Kubernetes 作為 AI 代理系統之縱深防禦平台:以 Hermes 為例的安全架構設計
Alan Tseng
摘要
大型語言模型(LLM)驅動的代理系統(AI agent)不僅具備文字生成能力,更持有 API 憑證、工具執行權限與長期記憶,其攻擊面遠超傳統對話服務。本文以 Hermes——一個具備工具調用能力的 AI agent 系統——為研究對象,系統性地論述將其部署於 Kubernetes 的安全架構設計。核心論點為:透過 Kubernetes 原生的命名空間隔離、角色型存取控制(RBAC)、NetworkPolicy、Pod Security Standards、Persistent Volume 管理與稽核機制,可在 AI agent 的「思考層」(gateway)與「行動層」(工具執行)之間建立有效的安全邊界。本文亦提出針對 MCP(Model Context Protocol)伺服器的分權限部署策略、沙箱工具執行隔離方案、runtime policy 機制,以及 Skill 與長期記憶的治理框架。上述設計原則與近期 AI agent 安全研究中的縱深防禦(defense-in-depth)、最小權限(least privilege)與完整仲裁(complete mediation)等理論方向一致 [1][2][3]。
關鍵詞: AI 代理安全、Kubernetes 安全架構、Prompt Injection、MCP、最小權限、縱深防禦、工具執行隔離、LLM 代理
1. 引言
隨著 LLM 能力的提升,以 function calling、tool use 與 agent protocol 為基礎的 AI 代理系統已開始被部署於企業生產環境。此類系統的獨特性在於,其安全風險並非源自模型輸出本身,而是源自模型被誘導後可執行的外部工具動作——包括呼叫 API、操作資料庫、執行 shell 指令、寫入記憶或觸發自動化流程。
Hermes 是一個具備上述能力的 AI agent 系統,可能同時連接 Discord、Telegram、Slack、GitHub、Google Calendar、Kubernetes 叢集與瀏覽器自動化工具,並持有相應的 API keys、bot tokens、sessions 與長期記憶(memory)。這使得 Hermes 的主要威脅向量不在於「對話品質」,而在於「高權限工具是否可被外部輸入或 prompt injection 濫用」。
Ferrag 等人(2025)指出,LLM agent 的威脅模型已從單純的輸入驗證,擴展到工具、協定與工作流程層級 [3];Wallace 等人(2024)則論證,安全規則若僅依賴 prompt 表達,容易在優先級衝突時遭外部內容覆蓋 [4]。這兩項觀察共同指向一個結論:AI agent 的安全不能只依賴模型本身,必須由執行環境提供強制性的外部約束。
本文主張,Kubernetes 提供了滿足上述需求的架構基礎。相較於單機 Docker 部署或 VM 部署,Kubernetes 的核心優勢在於:其命名空間隔離、RBAC、NetworkPolicy、Pod Security Standards、PVC 管理與 audit log 機制,可以在不修改模型本身的前提下,對 AI agent 的能力邊界進行強制性、可稽核、可精細調整的約束。
本文第 2 節分析 Hermes 的威脅模型;第 3 節介紹整體 Kubernetes 安全架構;第 4 節至第 12 節逐一討論各安全機制與治理框架;第 13 節對應既有監管建議;第 14 節提出 production 安全基線;第 15 節為結論。
2. 威脅模型分析
2.1 攻擊面識別
Hermes 的威脅來源可分為以下幾類:
外部輸入向量: Discord、Telegram、Slack、Webhook 等管道皆可攜帶惡意指令。攻擊者可透過訊息、社群留言、網頁內容等方式,向 agent 注入 prompt injection 指令(即間接提示注入,indirect prompt injection)[3]。
工具執行向量: Hermes 可能被誘導執行 shell、browser automation、code runner 或直接呼叫 Kubernetes API。一旦高風險工具暴露於 gateway 可直接存取的範圍,prompt injection 的影響範圍便直接等同於工具的權限範圍 [2]。
憑證洩漏向量: Hermes 持有的 API keys、bot tokens 若與 gateway 共置於同一執行環境,單一漏洞即可造成多個服務的憑證外洩。
記憶與 Skill 向量: 長期記憶若可被外部輸入修改,攻擊者可植入持久性惡意指令;第三方 Skill 若未經審查,可能直接引入惡意程式碼 [3][9]。
2.2 核心風險假設
本文的安全設計基於以下前提:
任何來自外部管道的輸入,皆有可能包含惡意 prompt injection 指令;任何工具的輸出,皆不應被視為可信的高優先級指令。
此前提亦與 Saltzer 與 Schroeder(1975)提出的完整仲裁原則(complete mediation)一致:每一次對受保護資源的存取,都必須經過授權驗證,而非僅在初始化時授權一次。Zhang 等人(2025)進一步將此原則應用於 LLM agent 的安全設計 [1]。
2.3 /opt/data 的敏感性
Hermes 的資料目錄 /opt/data 通常保存 config、API keys、sessions、skills 與 memories 等高敏感內容,應被視為等同於企業密鑰庫(crown jewels),而非一般應用資料目錄。此目錄的存取控制設計直接影響整體安全態勢。
3. 整體安全架構
3.1 設計原則
本文採用的架構設計遵循以下原則:
- 縱深防禦(Defense-in-depth):安全控制分佈在多個層次,單一層次失效不導致全面淪陷。
- 最小權限(Least privilege):每個元件僅持有完成其功能所必需的最小權限集合。
- 完整仲裁(Complete mediation):每一次工具呼叫皆需獨立進行授權驗證。
- 明確隔離(Explicit isolation):思考層(gateway)與行動層(工具執行)透過命名空間、NetworkPolicy 與 RBAC 進行強制隔離。
3.2 命名空間分層
在 Kubernetes 中,Hermes 拆分為以下命名空間:
hermes-system Hermes Gateway、Dashboard
hermes-tools MCP Servers(Calendar、Discord、GitHub、Kubernetes 等)
hermes-sandbox Shell、Browser、Code Runner 等高風險工具
llm-serving Ollama / vLLM / 本地或遠端 LLM 服務
observability Prometheus、Loki、Grafana、稽核日誌
此分層架構對應如下安全語義:
hermes-system → 思考層:負責對話決策,不直接持有行動權限
hermes-tools → 受控行動層:持有特定服務的 scoped token
hermes-sandbox → 隔離執行層:一次性、受限的工作空間
llm-serving → 模型推論層:對 gateway 及 tools 提供推論服務
observability → 可觀測層:收集跨命名空間的審計與監控資料
3.3 整體架構圖
Internet / Discord / Telegram / Slack
|
v
[Ingress / Gateway Auth / WAF]
|
v
+-----------------------------+
| namespace: hermes-system |
| |
| hermes-gateway |
| - replicas: 1 * |
| - /opt/data PVC (RWO) |
| - no cluster-admin |
| - no hostPath |
| - no Docker socket |
| - no privileged container |
| |
| hermes-dashboard |
| - internal only |
| - admin access only |
+-------------+---------------+
|
| service-to-service(僅允許明確放行的流量)
v
+-----------------------------+
| namespace: hermes-tools |
| calendar-mcp |
| discord-mcp |
| github-mcp |
| k8s-readonly-mcp |
+-------------+---------------+
| \
v \ (tool router dispatch)
+-----------------------------+ \
| namespace: hermes-sandbox |<---+
| code-runner Job (ephemeral)|
| browser-sandbox Pod |
| strict NetworkPolicy |
| no /opt/data mount |
+-----------------------------+
+-----------------------------+ +-----------------------------+
| namespace: llm-serving | | namespace: observability |
| Ollama / vLLM / NIM | | Prometheus / Loki / Grafana|
| (or egress to cloud API) | | tool-call audit log |
+-----------------------------+ +-----------------------------+
*
replicas: 1的技術限制源自 PVC 的ReadWriteOnce(RWO)存取模式——該模式僅允許單一節點同時掛載讀寫。若強制使用多個 replicas 同時寫入/opt/data,將引發競態條件(race condition)並破壞資料一致性。如需高可用,應改用支援ReadWriteMany(RWX)的共享儲存類別(如 NFS、CephFS)並搭配應用層的分散式鎖定機制。
4. Gateway 最小權限設計
4.1 設計理由
Hermes gateway 是整個系統的決策核心,也是最可能成為 prompt injection 目標的元件。Zhang 等人(2026)指出,一旦真實工具被交予 LLM agent,工具所附帶的權限在實際效果上即已移轉給 agent 及其底層模型(privilege transfer);因此,工具權限必須由執行環境明確約束,而非僅依賴模型的自我限制 [2]。
基於此,gateway 應遵循以下限制:
| 限制項目 | 理由 |
|---|---|
不給 cluster-admin | 避免 gateway 可操作任意 Kubernetes 資源 |
| 不掛 Docker socket | 避免 container escape 至 host |
不掛 hostPath | 避免存取 host filesystem |
不使用 privileged container | 避免系統呼叫層級的提權 |
不使用 hostNetwork | 避免繞過 NetworkPolicy |
| 不允許 privilege escalation | 避免 setuid/setcap 提權 |
automountServiceAccountToken: false | 避免 gateway 持有 Kubernetes API token |
4.2 ServiceAccount 設定
apiVersion: v1
kind: ServiceAccount
metadata:
name: hermes-gateway
namespace: hermes-system
automountServiceAccountToken: false
4.3 Pod Security Context 設定
securityContext:
seccompProfile:
type: RuntimeDefault
containers:
- name: hermes
securityContext:
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true
runAsNonRoot: true
capabilities:
drop: ["ALL"]
此設定符合 Kubernetes Pod Security Standards 的 restricted 等級要求(Kubernetes ≥ 1.25)。
5. 敏感資料管理
5.1 /opt/data 的存取控制原則
/opt/data 涵蓋 Hermes 的所有敏感運作資料,其存取應受到嚴格限制:
/opt/data PVC 存取矩陣:
hermes-gateway → ReadWriteOnce(RWO)
hermes-dashboard → ReadOnly(可選)
hermes-tools → 不得掛載
hermes-sandbox → 不得掛載
5.2 Secrets 依服務拆分
最小化 Secrets 暴露範圍,每個 MCP 服務僅持有其自身所需的憑證:
hermes-system/hermes-secret:
LLM_API_KEY, GATEWAY_TOKEN
hermes-tools/calendar-mcp-secret:
GOOGLE_OAUTH_CREDENTIAL
hermes-tools/discord-mcp-secret:
DISCORD_BOT_TOKEN
hermes-tools/github-mcp-secret:
GITHUB_FINE_GRAINED_TOKEN
進階做法可採用以下方案管理 Secret 生命週期:
- External Secrets Operator + 雲端密鑰管理服務(AWS Secrets Manager、GCP Secret Manager 等)
- Sealed Secrets(適合 GitOps 工作流)
- SOPS + age(本地加密)
- HashiCorp Vault(企業級密鑰管理)
6. 網路隔離設計
6.1 預設拒絕策略
每個命名空間應套用 default-deny NetworkPolicy,強制所有流量皆需明確宣告:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny-all
spec:
podSelector: {}
policyTypes:
- Ingress
- Egress
6.2 允許的流量路徑
Ingress Controller → hermes-gateway
hermes-gateway → hermes-tools(MCP servers)
hermes-gateway → llm-serving(模型推論)
All pods → kube-system/CoreDNS(DNS 解析)
observability → All namespaces(metrics/logs scraping)
6.3 Gateway Egress 範例
egress:
- to:
- namespaceSelector:
matchLabels:
kubernetes.io/metadata.name: hermes-tools
- to:
- namespaceSelector:
matchLabels:
kubernetes.io/metadata.name: llm-serving
6.4 外部 LLM API 的 FQDN 控制
Kubernetes 原生 NetworkPolicy 僅支援 IP CIDR 規則,不支援 DNS/FQDN 規則。若需呼叫 OpenAI、Anthropic、Google Gemini 等外部 LLM API,建議透過以下方案之一實作 FQDN 出站控制:
- Cilium FQDN Policy(CNI 層級 DNS-aware 規則)
- Egress Gateway(集中化出站代理)
- llm-proxy 中介層(將所有外部 LLM 呼叫集中至單一代理服務)
7. 工具執行隔離
7.1 Gateway 不直接執行高風險工具
Shell、browser automation 與 code runner 屬於高風險能力。Zhang 等人(2026)提出的評估沙箱 GrantBox——一個可讓 LLM agent 對真實工具行使真實權限的安全評估框架——其實驗結果顯示:即使模型具備基本安全意識,在精心設計的 prompt injection 場景下,仍可能被誘導錯誤使用工具權限 [2]。因此,gateway 不應在同一 Pod 內直接執行 shell 或本地程式。
建議的工具執行路徑如下:
hermes-gateway
→ Tool Router / MCP Server
→ Kubernetes Job(ephemeral)/ Sandbox Pod
→ 執行結果透過 API 或 object storage 回傳
此設計讓每次工具執行成為獨立的、有生命週期的、可資源限制的工作單元。
7.2 Sandbox 命名空間安全限制
hermes-sandbox 命名空間應套用比 gateway 更嚴格的限制:
- 不掛載
hermes-system的/opt/dataPVC。 - 不掛載
hostPath。 automountServiceAccountToken: false。- NetworkPolicy 預設無外網出站,需要時逐項白名單放行。
- 每次任務使用
Job(ephemeral,完成即刪除)而非長期 Pod。 - CPU、Memory、ephemeral-storage、pids 全部套用資源限制(
limits)。 - 執行結果僅透過受控 API 或 object storage 回傳,不透過 shared volume。
進階隔離可採用 gVisor(runsc)或 Kata Containers 作為 sandbox runtime,進一步隔離系統呼叫層面的風險。Kubernetes 與 Google Cloud 已針對 AI agent runtime 推出 Agent Sandbox 相關設計,目標正是隔離 agent workspace、不可信程式碼執行、process、storage 與 network boundary [6][7][8]。
8. MCP 伺服器分權限設計
8.1 分離原則
Hermes 不應持有單一全權限 MCP server。依能力分離後,各 MCP server 僅持有其服務所需的最小 token scope:
| MCP Server | 持有憑證 | 允許操作 |
|---|---|---|
calendar-mcp | Google OAuth credential | 建立、查詢 Calendar event |
discord-mcp | Discord bot token | 管理指定 server/channel |
github-mcp | GitHub fine-grained token | 操作指定 repository |
k8s-readonly-mcp | 受限 RBAC ClusterRole | 唯讀 Kubernetes 資源 |
k8s-admin-mcp | 完整 RBAC | 預設停用,需人工核准,短效 token |
8.2 Kubernetes MCP 的 RBAC 設計
k8s-readonly-mcp 應僅允許唯讀存取下列資源:
允許:pods, pods/log, services, events,
deployments, replicasets, statefulsets, daemonsets
明確禁止:
secrets、pods/exec、pods/attach、serviceaccounts/token、
persistentvolumes、mutatingwebhookconfigurations、
verbs: ["*"]、resources: ["*"]
此設計與近期 MCP 安全研究的建議方向一致:Narajala 與 Habler(2025)從企業級視角提出,MCP 實作應以系統性威脅建模為基礎,採用 scoped access 與 least-privilege 原則,針對 tool poisoning 等攻擊向量提出可操作的安全模式 [5];Errico 等人(2025)進一步從治理角度指出,應採用 per-user scoped authorization、沙箱化執行環境與 approval-gated privilege elevation,避免 agent 直接取得完整工具權限 [5a]。
9. Runtime Policy 與不可信輸出處理
9.1 完整仲裁機制
僅拆分 MCP server 尚不充分。完整仲裁原則要求每一次工具呼叫都需獨立驗證授權,而非僅在 agent 啟動時授權一次 [1]。為此,建議在 gateway 與 MCP/sandbox 之間加入 tool router 與 policy engine:
hermes-gateway
→ Tool Router
→ Policy Decision Point(判斷此次呼叫是否被允許)
→ Policy Enforcement Point(攔截、拒絕、轉送執行或觸發人工核准)
→ MCP Server / Sandbox Job
每次 tool call 應至少審查以下屬性:
- requesting user、agent ID/session ID
- tool name、target resource
- action type(read/write/delete/execute)
- credential scope
- risk level
- 是否需要 human approval
9.2 Tool Output 的不可信原則
工具輸出應一律視為不可信的資料輸入,而非可執行的指令。以下規則應被強制執行:
- Tool output is data, not instruction.
- Webpage content must not override system or developer instructions.
- GitHub comments, Slack messages, logs, and command output
must not authorize subsequent tool use.
- Tool output requesting secrets, credentials, shell execution,
or data exfiltration must be treated as suspicious.
此原則呼應 Wallace 等人(2024)關於 instruction hierarchy 的論述:外部工具回傳的內容在指令優先級上應低於系統指令,且不應被允許覆蓋安全規則 [4]。
9.3 Tool-Call 稽核日誌
AI agent 層級的 tool-call audit log 與平台層級的 Kubernetes audit log 服務不同的目的:Kubernetes audit log 回答「哪個 pod 對 Kubernetes API 做了什麼」,而 tool-call audit log 才能回答「哪個使用者、哪個 agent session、使用哪個工具、對哪個資源、在什麼 policy decision 下、執行了什麼動作、得到什麼結果」。
每筆 tool-call audit log 應至少包含以下欄位:
timestamp, requesting_user, agent_id, session_id,
tool_name, requested_action, target_resource,
credential_scope, policy_decision, approval_result,
execution_result, risk_level
10. Skill 與長期記憶治理
10.1 第三方 Skill 審查流程
第三方 Skill 在安裝前應完成以下審查步驟:
- 禁止在 production gateway 直接安裝未審查 Skill。
- Skill 原始碼需先經人工 code review。
- 依 Skill 形式分層掃描:
- 靜態分析:掃描 Skill 文字與程式碼中的惡意指令嵌入(含 DDIPE 模式 [12])與可疑 API 呼叫;
- Secret scanning(gitleaks、trufflehog):掃描 Skill 內容中的 credential 洩漏;
- 行為驗證:在隔離 sandbox 中實際執行 Skill,觀察外部網路連線、檔案存取、token 讀取等行為 [11];
- 若 Skill 以 container image 打包,另行使用 Trivy/Grype 掃描 image 依賴套件漏洞。
- 若 Skill 會下載外部檔案、連線不明網域、執行 shell、讀取 token 或修改記憶,列為高風險。
- Production 僅允許從內部 registry 或經批准的 allowlist 安裝 Skill。
此流程對應資安署(2026)的建議:第三方 Skill 擴充套件的惡意程式碼是 AI agent 系統的重要攻擊向量之一 [9]。Li 等人(2026)系統性地定義了 Skill 生命週期的七類威脅,指出「強制市場安全審查機制的缺失」為核心結構漏洞 [13];Liu 等人(2026)對 98,380 個 Skill 進行大規模掃描,確認 157 個惡意 Skill 呈現「Data Thieves」(憑證竊取)與「Agent Hijackers」(決策劫持)兩類攻擊模式 [11];Bhardwaj(2026)提出 SkillFortify 框架,以靜態分析結合 capability sandboxing 達到 96.95% F1 偵測率 [10];Qu 等人(2026)的供應鏈攻擊研究亦指出,靜態分析可偵測大多數惡意 Skill,但仍有 2.5% 可同時繞過偵測與對齊防禦,強調人工審查的不可或缺 [12]。
10.2 長期記憶的安全控制
Wallace 等人(2024)指出,prompt injection 的核心問題之一是模型可能混淆高優先級系統指令與低優先級外部內容 [4]。若 Hermes 的安全規則僅存於短期對話上下文,長時間運作或內容壓縮後可能遺失,導致安全限制失效。
建議做法:
- 將不可刪除的安全限制寫入啟動設定(而非僅靠 prompt)。
- 將核心安全規則納入版本控管。
- 定期備份與人工審閱 memory files。
- 對 memory 變更建立 audit log。
- 高風險安全規則不可由 agent 自行移除,需人工核准。
以下操作類型應強制要求人工核准:
- 刪除任何持久性資料(資料庫、檔案、memory)
- 發送外部電子郵件或訊息
- 存取 Secret、credential 或 token
- 執行 shell、browser automation、Kubernetes mutation
- 將 /opt/data、session、memory 或 credentials 傳送到外部服務
11. Dashboard 與 Gateway 的存取控制
Hermes gateway 的 API endpoint 與 dashboard 的管理介面皆不應直接暴露於公網。建議的存取控制矩陣如下:
| 元件 | 存取方式 | 允許對象 |
|---|---|---|
| hermes-gateway | Ingress 認證後僅開放必要 endpoint | 授權用戶 |
| hermes-dashboard | VPN/Tailscale/Cloudflare Access/oauth2-proxy | 管理員 |
測試環境可使用 kubectl port-forward 驗證服務;生產環境應使用受控 Ingress,不應直接開放 gateway 或 dashboard 的 port 到 Internet。
12. 平台治理與可觀測性整合
Hermes on Kubernetes 可直接接入既有的平台治理工具,使 AI agent 的運作納入企業既有的資安治理、監控與合規流程:
| 工具 | 用途 |
|---|---|
| Prometheus / Grafana | 系統指標監控 |
| Loki | 日誌集中儲存(含 tool-call log) |
| Kubernetes audit log | Kubernetes API 操作紀錄 |
| Kyverno / OPA Gatekeeper | Admission policy 強制執行 |
| Trivy / Grype | Container image 漏洞掃描 |
| Falco | Runtime 異常行為偵測 |
| cosign | Container image 簽章驗證 |
| External Secrets Operator | Secret 生命週期管理 |
13. 對應資安監管建議
數位發展部資通安全署(2026)在「小心 AI 代理變資安破口」新聞稿中,以 OpenClaw(一款在台灣廣泛使用的 AI agent 平台,俗稱「龍蝦」)為例,指出具備高系統權限與 24 小時自主運作能力的 AI agent 已成為潛在資安破口,並提出適用於所有 AI agent 系統的五項防護建議 [9]。Hermes on Kubernetes 的架構設計可對應如下:
| 資安署建議 | Hermes on Kubernetes 對應措施 |
|---|---|
| 落實環境隔離 | 使用 hermes-system、hermes-tools、hermes-sandbox、llm-serving 命名空間隔離;shell、browser、code runner 放到 sandbox Job |
| 外部帳號權限最小化 | Calendar、Discord、GitHub、Kubernetes MCP 分別使用獨立 scoped token;Kubernetes 從 read-only MCP 起步;每次 tool call 重新驗證 credential scope |
| 設置人類審核機制 | 對刪除資料、發送訊息、存取憑證、執行 shell、Kubernetes mutation 等高風險操作加入 human approval gate,並記錄 approval result |
| 親自審查 Skill 擴充套件 | 第三方 Skill 需經人工 code review、安全掃描與 allowlist,禁止在 production 直接安裝未審查 Skill |
| 將安全守則寫入長期記憶 | 將核心安全規則寫入啟動設定,納入版本控管、備份、審閱與變更稽核 |
14. Production 安全基線
14.1 第一版最低要求
- Hermes gateway
replicas: 1(受 PVC ReadWriteOnce 限制)。 /opt/data使用 PVC,並使用加密 storage class。- Namespace 啟用 Pod Security Standards
restricted。 - NetworkPolicy 採 default-deny-all。
- Gateway 設定
automountServiceAccountToken: false。 - 不掛 Docker socket、不使用
hostPath、不使用 privileged container。 - Dashboard 不直接暴露至 Internet。
- MCP 依服務拆分,各自持有獨立 token。
- Sandbox pod 不掛載
hermes-systemPVC。 - Kubernetes MCP 從 read-only 開始,明確禁止 secrets、exec、mutating 操作。
- 破壞性操作強制 human approval。
- 第三方 Skill 必須先完成安全審查與 allowlist 審核。
- 核心安全守則寫入啟動設定,納入備份與稽核。
- 每次 tool call 必須經過 policy check。
- Tool output 視為不可信資料,不能直接授權後續工具操作。
- Tool-call audit log 包含 user、agent/session、tool、target、decision、approval 與結果。
14.2 進階安全強化
- gVisor(runsc)或 Kata Containers 作為 sandbox runtime。
- Cilium FQDN egress policy 管控外部 API 呼叫。
- OPA Gatekeeper 或 Kyverno admission policy。
- cosign image signing 與驗證。
- Trivy/Grype 整合至 CI/CD pipeline 的 image scanning。
- Falco runtime 異常偵測。
- Loki 集中保存 tool-call audit log。
- 每個使用者或每個 agent 使用獨立命名空間與 PVC。
- Skill registry allowlist 與 admission policy。
- Memory file 完整性檢查與變更通知。
- Tool router/policy engine 作為 MCP 與 sandbox 的統一 Policy Enforcement Point。
- 對 MCP request、tool router request 與 agent-to-agent protocol 實施 schema validation、authn/authz 與 rate limiting。
15. 結論
本文論證,Hermes 部署於 Kubernetes 的核心安全價值,在於 Kubernetes 原生能力可以在不修改模型本身的前提下,對 AI agent 的工具執行能力建立強制性的外部約束。
透過命名空間隔離(hermes-system、hermes-tools、hermes-sandbox)、gateway 最小權限設計、MCP 分權限部署、沙箱工具執行、runtime policy engine、NetworkPolicy 邊界控制、PVC 與 Secrets 的敏感資料管理、Skill 與記憶治理,以及 tool-call 層級的稽核日誌,可以建立一個讓 AI agent 能力可被拆分、限制、觀測與問責的生產環境。
本文的架構原則與 Zhang 等人(2025)[1]、Zhang 等人(2026)[2]、Ferrag 等人(2025)[3] 及 Wallace 等人(2024)[4] 的研究方向一致,共同指向一個結論:AI agent 的安全不能只仰賴模型本身的判斷,必須由執行環境提供縱深防禦、最小權限與完整仲裁等架構層面的強制約束。
真正安全的 Hermes 部署,從架構設計的第一天起,就應將「思考層」與「行動層」明確分開。
附錄:引用文獻查核紀錄
本文發表前已對各引用進行網路查核,結果如下:
| 引用 | 查核結果 | 說明 |
|---|---|---|
| [2] arXiv:2603.28166 | ✅ 確認存在 | 論文已於 arxiv.org 可查閱,並收錄於 ICLR 2026。"GrantBox" 為該論文提出的評估沙箱框架,已於 Section 7.1 補充說明。 |
| 原 [5] MCP-Secure(Singh & Madisetti) | ❌ 無法確認存在 | 經查找,學術資料庫中找不到該論文。判定為幻覺引用(hallucinated reference),已替換為兩篇可核實的 MCP 安全論文([5] 與 [5a])。 |
| [7] Google Cloud 文件 URL | ✅ URL 正確 | docs.cloud.google.com/kubernetes-engine/docs/how-to/agent-sandbox 確為 Google Cloud 官方文件的實際域名與路徑。先前對此 URL 的疑慮為誤判。 |
| [9] 資安署新聞稿(OpenClaw) | ✅ 確認存在且適切 | 新聞稿確實存在。OpenClaw(暱稱「龍蝦」)為台灣廣泛使用的 AI agent 平台;新聞稿以其為例,提供的五項防護建議具通則性,適用於各類 AI agent 系統,引用合理。已補充 OpenClaw 背景說明。 |
參考文獻
[1] Kaiyuan Zhang, Zian Su, Pin-Yu Chen, Elisa Bertino, Xiangyu Zhang, Ninghui Li, "LLM Agents Should Employ Security Principles," arXiv:2505.24019, 2025. https://arxiv.org/abs/2505.24019
[2] Quan Zhang, Lianhang Fu, Lvsi Lian, Gwihwan Go, Yujue Wang, Chijin Zhou, Yu Jiang, Geguang Pu, "Evaluating Privilege Usage of Agents with Real-World Tools," arXiv:2603.28166, 2026. https://arxiv.org/abs/2603.28166
[3] Mohamed Amine Ferrag, Norbert Tihanyi, Djallel Hamouda, Leandros Maglaras, Abderrahmane Lakas, Merouane Debbah, "From Prompt Injections to Protocol Exploits: Threats in LLM-Powered AI Agents Workflows," arXiv:2506.23260, 2025. https://arxiv.org/abs/2506.23260
[4] Eric Wallace, Kai Xiao, Reimar Leike, Lilian Weng, Johannes Heidecke, Alex Beutel, "The Instruction Hierarchy: Training LLMs to Prioritize Privileged Instructions," arXiv:2404.13208, 2024. https://arxiv.org/abs/2404.13208
[5] Vineeth Sai Narajala, Idan Habler, "Enterprise-Grade Security for the Model Context Protocol (MCP): Frameworks and Mitigation Strategies," arXiv:2504.08623, 2025. https://arxiv.org/abs/2504.08623
[5a] Herman Errico, Jiquan Ngiam, Shanita Sojan, "Securing the Model Context Protocol (MCP): Risks, Controls, and Governance," arXiv:2511.20920, 2025. https://arxiv.org/abs/2511.20920
[6] Kubernetes Blog, "Running Agents on Kubernetes with Agent Sandbox," 2026. https://kubernetes.io/blog/2026/03/20/running-agents-on-kubernetes-with-agent-sandbox/
[7] Google Cloud Documentation, "Isolate AI code execution with Agent Sandbox," GKE AI/ML documentation, 2026. https://docs.cloud.google.com/kubernetes-engine/docs/how-to/agent-sandbox
[8] Kubernetes SIG Apps, "kubernetes-sigs/agent-sandbox," GitHub repository. https://github.com/kubernetes-sigs/agent-sandbox
[9] 數位發展部資通安全署,「小心 AI 代理變資安破口,資安署提醒導入 OpenClaw 應落實五項資安防護」, 2026-03-25. https://moda.gov.tw/ACS/press/news/press/19294
備註: OpenClaw(俗稱「龍蝦」)為一款在台灣廣泛使用的 AI agent 平台。該新聞稿以 OpenClaw 為例,所提出的五項防護建議具通則性,適用於具備工具執行能力的 AI agent 系統。
[10] Varun Pratap Bhardwaj, "Formal Analysis and Supply Chain Security for Agentic AI Skills," arXiv:2603.00195, 2026. https://arxiv.org/abs/2603.00195
[11] Yi Liu, Zhihao Chen, Yanjun Zhang, Gelei Deng, Yuekang Li, Jianting Ning, Ying Zhang, Leo Yu Zhang, "Malicious Agent Skills in the Wild: A Large-Scale Security Empirical Study," arXiv:2602.06547, 2026. https://arxiv.org/abs/2602.06547
[12] Yubin Qu, Yi Liu, Tongcheng Geng, Gelei Deng, Yuekang Li, Leo Yu Zhang, Ying Zhang, Lei Ma, "Supply-Chain Poisoning Attacks Against LLM Coding Agent Skill Ecosystems," arXiv:2604.03081, 2026. https://arxiv.org/abs/2604.03081
[13] Zhiyuan Li, Jingzheng Wu, Xiang Ling, Xing Cui, Tianyue Luo, "Towards Secure Agent Skills: Architecture, Threat Taxonomy, and Security Analysis," arXiv:2604.02837, 2026. https://arxiv.org/abs/2604.02837