42天8個大版本、0CVE，從Web3走來的Hermes Agent正在「偷家」OpenClaw

2026 年 2 月 25 日，Nous Research 發布了 Hermes Agent v0.1.0。42 天後的 4 月 8 日，這個專案已經迭代到 v0.8.0，8 個大版本，合併了數百個 PR，242 名貢獻者。同一時期，GitHub 上最火熱的開源 AI Agent 專案 OpenClaw 坐擁 346,000 顆 star，但也在 63 天裡積累了 138 個安全漏洞。

兩條成長曲線同時在漲，但漲的東西完全不同。

從 1 月 29 日正式上線到 3 月 3 日超越 React 成為 GitHub 史上最多 star 的軟體專案，OpenClaw 只用了 33 天。據 OpenClaw Statistics 統計，峰值時期 48 小時內湧入 34,168 顆 star，相當於每小時 710 顆。作為參考，Kubernetes 花了大約三年才達到 10 萬顆 star。

但據 Blink Security Blog 追蹤，同一時間窗口裡，安全研究人員以日均 2.2 個的速度在披露 CVE。63 天內累計 138 個，其中 7 個嚴重級別（CVSS 9.0 以上）、49 個高風險級別，合計佔比 41%。最具破壞力的是 CVE-2026-25253，一個 CVSS 8.8 分的零點擊遠端程式碼執行漏洞。攻擊者只需要讓使用者造訪一個惡意網頁，就能透過 WebSocket 閘道竊取認證令牌，完全控制使用者的 Agent。據 Shodan 掃描資料，2 月份有超過 42,000 個 OpenClaw 實例暴露在公網上，其中 63% 沒有開啟閘道認證。

2 月 14 日，OpenClaw 創辦人 Peter Steinberger 宣布加入 OpenAI，專案移交給開源基金會。此後安全問題的披露頻率進一步加速。

這就是 Hermes Agent 出場的背景。不是一個安靜的賽道，而是一個信任正在瓦解的市場。但把 Hermes 僅僅理解為「OpenClaw 替代品」會錯過更重要的資訊。這兩個專案在架構層面存在根本分歧。

OpenClaw 的 skill 是靜態 Markdown 檔案，由使用者手寫，透過 ClawHub 市場分發。據 Snyk 安全團隊 2 月審計，ClawHub 上 5,700 個 skill 中有 1,467 個被確認為惡意，包括憑證竊取、加密挖礦、持久後門、prompt 注入。其中 91% 混合使用了 prompt injection 和傳統惡意軟體技術。單個惡意 skill 的最高安裝量超過 34 萬次。

Hermes Agent 走了一條截然不同的路。它的 skill 不是使用者寫的，是 Agent 自己產生的。完成一個複雜任務（通常涉及 5 次以上工具呼叫）後，Hermes 會把執行經驗提煉為可複用的 skill 文件，遵循 agentskills.io 開放標準儲存為結構化 Markdown。後續遇到類似任務時，Agent 會自動呼叫並最佳化這些 skill。每 15 個任務自動觸發一次反思循環，評估哪些 skill 有效、哪些需要改進。

記憶系統也從底層設計就不同。OpenClaw 依賴三個純文字檔案（SOUL.md 管人格、MEMORY.md 管筆記、USER.md 管使用者畫像），跨 session 記憶需要使用者手動配置。Hermes 內建了分層持久化架構：持久筆記層、FTS5 全文檢索、Honcho 使用者建模、熱/冷儲存分離，支援 6 種可插拔後端。使用者不需要手動管理任何東西，Agent 自己決定記住什麼、忘掉什麼。

安全模型的差異更直接。OpenClaw 的預設安全配置被安全研究人員形容為「弱」，閘道認證預設關閉，skill 執行無沙箱隔離。Hermes 從第一天起就內建了 prompt injection 掃描、憑證過濾、上下文掃描和容器加固（唯讀根檔案系統 + 能力丟棄）。截至 4 月 9 日，Hermes Agent 尚未有公開 CVE 記錄。

簡單說，OpenClaw 是一個「工具箱」，你告訴它怎麼做。Hermes 是一個「會長大的助手」，它從做事中學習怎麼做得更好。

迭代節奏也在說話。Hermes Agent 從 v0.1.0 到 v0.8.0 的 42 天裡，v0.2.0 一個版本就合併了 216 個 PR、解決了 119 個 issue、接入了 7 個訊息平台、寫了 3,289 條測試。據 GitHub 資料，27,000 顆 star 對應 242 名貢獻者，貢獻者與 star 比約為 1:111，這意味著每 111 個關注者中就有 1 個在寫程式碼，社群參與密度遠高於 OpenClaw。

更值得關注的是 Hermes 背後的團隊。Nous Research 不是一個突然冒出來的創業公司。他們從 2022 年的 Discord 社群開始，花了三年時間成為開源 AI 模型領域最有影響力的玩家之一。據 HuggingFace 資料，Hermes 系列模型累計被下載超過 3,300 萬次。從 2023 年的 Hermes 1（LLaMA 13B 微調，多項基準排名第一）到 2025 年的 Hermes 4（70B 參數），再到 Hermes Agent，這條線是連貫的：先做模型，再做 Agent，模型能力是 Agent 能力的地基。

他們的根在 web3。CEO Jeffrey Quesnelle 此前是以太坊 MEV 基礎設施專案 Eden Network 的首席工程師。2024 年 1 月的種子輪由 Distributed Global 和 OSS Capital 領投，Solana 聯合創辦人 Raj Gokal 個人參投。2025 年 4 月，加密領域最大的風險投資基金之一 Paradigm 領投了 5,000 萬美元的 Series A，token 估值 10 億美元。注意，是 token 估值，不是傳統的股權估值。

這意味著 Nous Research 從治理結構到技術架構都是 web3 原生的。他們的 Psyche 網路建在 Solana 區塊鏈上，是一個去中心化的 AI 訓練基礎設施。2025 年 12 月發布的 Hermes 4.3 是第一個完全在 Psyche 網路上訓練的模型，用分佈在全球的消費級 GPU 完成，而不是依賴集中式資料中心。

web3 團隊向 AI 圈輸出影響力不是孤例。3 月 31 日，一個名叫 Chaofan Shou 的工程師發現了 Anthropic Claude Code 的原始碼洩漏。一個 .npmignore 檔案的缺失導致 512,000 行 TypeScript 程式碼被公開發佈到 npm。據 VentureBeat 報導，洩漏後的鏡像倉庫 24 小時內拿到 10 萬顆 star。Chaofan Shou 的另一個身份是 Solayer Labs 的工程師和區塊鏈安全公司 Fuzzland 的聯合創辦人，一個從 UC Berkeley 輟學的 web3 安全研究員，在 AI 圈製造了 2026 年最大的程式碼洩漏事件之一。

Nous Research 做的事情本質上類似：把 web3 社群訓練出的方法論（開源優先、去中心化治理、社群驅動迭代）移植到 AI Agent 基礎設施層。Hermes Agent 42 天 8 個大版本的迭代速度，某種程度上就是這套方法論的產物。

OpenClaw 的安全危機是催化劑，但不是原因。真正的變數是，AI Agent 到底應該怎麼建。是給使用者一個工具箱讓他們自己組裝，還是造一個能自己學習和進化的系統。Nous Research 用三年時間和 3,300 萬次模型下載回答了後一個問題，然後用 42 天把答案變成了產品。