42 ngày 8 bản cập nhật lớn, 0 CVE, Hermes Agent từ Web3 đang 'chiếm nhà' OpenClaw

Ngày 25 tháng 2 năm 2026, Nous Research đã phát hành Hermes Agent v0.1.0. 42 ngày sau, vào ngày 8 tháng 4, dự án này đã lặp lại lên v0.8.0, 8 phiên bản chính, hợp nhất hàng trăm PR, 242 người đóng góp. Trong cùng thời kỳ, dự án AI Agent mã nguồn mở nổi tiếng nhất trên GitHub, OpenClaw, sở hữu 346,000 sao, nhưng cũng tích lũy 138 lỗ hổng bảo mật trong 63 ngày.

Hai đường cong tăng trưởng đều đang tăng, nhưng thứ tăng lên hoàn toàn khác nhau.

Từ khi chính thức ra mắt vào ngày 29 tháng 1 đến ngày 3 tháng 3 vượt qua React để trở thành dự án phần mềm có nhiều sao nhất trong lịch sử GitHub, OpenClaw chỉ mất 33 ngày. Theo thống kê từ OpenClaw Statistics, vào thời điểm đỉnh cao, 34,168 sao đã đổ vào trong 48 giờ, tương đương 710 sao mỗi giờ. Để tham khảo, Kubernetes mất khoảng ba năm để đạt 100,000 sao.

Nhưng theo dõi từ Blink Security Blog, trong cùng khung thời gian đó, các nhà nghiên cứu bảo mật đã tiết lộ CVE với tốc độ trung bình 2.2 mỗi ngày. Tổng cộng 138 trong 63 ngày, trong đó có 7 mức độ nghiêm trọng (CVSS trên 9.0), 49 mức độ cao, chiếm tổng cộng 41%. Có sức phá hủy nhất là CVE-2026-25253, một lỗ hổng thực thi mã từ xa không cần tương tác (zero-click RCE) với điểm CVSS 8.8. Kẻ tấn công chỉ cần khiến người dùng truy cập một trang web độc hại là có thể đánh cắp mã thông báo xác thực thông qua cổng WebSocket, hoàn toàn kiểm soát Agent của người dùng. Theo dữ liệu quét từ Shodan, vào tháng 2, có hơn 42,000 phiên bản OpenClaw tiếp xúc với mạng công cộng, trong đó 63% không bật xác thực cổng.

Ngày 14 tháng 2, người sáng lập OpenClaw, Peter Steinberger, thông báo gia nhập OpenAI, dự án được chuyển giao cho quỹ mã nguồn mở. Sau đó, tần suất tiết lộ các vấn đề bảo mật càng tăng tốc hơn nữa.

Đây là bối cảnh Hermes Agent xuất hiện. Không phải là một đường đua yên tĩnh, mà là một thị trường nơi niềm tin đang tan vỡ. Nhưng hiểu Hermes chỉ là "sản phẩm thay thế OpenClaw" sẽ bỏ lỡ thông tin quan trọng hơn. Hai dự án này có sự khác biệt cơ bản ở cấp độ kiến trúc.

Skill của OpenClaw là các tệp Markdown tĩnh, do người dùng viết tay, phân phối qua thị trường ClawHub. Theo cuộc kiểm toán của nhóm bảo mật Snyk vào tháng 2, trong 5,700 skill trên ClawHub, có 1,467 skill được xác nhận là độc hại, bao gồm đánh cắp thông tin xác thực, khai thác tiền mã hóa, backdoor dai dẳng, prompt injection. Trong đó, 91% kết hợp sử dụng kỹ thuật prompt injection và phần mềm độc hại truyền thống. Lượt cài đặt cao nhất của một skill độc hại đơn lẻ vượt quá 340,000 lần.

Hermes Agent đi theo một con đường hoàn toàn khác. Skill của nó không phải do người dùng viết, mà do Agent tự tạo ra. Sau khi hoàn thành một nhiệm vụ phức tạp (thường liên quan đến 5 lần gọi công cụ trở lên), Hermes sẽ tinh chỉnh kinh nghiệm thực thi thành tài liệu skill có thể tái sử dụng, lưu trữ dưới dạng Markdown có cấu trúc theo tiêu chuẩn mở agentskills.io. Khi gặp nhiệm vụ tương tự sau này, Agent sẽ tự động gọi và tối ưu hóa các skill này. Cứ sau mỗi 15 nhiệm vụ, một vòng lặp phản ánh tự động được kích hoạt để đánh giá skill nào hiệu quả, skill nào cần cải thiện.

Hệ thống bộ nhớ cũng khác ngay từ thiết kế cơ bản. OpenClaw phụ thuộc vào ba tệp văn bản thuần túy (SOUL.md quản lý tính cách, MEMORY.md quản lý ghi chú, USER.md quản lý hồ sơ người dùng), bộ nhớ xuyên phiên cần người dùng cấu hình thủ công. Hermes được tích hợp sẵn kiến trúc lưu trữ bền vững phân tầng: tầng ghi chú bền vững, tìm kiếm toàn văn FTS5, mô hình hóa người dùng Honcho, tách biệt lưu trữ nóng/lạnh, hỗ trợ 6 backend có thể cắm thêm. Người dùng không cần quản lý thủ công bất cứ thứ gì, Agent tự quyết định nhớ cái gì, quên cái gì.

Sự khác biệt về mô hình bảo mật càng trực tiếp hơn. Cấu hình bảo mật mặc định của OpenClaw được các nhà nghiên cứu bảo mật mô tả là "yếu", xác thực cổng mặc định tắt, thực thi skill không có sự cô lập sandbox. Hermes ngay từ ngày đầu tiên đã tích hợp sẵn quét prompt injection, lọc thông tin xác thực, quét ngữ cảnh và củng cố container (hệ thống tệp gốc chỉ đọc + loại bỏ khả năng). Tính đến ngày 9 tháng 4, Hermes Agent vẫn chưa có bản ghi CVE công khai nào.

Nói một cách đơn giản, OpenClaw là một "hộp công cụ", bạn bảo nó làm thế nào. Hermes là một "trợ lý biết lớn lên", nó học cách làm tốt hơn từ chính việc làm.

Nhịp độ lặp lại cũng nói lên điều đó. Trong 42 ngày từ v0.1.0 đến v0.8.0 của Hermes Agent, chỉ riêng phiên bản v0.2.0 đã hợp nhất 216 PR, giải quyết 119 issue, tích hợp 7 nền tảng tin nhắn, viết 3,289 bài kiểm tra. Theo dữ liệu GitHub, 27,000 sao tương ứng với 242 người đóng góp, tỷ lệ người đóng góp trên sao khoảng 1:111, điều này có nghĩa là cứ 111 người theo dõi thì có 1 người viết mã, mật độ tham gia cộng đồng cao hơn nhiều so với OpenClaw.

Đáng chú ý hơn là đội ngũ đằng sau Hermes. Nous Research không phải là một công ty khởi nghiệp bất ngờ nổi lên. Họ bắt đầu từ cộng đồng Discord năm 2022, dành ba năm để trở thành một trong những người chơi có ảnh hưởng nhất trong lĩnh vực mô hình AI mã nguồn mở. Theo dữ liệu HuggingFace, các mô hình thuộc dòng Hermes đã được tải xuống tổng cộng hơn 33 triệu lần. Từ Hermes 1 năm 2023 (tinh chỉnh LLaMA 13B, xếp hạng nhất nhiều tiêu chuẩn) đến Hermes 4 năm 2025 (70B tham số), rồi đến Hermes Agent, đường đi này là nhất quán: làm mô hình trước, rồi làm Agent, năng lực mô hình là nền tảng cho năng lực Agent.

Gốc rễ của họ nằm ở web3. CEO Jeffrey Quesnelle trước đây là kỹ sư trưởng của dự án cơ sở hạ tầng MEV Ethereum Eden Network. Vòng hạt giống tháng 1 năm 2024 do Distributed Global và OSS Capital dẫn đầu, người đồng sáng lập Solana Raj Gokal tham gia cá nhân. Tháng 4 năm 2025, một trong những quỹ đầu tư mạo hiểm lớn nhất trong lĩnh vực tiền mã hóa, Paradigm, dẫn đầu vòng Series A trị giá 50 triệu USD, định giá token 1 tỷ USD. Lưu ý, đó là định giá token, không phải định giá vốn chủ sở hữu truyền thống.

Điều này có nghĩa là Nous Research, từ cấu trúc quản trị đến kiến trúc kỹ thuật, đều có nguồn gốc web3. Mạng Psyche của họ được xây dựng trên blockchain Solana, là một cơ sở hạ tầng đào tạo AI phi tập trung. Hermes 4.3 phát hành tháng 12 năm 2025 là mô hình đầu tiên được đào tạo hoàn toàn trên mạng Psyche, sử dụng GPU cấp tiêu dùng phân bố toàn cầu để hoàn thành, thay vì phụ thuộc vào trung tâm dữ liệu tập trung.

Việc đội ngũ web3 xuất khẩu ảnh hưởng sang giới AI không phải là trường hợp cá biệt. Ngày 31 tháng 3, một kỹ sư tên Chaofan Shou đã phát hiện mã nguồn của Anthropic Claude Code bị rò rỉ. Việc thiếu một tệp .npmignore đã khiến 512,000 dòng mã TypeScript được công bố công khai lên npm. Theo VentureBeat đưa tin, kho lưu trữ gương sau khi rò rỉ đã nhận được 100,000 sao trong vòng 24 giờ. Một danh tính khác của Chaofan Shou là kỹ sư tại Solayer Labs và đồng sáng lập công ty bảo mật blockchain Fuzzland, một nhà nghiên cứu bảo mật web3 bỏ học UC Berkeley, đã tạo ra một trong những sự kiện rò rỉ mã lớn nhất năm 2026 trong giới AI.

Về bản chất, điều Nous Research làm cũng tương tự: chuyển giao phương pháp luận được đào tạo từ cộng đồng web3 (ưu tiên mã nguồn mở, quản trị phi tập trung, lặp lại do cộng đồng thúc đẩy) sang tầng cơ sở hạ tầng AI Agent. Tốc độ lặp lại 8 phiên bản chính trong 42 ngày của Hermes Agent, ở một mức độ nào đó, chính là sản phẩm của phương pháp luận này.

Khủng hoảng bảo mật của OpenClaw là chất xúc tác, nhưng không phải là nguyên nhân. Biến số thực sự là, AI Agent cuối cùng nên được xây dựng như thế nào. Là đưa cho người dùng một hộp công cụ để họ tự lắp ráp, hay tạo ra một hệ thống có thể tự học và tiến hóa. Nous Research đã dành ba năm và 33 triệu lượt tải xuống mô hình để trả lời câu hỏi sau, rồi dùng 42 ngày biến câu trả lời thành sản phẩm.