AI Agent 上生产前,先把权限模型想明白:Claude、Hermes、OpenClaw 怎么做
过去大家聊 Agent 安全,很多时候只是抽象担心。但最近三个月,讨论开始变得具体:
- 默认能不能写文件
- 执行命令要不要审批
- 工具白名单在哪里配置
- 远程暴露时靠什么做隔离
这时候再看 Claude Code、Hermes、OpenClaw,差异就非常清楚了。
一张表看三种路线
| 系统 | 默认倾向 | 关键机制 | 更适合 |
|---|---|---|---|
| Claude Code | 默认保守 | 只读、审批、sandbox、目录边界 | 真正的代码仓库 |
| Hermes Agent | 平衡灵活和防护 | 多层防御、危险命令审批、容器隔离 | 长期自治运行 |
| OpenClaw | 大系统面下持续补强 | Exec approvals、host policy、channel 安全 | 多入口 assistant runtime |
Claude Code:先把权限收紧,再谈自动化
Claude Code 官方文档对权限边界写得非常明确:
- 默认只读
- 编辑、测试、命令执行需要显式审批
- bash 可以进 sandbox
- 写入范围默认在当前项目目录内
这套设计非常适合团队仓库,因为它假设:
Agent 是强能力执行器,但必须待在清楚的边界里。
Hermes:强调 defense in depth
Hermes 的安全文档更像在搭一套分层防线。除了审批,还强调:
- 授权
- 工具过滤
- 敏感上下文扫描
- 执行环境隔离
- 容器和 backend 边界
这条路线适合长期运行,因为它默认你会给 agent 更大操作面,所以必须用多层控制补回来。
OpenClaw:重点在更复杂的系统表面积
OpenClaw 和前两者不同,它经常要面对:
- 多消息通道
- 更多 provider
- 更多插件和 companion app
- 更长期的远程可达性
所以它这两个月的关键信号不是“又多了一个功能”,而是:
- Exec approvals 文档继续细化
- trust durability 问题被修正
- security fixes 被持续放进发布摘要
这说明团队已经很清楚:如果 assistant runtime 的入口越来越多,权限治理就必须跟上。
一个很实际的选择标准
如果你的目标是:
- 代码仓库执行:优先看 Claude Code 这种强审批模型
- 长期自治流程:优先看 Hermes 这种多层防御
- 聊天入口和跨平台助手:优先看 OpenClaw 这种大系统面 runtime,但要自己做好边界治理
我的判断
2026 年真正能进生产的 Agent,不是“最会做事”的那个,而是:
出问题时,你知道它为什么能做、为什么没被拦,以及该怎么停掉它。
权限模型不是配角,它就是 Agent 架构的一部分。
来源
- Claude Code 官方 permissions / security 文档
- Hermes Agent 官方 security 文档
- OpenClaw 官方 exec approvals 文档
- X.com:关于 Agent 权限和信任边界的讨论