漏洞  ·  2026-07-05

NousResearch hermes-agent — 流式推理标签过滤器大小写敏感性绕过(信息泄露)

漏洞Low 影响GlobalCVE-2026-14617
hermes-agent 的流式推理标签过滤器中的大小写敏感性缺陷允许精心编制的大小写变体通过过滤器,暴露应该从流中编辑的内容。发布于 NVD 2026 年 7 月 3 日,CVSS 3.1(低);攻击复杂性高。
可能泄露运维者意欲向最终用户隐藏的内部推理/思维链内容,在代理流式处理管道中存在狭隘但真实的信息泄露风险。
gateway/stream_consumer.py 中的 GatewayStreamConsumer._filter_and_accumulate 在过滤流式推理标签时未正确处理大小写敏感性,允许攻击者使用混合大小写标签绕过过滤器并泄露意欲隐藏的内容(例如,隐藏的思维链/推理令牌)。
NousResearch hermes-agent ≤ 2026.4.30
供应商已评估该缺陷但因维护成本拒绝专门修复;运维者不应仅依赖此过滤器来保持推理令牌的机密性。
SecurityVulnerability.io - CVE-2026-14617NVD - CVE-2026-14617
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →