事件经过
hermes-agent 的 Discord 平台集成在其允许列表检查中包含不当身份验证缺陷,允许未授权的 Discord 用户绕过预期的访问限制。发布于 NVD 2026 年 7 月 4 日,CVSS 5.6(中)。
影响分析
任何能够与代理交互的未授权用户都会绕过运维者的预期访问边界,可能触发特权代理操作或访问意图仅限于允许列表用户的对话上下文。
攻击途径
gateway/platforms/discord.py 中的 DiscordAdapter._is_allowed_user 函数身份验证不当,允许连接的 Discord 平台集成上的未授权用户与代理交互,就像被允许列表包含一样。
受影响系统
NousResearch hermes-agent ≤ 0.15.2
缓解措施
未确认有修复版本;在等待 NousResearch 补丁期间限制/审计 Discord 集成允许列表。