취약점  ·  2026-07-05

NousResearch hermes-agent — Streaming Reasoning Tag Filter Case-Sensitivity 우회 (정보 공개)

취약점Low 영향도GlobalCVE-2026-14617
hermes-agent의 streaming reasoning tag filter에서의 대소문자 구분 결함으로 인해 세밀하게 제작된 대소문자 변형이 필터를 통과하여 스트림에서 편집하지 않아야 할 콘텐츠가 노출됩니다. 2026년 7월 3일 NVD에 발표, CVSS 3.1 (낮음). 공격 복잡도는 높음입니다.
운영자가 최종 사용자로부터 숨기려고 의도한 내부 추론/chain-of-thought 콘텐츠가 유출될 수 있으며, 이는 agentic streaming 파이프라인에서 좁지만 실제 정보 공개 위험입니다.
gateway/stream_consumer.py의 GatewayStreamConsumer._filter_and_accumulate는 streaming reasoning tag를 필터링할 때 대소문자 구분을 부정확하게 처리하여 공격자가 혼합 대소문자 태그를 사용하여 필터를 우회하고 숨겨진 콘텐츠(예: 숨겨진 chain-of-thought/reasoning 토큰)를 유출할 수 있게 합니다.
NousResearch hermes-agent ≤ 2026.4.30
공급업체는 결함을 평가했으나 유지보수 비용으로 인해 전용 수정을 거부했습니다. 운영자는 이 필터에만 의존하여 reasoning 토큰을 기밀로 유지하면 안 됩니다.
SecurityVulnerability.io - CVE-2026-14617NVD - CVE-2026-14617
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →