不是万能的仍然有很多的安全漏洞无法完全排除但是大部分的安全问题已经可以在这一步做到很好的规避。从 “拿来就用” 到 “先隔离再扫描”已经是本质性的进步。5. 任务死循环大幅缓解OpenClaw 怎么做的Agent 遇到不确定就反复重试停不下来token 烧到你心疼你只能手动/stop。Hermes 用了两道防线预算制 护栏制。预算制用完就停。主 Agent 默认最多跑 90 轮调用子 Agent 50 轮到点就停。并且不是冷冰冰地截断而是在预算耗尽前会给你一次 “最后陈述” 的机会Agent 总结当前进展、解释还需要什么、告诉你下次可以怎么继续。你拿到的是有意义的进度报告不是一句 冷冰冰的 “budget exhausted”。护栏制检测 “在做但没进展”。90 轮硬上限解决了无限循环但没解决低效循环——Agent 可能在 90 轮内每次做不同的事但任务完全没有推进。护栏制针对这种情况设计了三种场景a. 同一个工具、同一种错误连续失败精确失败检测→ 警告b. 同一个工具、不同错误连续失败同工具失败检测→ 警告c. 工具都成功了但任务没推进幂等无进展检测→ 警告。三层护栏默认只警告不阻断有些看似没进展的循环其实是合理的这些不该被误杀所以只提醒不强停。6. 假完成大幅缓解OpenClaw 怎么做的Agent 说 “文件改好了” 你一看没改说 “测试通过了” 其实没测。什么都没干回复却说得跟真的一样。这其实是所有 AI Agent 的通病。Hermes 在 “文件修改” 这个最常见的假完成维度上做了系统性防护思路很巧妙——抓工具返回值。当 Agent 调用 write_file 或 patch 修改文件时Hermes 自动检查工具的返回结果。write_file 返回写入的字节数如果是 0 就说明没写进去。四、Hermes 的核心理念–自我进化前面那些能力其实都还是在补 OpenClaw 的短板。而 Hermes 真正最大的不同是智能体的进化能力。Hermes 把 “自我进化” 直接做进了 Agent 的主循环里。这点OpenClaw 虽然也尝试过但两者的思路其实完全不同。OpenClaw有自我进化但更像外挂插件OpenClaw 的自我进化主要来自 EvoMap 这类插件。工作方式很简单后台定期扫描聊天日志分析错误和行为模式然后让 LLM 思考“哪里可以优化”再去修改 Memory、Skill 或 Prompt。这个方向本身没问题但它有一个很明显的特点它是独立于主 Agent 之外运行的。也就是说主 Agent 在前台聊天EvoMap 在后台看日志学习不是对话过程的一部分而是一次“事后复盘”。而且 EvoMap 本质上还是 Prompt 驱动把日志丢给 LLM让它自己想怎么改。系统并没有明确区分哪些是用户配置、哪些是 AI 自己生成的内容因此时间久了很容易出现“越学越乱”的问题。所以 OpenClaw 的自我进化更像一个外挂式的反思系统而不是 Agent 架构里的原生能力。Hermes把“学习”做成了对话循环的一部分Hermes 的思路完全不同。它不是额外挂一个“反思插件”而是直接把学习机制写进了 Agent 主循环。Hermes 在对话过程中会定期 fork 一个后台 Review Agent。这个后台 Agent 会继承当前对话历史和上下文但权限被严格限制。它只能管理 Memory 和 Skills不能执行命令、不能改系统、不能调用危险工具。也就是说Hermes 从架构上把“学习”和“执行”彻底隔离了。后台 Agent 的职责很明确只做两件事第一提取长期记忆。比如用户偏好、工作习惯、输出风格或者“希望以后怎么回答”。第二总结技能。比如某种固定工作流、调试技巧、用户反复纠正的格式要求或者某类问题的稳定解决方案。Hermes 会把这些内容结构化地沉淀成Memory记录“知道什么”Skill记录“怎么做”这样下次对话时系统会自动加载这些能力实现真正的持续学习。更关键的是Hermes 能区分“谁写的”这是 Hermes 非常重要的一个设计。Hermes 会记录每个 Skill 的来源用户创建的AI 后台自动生成的后面的 Curator技能维护系统只会整理 AI 自己生成的内容不会碰用户手写的 Skill。这意味着AI 可以持续学习但不会污染用户自己的配置空间。很多 Agent 系统的问题其实不是“不会学习”而是学久了以后系统越来越混乱。Hermes 专门设计了一层 Curator定期合并重复技能、归档长期不用的内容避免系统无限膨胀。五、给你一个用 Hermes 的理由OpenClaw 曾经让很多人第一次真正体验到 “AI Agent” 的魅力但它的问题也同样明显权限失控、日志泄露、任务死循环……很多时候你不是在“用 Agent”而是在和它斗智斗勇。而 Hermes 的思路明显更成熟一些。它没有一味追求“更激进的自主性”而是把重点放在了安全边界、长期稳定性以及真正可持续的自我进化能力上。很多 OpenClaw 的老问题Hermes 不一定全部彻底解决了但至少都给出了体系化的缓解方案。更重要的是Hermes 的“ 学习能力” 终于不再是一个外挂插件而是真正成为了 Agent 架构的一部分。它会记住你的习惯、沉淀工作流、维护技能库而且不会越学越乱。如果你现在还在用 OpenClaw并且也遇到过文中提到的那些问题不妨试试 Hermes。现在Hermes 还支持 OpenClaw 的配置和技能迁移迁移成本其实并不高。当然最后还有一个很现实的理由谁不希望自己的 AI 助手从一只红色小龙虾变成一个好看的小姑娘呢
从 OpenClaw 到 Hermes:新一代 AI Agent 架构解析
从 OpenClaw 到 Hermes新一代 AI Agent 架构到底强在哪本文所有技术细节均来自实际测试情况 部分细节来自 Hermes Agent 源码GitHub: NousResearch/hermes-agent一、你是不是也被 OpenClaw 伤过2026 年上半年AI 圈没有比OpenClaw龙虾 AI更魔幻的故事从 GitHub 36 万星、全民养虾到安全预警、集体退坑短短三个月走完“封神—翻车—降温”的完整周期。如果你用过 OpenClaw大概率踩过这些坑权限失控Agent 默认 root 权限rm -rf说跑就跑你连确认的机会都没有临时文件堆积跑一天任务磁盘莫名其妙少了好几G截图、日志、中间产物全堆着从不清理密钥裸奔API Key、Token 全部明文写入 .jsonl 日志谁看到谁拿走技能生态投毒ClawHub 上 10.8% 的插件是恶意的装一个就可能被反向控制任务死循环Agent 遇到不确定就反复重试永不退出token 烧到你心疼假完成Agent 说文件改好了实际没改说测试通过了实际没跑…如果你也曾遇到过上面的相同问题那么可以试试Hermes Agent或许将是一个不错的选择。二、Hermes Agent 是什么Hermes Agent 是Nous Research开源的 AI Agent 框架内置了一套完整的闭环学习机制完成复杂任务后自动提炼成可复用的技能后续使用中持续优化每 10 轮对话就 fork 一个后台 Agent 专门沉淀值得长期记住的信息还支持跨会话检索所有历史对话。是真正能越用越聪明的 AI Agent。和 OpenClaw 不同Hermes 不是一个人搞出来的 side project而是一家有模型、有训练框架、有资本支持的研究组织沿着 “模型→训练→Agent” 这条链路做的应用层产品。Nous Research 2023 年成立于纽约种子轮 520 万美元A 轮由 Paradigm 领投 5000 万美元估值 10 亿美元。Hermes 模型家族以工具调用能力著称Hermes Agent 是这条链路的末端围绕自家模型的工具调用能力构建的 Agent 框架。时间线上Hermes 于 2025 年 7 月启动内部开发2026 年 2 月 25 日正式开源比 OpenClaw小龙虾的面世时间晚了约 3 个月。开源首月Hermes 的 Star 数仅突破 1000初期声量与社区热度远不及同期的 OpenClaw。Hermes 的真正爆发始于 2026 年 4 月而这一时间点恰好与 OpenClaw 的技术危机与社区信任崩塌期高度重合。随着 OpenClaw 各类问题集中暴露、逐渐走下神坛Hermes 凭借更稳定的架构和更丰富的功能迅速填补了市场空白完成了从 “追赶者” 到 “新标杆” 的身份转换上演了一场典型的“旧王退位新王崛起”的行业更迭。三、OpenClaw 的坑Hermes 是怎么填的上面提到 OpenClaw 的那些问题Hermes 或多或少都有对应的解决方案有的问题彻底解决了有的虽然没解决但是也很大程度上进行了规避和缓解。1. 权限失控大幅缓解OpenClaw 怎么做的Agent 不做任何权限校验想干嘛干嘛无法无天夭寿啦Hermes 不能说完全解决了这个问题但它用了一套分层拦截架构把 “想干嘛干嘛” 变成了 “想干嘛得过几道关”第一道硬拦截Hardline。有些命令绝对不能执行谁说都没用——rm -rf /、格式化磁盘、fork bomb、关机重启。即使用户开了 yolo 模式自动批准权限这些命令照样被拦。第二道危险拦截DANGEROUS。有些命令不是绝对不行但需要你确认——比如chmod 777全局可写、curl | sh从网上拉脚本直接跑等等……这些命令触发后进入审批流程弹框让你选择 “执行一次/本次会话都允许/永久允许/拒绝”。审批有三种模式manual默认每个可疑命令都问你、smart辅助模型自动判断风险拿不准的再问你、off全放行但 Hardline 照样拦。总的来说Hermes 在 “能不能做” 这个维度上做得很好在 “能做多大范围” 上和 OpenClaw 一样——没有文件系统边界限制没有 allowed_paths/restricted_paths 这种沙箱。但即便如此Hermes 已实现了绝大多数场景下的可控性其权限安全水平远高于 OpenClaw。2. 临时文件堆积大幅缓解OpenClaw 怎么做的Agent 跑任务不停地生成临时文件——截图、日志、中间产物——而且从不清理。跑一天下来磁盘少了好几 G文件夹里一堆乱七八糟的文件也不知道哪些有用哪些没用删也不敢删。Hermes 同样会产生临时文件区别在于 Hermes 还设计了三层清理机制第一层用完即删。代码沙箱execute_code、终端会话的快照文件、临时中间文件等等——这些在代码的 try/finally 块里立刻删掉不会有残留。生命周期就是一次函数调用用完即走不留痕迹。第二层定时过期。浏览器截图 24 小时后删、录屏 72 小时后删、网关附件缓存 24 小时后删等。有意思的是Hermes 不专门起一个定时器来打扫——而是每次产生新文件时顺便扫描一下旧文件。用操作的自然频率驱动清理更加轻量化。第三层disk-cleanup 插件。前两层处理的是 Hermes 内部已知的临时文件但 Agent 自己也会创建业务临时文件——比如跑测试生成的 test 目录、cron 任务的输出文件等。disk-cleanup 插件通过 post_tool_call 钩子自动追踪这些文件按类别设 TTL。并且只清理 Hermes 自己的目录和 /tmp/hermes-* 下的文件绝不碰日志目录或系统目录。3. 密钥裸奔完全解决OpenClaw 怎么做的你的 API Key、Token 全部明文写在日志文件里任何能读到日志的人都能看到凭证。Hermes 的做法是所有文本经过日志、工具输出、流式响应时都会走一轮扫描碰到 API Keysk-、ghp_、AIza 等前缀只保留首尾几个字符方便调试中间用...替换做到信息脱敏包括碰到 JSON 里的敏感字段、Authorization 头、数据库连接串里的密码、私钥块、JWT token等等统统脱敏。保证日志里看不到任何完整的密钥Agent 也没法通过读日志来获取你的凭证。4. 技能生态投毒大幅缓解OpenClaw 怎么做的从 ClawHub 装个技能插件拿来就用没有任何安全检查。如果遇到恶意投毒的skill装一个就可能被反向控制。Hermes 的做法分两步先隔离再扫描。第一步从社区下载的技能先进隔离区quarantine不直接安装到技能目录里。就像快递到了先放门口消毒不直接拿进屋。第二步进隔离区后跑一轮静态扫描检查 6 大类威胁包括数据外泄、注入攻击、破坏性操作、持久化植入、通信漏洞以及代码混淆等。每类都有几十条检测规则来保证安全性。虽然静态扫描不是万能的仍然有很多的安全漏洞无法完全排除但是大部分的安全问题已经可以在这一步做到很好的规避。从 “拿来就用” 到 “先隔离再扫描”已经是本质性的进步。5. 任务死循环大幅缓解OpenClaw 怎么做的Agent 遇到不确定就反复重试停不下来token 烧到你心疼你只能手动/stop。Hermes 用了两道防线预算制 护栏制。预算制用完就停。主 Agent 默认最多跑 90 轮调用子 Agent 50 轮到点就停。并且不是冷冰冰地截断而是在预算耗尽前会给你一次 “最后陈述” 的机会Agent 总结当前进展、解释还需要什么、告诉你下次可以怎么继续。你拿到的是有意义的进度报告不是一句 冷冰冰的 “budget exhausted”。护栏制检测 “在做但没进展”。90 轮硬上限解决了无限循环但没解决低效循环——Agent 可能在 90 轮内每次做不同的事但任务完全没有推进。护栏制针对这种情况设计了三种场景a. 同一个工具、同一种错误连续失败精确失败检测→ 警告b. 同一个工具、不同错误连续失败同工具失败检测→ 警告c. 工具都成功了但任务没推进幂等无进展检测→ 警告。三层护栏默认只警告不阻断有些看似没进展的循环其实是合理的这些不该被误杀所以只提醒不强停。6. 假完成大幅缓解OpenClaw 怎么做的Agent 说 “文件改好了” 你一看没改说 “测试通过了” 其实没测。什么都没干回复却说得跟真的一样。这其实是所有 AI Agent 的通病。Hermes 在 “文件修改” 这个最常见的假完成维度上做了系统性防护思路很巧妙——抓工具返回值。当 Agent 调用 write_file 或 patch 修改文件时Hermes 自动检查工具的返回结果。write_file 返回写入的字节数如果是 0 就说明没写进去。四、Hermes 的核心理念–自我进化前面那些能力其实都还是在补 OpenClaw 的短板。而 Hermes 真正最大的不同是智能体的进化能力。Hermes 把 “自我进化” 直接做进了 Agent 的主循环里。这点OpenClaw 虽然也尝试过但两者的思路其实完全不同。OpenClaw有自我进化但更像外挂插件OpenClaw 的自我进化主要来自 EvoMap 这类插件。工作方式很简单后台定期扫描聊天日志分析错误和行为模式然后让 LLM 思考“哪里可以优化”再去修改 Memory、Skill 或 Prompt。这个方向本身没问题但它有一个很明显的特点它是独立于主 Agent 之外运行的。也就是说主 Agent 在前台聊天EvoMap 在后台看日志学习不是对话过程的一部分而是一次“事后复盘”。而且 EvoMap 本质上还是 Prompt 驱动把日志丢给 LLM让它自己想怎么改。系统并没有明确区分哪些是用户配置、哪些是 AI 自己生成的内容因此时间久了很容易出现“越学越乱”的问题。所以 OpenClaw 的自我进化更像一个外挂式的反思系统而不是 Agent 架构里的原生能力。Hermes把“学习”做成了对话循环的一部分Hermes 的思路完全不同。它不是额外挂一个“反思插件”而是直接把学习机制写进了 Agent 主循环。Hermes 在对话过程中会定期 fork 一个后台 Review Agent。这个后台 Agent 会继承当前对话历史和上下文但权限被严格限制。它只能管理 Memory 和 Skills不能执行命令、不能改系统、不能调用危险工具。也就是说Hermes 从架构上把“学习”和“执行”彻底隔离了。后台 Agent 的职责很明确只做两件事第一提取长期记忆。比如用户偏好、工作习惯、输出风格或者“希望以后怎么回答”。第二总结技能。比如某种固定工作流、调试技巧、用户反复纠正的格式要求或者某类问题的稳定解决方案。Hermes 会把这些内容结构化地沉淀成Memory记录“知道什么”Skill记录“怎么做”这样下次对话时系统会自动加载这些能力实现真正的持续学习。更关键的是Hermes 能区分“谁写的”这是 Hermes 非常重要的一个设计。Hermes 会记录每个 Skill 的来源用户创建的AI 后台自动生成的后面的 Curator技能维护系统只会整理 AI 自己生成的内容不会碰用户手写的 Skill。这意味着AI 可以持续学习但不会污染用户自己的配置空间。很多 Agent 系统的问题其实不是“不会学习”而是学久了以后系统越来越混乱。Hermes 专门设计了一层 Curator定期合并重复技能、归档长期不用的内容避免系统无限膨胀。五、给你一个用 Hermes 的理由OpenClaw 曾经让很多人第一次真正体验到 “AI Agent” 的魅力但它的问题也同样明显权限失控、日志泄露、任务死循环……很多时候你不是在“用 Agent”而是在和它斗智斗勇。而 Hermes 的思路明显更成熟一些。它没有一味追求“更激进的自主性”而是把重点放在了安全边界、长期稳定性以及真正可持续的自我进化能力上。很多 OpenClaw 的老问题Hermes 不一定全部彻底解决了但至少都给出了体系化的缓解方案。更重要的是Hermes 的“ 学习能力” 终于不再是一个外挂插件而是真正成为了 Agent 架构的一部分。它会记住你的习惯、沉淀工作流、维护技能库而且不会越学越乱。如果你现在还在用 OpenClaw并且也遇到过文中提到的那些问题不妨试试 Hermes。现在Hermes 还支持 OpenClaw 的配置和技能迁移迁移成本其实并不高。当然最后还有一个很现实的理由谁不希望自己的 AI 助手从一只红色小龙虾变成一个好看的小姑娘呢
