AgentHarness 课程
Hermes 专题/课程概述

第二十五课:安全最佳实践

--add-dir用法生产环境安全常见安全错误

学习目标

  • 掌握安全配置最佳实践
  • 了解常见安全错误
  • 学会安全地使用 Codex

一、配置建议

1.1 沙盒配置

  • 使用 workspace-write 作为默认沙盒
  • 只有在隔离环境中才使用 danger-full-access
  • 使用 --add-dir 授权额外目录,而非降低沙盒级别

1.2 审批配置

  • 使用 on-request 作为默认审批策略
  • 为 CI/CD 环境配置专用的 API Key
  • 定期轮换 API Key

1.3 ExecPolicy 配置

  • 为常见命令创建 allow 规则
  • 为危险命令创建 deny 规则
  • 定期审查和更新规则

二、常见安全错误

2.1 在生产环境使用 danger-full-access

这是最危险的错误。生产环境应该使用最严格的沙盒策略。

2.2 禁用所有审批

使用 never 策略时,代理可以执行任何命令,包括危险命令。

2.3 不检查代理执行的命令

即使使用 on-request 策略,也应该定期检查代理执行的命令。

2.4 在共享环境中暴露 API Key

API Key 应该妥善保管,不要提交到版本控制。

三、生产环境安全

3.1 API Key 管理

  • 使用 CI/CD 专用的 API Key
  • 限制 API Key 的权限范围
  • 定期轮换密钥
  • 使用环境变量存储

3.2 命令监控

  • 记录代理执行的所有命令
  • 定期审查日志
  • 设置异常告警

3.3 权限控制

  • 使用最小权限原则
  • 限制代理的文件系统访问
  • 限制代理的网络访问

四、团队安全

4.1 共享 AGENTS.md

  • 在 AGENTS.md 中定义安全规范
  • 团队成员共享安全配置
  • 定期更新安全策略

4.2 代码审查

  • 使用 read-only 策略进行代码审查
  • 审查代理生成的代码
  • 验证代理执行的命令

五、本课小结

要点说明
沙盒配置默认 workspace-write
审批配置默认 on-request
API Key专用、轮换、保密
命令监控记录、审查、告警

下一步

下一课我们将了解 AGENTS.md 配置体系。