무슨 일이 있었나
hermes-agent의 Discord 플랫폼 통합에는 allow-list 검사에서 부정확한 인증 결함이 포함되어 있으며, 이로 인해 승인되지 않은 Discord 사용자가 의도된 액세스 제한을 우회할 수 있습니다. 2026년 7월 4일 NVD에 발표, CVSS 5.6 (중간).
왜 중요한가
에이전트와 상호 작용할 수 있는 모든 승인되지 않은 사용자는 운영자가 의도한 액세스 경계를 우회하여 권한 있는 에이전트 작업을 잠재적으로 트리거하거나 allow-list에 있는 사용자로만 제한되어야 하는 대화 컨텍스트에 액세스할 수 있습니다.
공격 경로
gateway/platforms/discord.py의 DiscordAdapter._is_allowed_user 함수는 호출자를 부정확하게 인증하여 연결된 Discord 플랫폼 통합의 승인되지 않은 사용자가 allow-list에 있는 것처럼 에이전트와 상호 작용할 수 있게 합니다.
영향받는 시스템
NousResearch hermes-agent ≤ 0.15.2
완화 방안
확인된 수정 버전 없음. NousResearch에서 패치 대기 중인 Discord 통합 allow-list를 제한/감시하세요.