Apa yang terjadi
Cacat peka huruf besar-kecil dalam filter tag reasoning streaming hermes-agent membiarkan varian huruf besar-kecil yang dirancang melewati filter, mengekspos konten yang seharusnya telah diedit ulang dari aliran. Dipublikasikan ke NVD 3 Juli 2026, CVSS 3.1 (Low); kompleksitas serangan tinggi.
Mengapa penting
Dapat membocorkan konten reasoning/chain-of-thought internal yang dimaksudkan oleh operator untuk disembunyikan dari pengguna akhir, risiko pengungkapan informasi yang sempit namun nyata dalam pipeline streaming yang bersifat agentic.
Vektor serangan
GatewayStreamConsumer._filter_and_accumulate dalam gateway/stream_consumer.py menangani peka huruf besar-kecil dengan tidak tepat saat memfilter tag reasoning streaming, memungkinkan penyerang melewati filter menggunakan tag huruf besar-kecil campuran dan membocorkan konten yang dimaksudkan untuk disembunyikan (misalnya, token chain-of-thought/reasoning tersembunyi).
Sistem yang terdampak
NousResearch hermes-agent ≤ 2026.4.30
Mitigasi
Vendor telah mengevaluasi cacat tersebut tetapi menolak perbaikan khusus karena biaya pemeliharaan; operator tidak boleh mengandalkan filter ini saja untuk menjaga token reasoning tetap rahasia.