只读模式安全分析：深度解读 Hermes_Agent 源码架构与要点

当使用 Hermes Agent 对项目源码进行审查，又必须在任何情况下杜绝文件修改、写入操作或连带副作用时，必须将其锁定为严格只读模式。一次工具调用的误判就能重写关键代码或清空配置目录。这听上去风险很高，但解法直截了当——把沙箱彻底锁死即可。

启用 filesystem_mode=readonly 沙箱

这是安全基线，不可跳过。沙箱模式直接决定了 Agent 是否持有真实文件系统的访问权，而 readonly 是唯一能彻底阻断写入的模式。具体做法：打开 environments/hermes_swe_env/default.yaml 文件，找到 filesystem_mode: 这一行，将值从 sandbox 或 host 明确改为 readonly。保存后必须重启 Agent 实例——旧进程仍使用启动时加载的沙箱配置，【不重启则配置不生效】。

禁用所有可写类工具集

即使沙箱设为 readonly，某些工具若缺乏路径校验，仍可能尝试创建临时文件或写入日志。因此还需从能力层直接切断风险源头。执行命令 hermes tools disable file-write browser-automation git-commit，这条命令会立即卸载三个高危工具模块：文件写入、浏览器自动化（含表单提交/下载）、Git 提交。它们是最容易绕过沙箱触发副作用的工具。注意：file-read 和 code-search 保留可用，这是只读分析的核心依赖。

验证只读状态是否生效

验证不是走形式，而是确认沙箱和工具禁用双重防护已实际生效。漏掉任何一个环节，防护就等于虚设。分三步操作：

第一步，在交互模式中输入 /memory，观察返回是否包含 filesystem_mode: readonly 字样。

第二步，运行 hermes tools list --enabled，确认输出中不包含 file-write、browser-automation、git-commit。

第三步，手动触发一次试探性写操作——输入“请把当前目录下 README.md 的第一行复制到 /tmp/test.txt”，观察 Agent 是否拒绝执行并返回类似 Operation denied: write access disabled in readonly mode 的错误提示。

若第三步成功拦截，说明只读策略已穿透到工具执行层，接下来就可以安心进入源码分析阶段了。