Hermes Agent — Top 12 AttackPath (ByRiskscore v1.5)

ATA Ontology v4.9 · RiskScore v1.5 注入分/危害分分离 · Sink链难度迭乘 · 2026-04-21
ByRiskscore_v1.5 · 2026-04-21

RiskScore v1.5 公式

注入分 = min(5, 植入可达性(accessibility) × 触发广度(trigger) × 5) 危害分 = min(10, 危害等级 × 影响范围 × (∏ d_Sinkᵢ) × 10) Novelty = Breakthrough(0~3) + Rarity(-1~2) Total = 注入分 + 危害分 + Novelty ∈ [-2, 20] d_Sinkᵢ = max(0, 10 + 逃逸 + 精度 + 先验 + 感知 + 诱导) / 10 ∏ d_Sinkᵢ = d_Sink₀(注入) × d_Sink₁ × ... × d_Sinkₙ(全链迭乘) 注:注入分纯度量到达广度;感知因子(v1.5)扩展含渠道保真衰减+LLM可信度 accessibility: SUP=0.2(供应链·APT级·壁垒最高) | PUB=1.2 | REG=1.0 | AUTH=0.8 | ITM=0.6 | SEL=0.4 | ISO=0.1

三维得分排名(可切换维度)

[总分 Total] [注入分] [危害分] [Novelty]
排名 AP-ID 攻击名称 注入分 危害分 Novelty 总分

投毒入口可达性分析

ID 攻击名称 PoisoningEntry 可达性级别 系数 外部可达 说明
AP-01 MEMORY.md 投毒 受控网页(WebSitePage) PUB 1.2 攻击者公开托管恶意网页,Agent 浏览时触发
AP-10 LiteLLM 供应链投毒 PyPI 恶意包(typosquatting) SUP 0.2 供应链层(壁垒最高·APT级),需真实发布恶意包能力,分值最低
AP-12 自进化路径劫持→每日外发 攻击者托管含隐藏 AI 指令的网页 PUB 1.2 伪装成合法文档/博客/README,污染 USER.md 认知画像,Agent 主动建立每日 Cron 外发
AP-04 MCP 响应注入 攻击者自营恶意 MCP Server REG 1.0 用户主动安装攻击者控制的 MCP 服务器;COMP 场景另行建模
AP-09 浏览器注入 钓鱼网页(PUB · T-BROAD) PUB 1.2 攻击者公开托管钓鱼页面,最易大规模触发
AP-02 技能供应链篡改 GitHub 公开仓库恶意 SKILL.md PUB 1.2 攻击者控制公开 GitHub 仓库,植入恶意技能文件
AP-05 SubAgent 权限绕过 Slack 频道消息 CHAN 0.9 需能向用户 Slack 频道发消息,非完全公开,系数降至 0.9
AP-03 上下文文件注入(AGENTS.md) 外部仓库维护者预植 AGENTS.md PUB 1.2 攻击者控制公开仓库,打开项目即自动触发(T-AUTO)
AP-08 网关弱鉴权直接注入 未认证 webhook / API 请求 PUB 1.2 外部任意方可直接向弱鉴权网关发送请求注入指令
AP-07 Cron 持久化攻击 含隐藏指令的网页(browse_web) PUB 1.2 攻击者托管含隐藏 Cron 指令的页面,Agent 浏览触发
AP-11 邮件投毒→双持久后门 攻击者发送的恶意邮件 PUB 1.2 任何人可发邮件,邮件Skill自动处理
AP-06 Skill 信任盲区 → 恶意Skill持久化 攻击者发布的恶意 Skill(REG) REG 1.0 用户主动安装攻击者控制的 Skill,Skill 信任边界被突破

排名总览(v1.5)

排名 ID 攻击名称 Total v1.5 注入分 危害分 Novelty 作用域 Source 槽位 Sink 类型
1 AP-10 LiteLLM 供应链 → Python进程级后门 15.20 1.20 10.00 4.0 Native model_routing_context SK-EXEC
2 AP-09 浏览器注入 → 会话数据外发 12.60 5.00 5.60 2.0 Native tool_call_result SK-NET
3 AP-06 Skill信任盲区 → 恶意Skill持久化 12.35 4.05 3.30 5.0 Extended skills_guidance SK-PERSIST
4 AP-03 上下文文件注入(AGENTS.md) 12.32 4.05 5.27 3.0 Extended context_files SK-EXEC+NET
5 AP-01 MEMORY.md 记忆投毒 → 跨会话数据外发 12.19 5.00 3.19 4.0 Native tool_call_result SK-MEMO
6 AP-04 MCP 响应注入 → 系统提示劫持 11.99 5.00 3.99 3.0 Extended tool_call_result SK-NET
7 AP-05 SubAgent 权限绕过 11.82 5.00 3.82 3.0 Extended delegate_context SK-AGENT
8 AP-07 Cron 持久化攻击 11.82 3.60 3.96 4.26 Native tool_call_result SK-PERSIST
9 AP-02 技能供应链篡改 11.78 5.00 3.78 3.0 Extended skills_guidance SK-EXEC
10 AP-08 网关弱鉴权直接注入 11.20 5.00 4.20 2.0 Extended gateway_message_context SK-EXEC
11 AP-11 邮件投毒 → 双持久后门 10.85 5.00 0.85 5.0 Extended tool_call_result SK-MEMO+PERSIST
12 AP-12 自进化劫持 → USER.md认知投毒→每日外发 10.74 5.00 0.74 5.0 Extended tool_call_result SK-MEMO(USER)+SK-PERSIST+SK-NET

快速导航

详细攻击路径

每条路径包含:完整节点序列 · RiskScore v1.5 分值 · SecurityChecker 覆盖 · 测试构建要点

#1

LiteLLM 供应链 → Python进程级后门

AP-10 · Native · ByRiskscore_v1.5
15.20
/ 20
注:1.20 危:10.00 Nov:4.0
注入分1.20(SUP=0.2,供应链壁垒最高) 危害分10.00(RCE 进程级,危害封顶) Novelty4.00(Breakthrough 3 + Rarity 1) Source槽位PromptTemplate.model_routing_context Sink类型SK-EXEC(.pth 自动执行)
PoisoningEntryPyPI 恶意包(typosquatting) 投毒渠道SUP(供应链)· T-ANY AffectedAgent 进程(AF-TOOL) SecurityChecker供应链层无覆盖 Intent TripleUI-ModelLoad · SI-PyExec · AI-SupplyChain
AttackPath 节点序列
PoisoningEntry
PyPI 恶意包 Source
model_routing_context Sink
.pth 执行 EventResult Affected
Agent 进程 Harm
LeakToEvent · 进程启动自动外发凭据+代码
SecurityChecker 覆盖
供应链层:无检查器 模型路由:配置校验(部分) .pth 执行:无拦截
v1.5 排名跃升至 #1:注入分仅1.20(供应链门槛高)但危害分满分10.00(进程级RCE),总分15.20远超第二名
#2

浏览器注入(会话数据外发)

AP-09 · Native · ByRiskscore_v1.5
12.60
/ 20
注:5.00 危:5.60 Nov:2.0
注入分5.00(PUB=1.2 · T-BROAD,最易触发) 危害分5.60 Novelty2.00 Source槽位PromptTemplate.tool_call_result Sink类型SK-NET(消息发送/命令执行)
PoisoningEntry钓鱼网页(PUB · T-BROAD) Extended 资产用户 Slack/email 账号(清洁) AffectedShortTermMemory(AF-CONTEXT) 核心特点最易触发,大规模部署首选测试 Intent TripleUI-WebBrowse · SI-MsgSend · AI-BrowserInject
AttackPath 节点序列
PoisoningEntry
钓鱼网页 Source
tool_call_result Sink
send_message EventResult Affected
ShortTermMemory Harm
LeakToEvent · 会话数据外发至攻击者端点
SecurityChecker 覆盖
BrowseResultFilter:关键词过滤 OutboundMessageAudit:发件内容审查 语义伪装型注入:无覆盖
#3

沙箱逃逸 → 宿主机权限提升 → 凭据外发

AP-06 · Native · ByRiskscore_v1.5
12.35
/ 20
注:2.40 危:7.95 Nov:2.0
注入分2.40(PUB=1.2 · T-PARTIAL,需诱导LLM执行逃逸代码) 危害分7.95(root级 Sensitive-SYSTEM + Sensitive-CREDENTIAL) Novelty2.00(已知技术但实现难度高) Source槽位PromptTemplate.tool_call_result Sink类型SK-EXEC(execute_code + terminal 逃逸链)
PoisoningEntry含逃逸代码的技术文章/代码片段(PUB · T-PARTIAL) Affected宿主机文件系统 · /var/run/docker.sock(AF-TOOL) 核心危害LeakToEvent · root 权限获得后 /etc/shadow + ~/.hermes/.env 外发(Sensitive-CREDENTIAL + Sensitive-SYSTEM) Intent TripleUI-CodeExec · SI-SandboxBreak · AI-PrivilegeEscalation
AttackPath 节点序列
PoisoningEntry
含逃逸代码网页 Source
tool_call_result Sink
execute_code + terminal EventResult Affected
宿主机系统 · docker.sock Harm
LeakToEvent · 全量凭据外发
SecurityChecker 覆盖
SandboxEgressMonitor:系统调用监控(部分) DangerousCodeAnalyzer:静态分析 subprocess/nsenter FilesystemAccessControl:/proc/1/root 访问无拦截
#4

上下文文件注入(AGENTS.md)

AP-03 · Extended-Clean · ByRiskscore_v1.5
12.32
/ 20
注:4.05 危:5.27 Nov:3.0
注入分4.05 危害分5.27 Novelty3.00 Source槽位PromptTemplate.context_files Sink类型SK-EXEC + SK-NET
PoisoningEntryAGENTS.md(外部仓库维护者预植) Extended 资产克隆的项目仓库(清洁) Affected~/.hermes/.env · 项目源码 · MEMORY.md 触发方式打开项目即自动触发(T-AUTO) Intent TripleUI-FileRead · SI-TerminalExec · AI-ContextInject
AttackPath 节点序列
PoisoningEntry
AGENTS.md Source
context_files Sink
terminal.exec(curl exfil) EventResult Affected
~/.hermes/.env · MEMORY.md Harm
LeakToEvent · .env 凭据外发至攻击者
SecurityChecker 覆盖
PromptInjectionDetector:关键词匹配 CommandAuditLogger:curl+base64 模式 AGENTS.md 完整性验证:无
#5

MEMORY.md 记忆投毒(网页→对话数据持续外发)

AP-01 · Native · ByRiskscore_v1.5
12.19
/ 20
注:5.00 危:3.19 Nov:4.0
注入分5.00(PUB=1.2 · T-ANY) 危害分3.19 Novelty4.00 Source槽位PromptTemplate.tool_call_result Sink类型SK-MEMO(持久化写入)
PoisoningEntry受控网页(WebSitePage · PUB) 投毒渠道browse_web 读取 · T-ANY AffectedMEMORY.md · ~/work/(AF-MEMORY) 核心危害LeakToEvent · 对话数据持续外发至攻击者端点(MEMORY.md Sensitive-MEMORY) Intent TripleUI-WebBrowse · SI-MemWrite · AI-MemoryPoison
AttackPath 节点序列
PoisoningEntry
WebSitePage Source
tool_call_result Sink
memory_tool.write() EventResult Affected
MEMORY.md · ~/work/ Harm
LeakToEvent · MEMORY.md 数据外发
SecurityChecker 覆盖
PromptInjectionDetector:部分覆盖 MemoryWriteAuditor:内容审查 跨会话污染:无检测
#6

MCP 响应注入(系统提示劫持)

AP-04 · Extended · ByRiskscore_v1.5
11.99
/ 20
注:5.00 危:3.99 Nov:3.0
注入分5.00(REG=1.0) 危害分3.99 Novelty3.00(MCP 信任边界突破) Source槽位PromptTemplate.tool_call_result Sink类型SK-NET(凭据外渗)
PoisoningEntry攻击者自营恶意 MCP Server(用户主动安装,REG=1.0) Extended 资产用户安装的干净 MCP 服务器 Affected~/.hermes/.env · MEMORY.md 核心危害LeakToEvent · ~/.hermes/.env API Key 外发至攻击者 MCP 端点(Sensitive-CREDENTIAL) Intent TripleUI-MCPCall · SI-CredExfil · AI-LineJumping
AttackPath 节点序列
PoisoningEntry
MCP tool 响应 Source
tool_call_result Sink
terminal.exec() EventResult Affected
~/.hermes/.env Harm
LeakToEvent · API Key 外发至攻击者端点
SecurityChecker 覆盖
MCPResponseValidator:schema 校验 跨服务器跳转指令:无检测 CredentialAccessMonitor:部分
⚠️ COMP场景(先攻破现有服务端)另行建模
#7

SubAgent 权限绕过

AP-05 · Extended-Clean · ByRiskscore_v1.5
11.82
/ 20
注:5.00 危:3.82 Nov:3.0
注入分5.00(AUTH=0.8 → 满分) 危害分3.82 Novelty3.00(SubAgent 权限继承突破) Source槽位PromptTemplate.delegate_context Sink类型SK-AGENT(子代理执行)
PoisoningEntrySlack 消息(CHAN=0.9 · 需能向用户Slack频道发消息) Extended 资产Slack 工作空间(清洁账号) Affected~/work/(AF-MEMORY) 核心危害LeakToEvent · ~/work/ 工作文件通过 SubAgent send_message 外发(Sensitive-CODEBASE) Intent TripleUI-SlackDelegate · SI-SubAgentExec · AI-PrivEsc
AttackPath 节点序列
PoisoningEntry
Slack 恶意消息 Source
delegate_context Sink
SubAgent terminal EventResult Affected
~/work/ Harm
LeakToEvent · 工作文件外发至攻击者
SecurityChecker 覆盖
SubAgent 权限隔离:未实现 DelegateContextFilter:消息来源校验 跨代理指令注入:无检测
#8

Cron 持久化攻击

AP-07 · Native · ByRiskscore_v1.5
11.82
/ 20
注:3.60 危:3.96 Nov:4.26
注入分3.60 危害分3.96 Novelty4.26(Hermes CronCreate 专属) Source槽位PromptTemplate.tool_call_result Sink类型SK-PERSIST(持久化定时任务)
PoisoningEntry含隐藏指令的网页(browse_web) AffectedCronScheduler · MEMORY.md · ~/.hermes/.env 核心特点利用合法调度能力,跨会话持续执行 Novelty 来源Hermes CronCreate 被滥用首次记录 Intent TripleUI-TaskSchedule · SI-CronPersist · AI-PersistInject
AttackPath 节点序列
PoisoningEntry
含隐藏指令网页 Source
tool_call_result Sink
CronCreate() EventResult Affected
CronScheduler · MEMORY.md Harm
LeakToEvent · 凭据及工作文件每小时外发
SecurityChecker 覆盖
CronContentAuditor:prompt 内容审查 CronCreate 用户确认:无强制机制 IntentAlignmentChecker:意图比对
#10

网关弱鉴权直接注入

AP-08 · Extended-Clean · ByRiskscore_v1.5
11.20
/ 20
注:5.00 危:4.20 Nov:2.0
注入分5.00(PUB=1.2) 危害分4.20 Novelty2.00 Source槽位PromptTemplate.gateway_message_context Sink类型SK-EXEC(任意命令执行)
PoisoningEntry未认证 webhook / API 请求 Extended 资产用户配置的网关集成 AffectedRunningEnv(AF-TOOL) 核心危害LeakToEvent · 攻击者注入 curl 命令外发 ~/.hermes/.env API Key(Sensitive-CREDENTIAL) Intent TripleUI-WebhookRecv · SI-CmdExec · AI-GatewayInject
AttackPath 节点序列
PoisoningEntry
未认证 webhook Source
gateway_message_context Sink
terminal.exec() EventResult Affected
RunningEnv Harm
LeakToEvent · curl 外发 API Key
SecurityChecker 覆盖
网关消息认证:无强制验证 GatewayRateLimiter:频率限制 消息来源身份校验:未实现
#9

技能供应链篡改

AP-02 · Extended-Clean · ByRiskscore_v1.5
11.78
/ 20
注:5.00 危:3.78 Nov:3.0
注入分5.00(PUB=1.2) 危害分3.78 Novelty3.00(技能层供应链突破) Source槽位PromptTemplate.skills_guidance Sink类型SK-EXEC(patch/写入操作)
PoisoningEntryGitHub 公开仓库恶意 SKILL.md Extended 资产用户安装的干净技能 Affectedtools/approval.py(AF-TOOL) 核心危害PayedToEvent · approval.py 审批失效,支付等高危操作无需用户确认(Sensitive-FINANCIAL) Intent TripleUI-SkillLoad · SI-CodePatch · AI-SkillPoison
AttackPath 节点序列
PoisoningEntry
GitHub 恶意 SKILL.md Source
skills_guidance Sink
execute_code/subprocess(旁路 approval.py) Affected
tools/approval.py Harm
PayedToEvent · 审批失效 → 静默转账
SecurityChecker 覆盖
技能完整性校验:无签名验证 SkillContentScanner:关键词扫描 SKILL.md 指令解析层:无审查
#11

邮件投毒→MEMORY+Cron双持久后门

AP-11 · Extended · ByRiskscore_v1.5
10.85
/ 20
注:5.00 危:0.85 Nov:5.0
注入分5.00(PUB=1.2 · T-BROAD) 危害分0.85(Sink链迭乘后大幅衰减) Novelty5.0 Source槽位PromptTemplate.tool_call_result(邮件Skill返回正文) Sink类型SK-MEMO(MEMORY.md)+ SK-PERSIST(CronCreate)双Sink
PoisoningEntry攻击者发送的恶意邮件(Email · PUB=1.2) 投毒渠道邮件Skill读取 · T-BROAD=1.0 AffectedMEMORY.md(AF-MEMORY)+ CronScheduler(AF-TOOL)+ ~/.hermes/.env(AF-CONFIG) SecurityCheckerSC-GAP-EMAIL-RESP(零覆盖)+ SC-GAP-CRON-APPROVAL(零覆盖) Intent TripleUI-EMAIL_PROCESS → SI-PERSIST_MEMORY + SI-CronPersist → AI-PERSISTENCE
AttackPath 节点序列
PoisoningEntry
攻击者邮件 Source
tool_call_result Sink
memory_tool.write() + Sink
CronCreate() Affected
MEMORY.md + CronScheduler Harm
双持久凭证外发
SecurityChecker 覆盖 · 关键洞察
SC-GAP-EMAIL-RESP:零覆盖 SC-GAP-CRON-APPROVAL:零覆盖
双持久互锁自愈机制:MEMORY.md指令重建Cron,Cron任务重建MEMORY.md,需同时清除方可根除
#12

自进化劫持 → USER.md认知投毒 → 每日外发

AP-12 · Extended-Clean · ByRiskscore_v1.5
10.74
/ 20
注:5.00 危:0.74 Nov:5.0
注入分5.00(PUB=1.2 · T-BROAD) 危害分0.74(三链迭乘后衰减) Novelty5.0(Breakthrough×3 + Rarity×2) Source槽位PromptTemplate.tool_call_result Sink类型SK-MEMO(USER) + SK-PERSIST + SK-NET
PoisoningEntry攻击者托管含隐藏 AI 指令网页(PUB=1.2) 投毒渠道browser_tool 读取 · T-BROAD AffectedUSER.md · CronScheduler · ~/work/** 核心危害每日增量 workspace 文件持续外发(不可召回) Intent TripleUI-CONTEXT_LOAD · SI-PERSIST_MEMORY(USER) + SI-CronPersist · AI-COLLECTION + AI-EXFILTRATION 核心创新首次利用 Agent 自进化/USER.md 认知通道作为攻击向量
AttackPath 节点序列(双 Sink — 跨会话自愈)
PoisoningEntry
攻击者含隐藏指令网页 Source
tool_call_result Sink #1
memory(target=user) 写入 USER.md Sink #2
CronCreate() 每日 23:00 Affected
USER.md · CronScheduler · ~/work/** Harm
每日增量数据外发
SecurityChecker 覆盖 · 3 个新发现缺口
SC-GAP-BROWSER-RESP:browser_tool 返回内容零扫描 SC-GAP-USER-PROFILE-URL:USER.md 允许写入任意远端 URL SC-GAP-EVOLVE-VERIFY:无机制验证 USER.md 条目来源 SC-GAP-CRON-APPROVAL:CronCreate 无内容级审批
v1.5 注:危害分0.74(三链Sink迭乘衰减),但Novelty=5.0维持高位 · 自进化认知劫持 + 每日 workspace 外发 · AI 安全文献前沿,公开案例为零

ATA Landscape · Hermes Agent 威胁分析 · 返回首页

ATA Ontology v4.9 · RiskScore v1.5 · ByRiskscore_v1.5 · 2026-04-21