Hermes Agent 超ベストプラクティス + OpenClaw 比較（2026/5/9）

2026年5月9日 14:50 更新

一言でいうと

    Hermes Agent（Nous Research 製の自己学習型 AI エージェント、2026/2 リリース）は テレメトリ完全ゼロ + サンドボックス設計で OpenClaw より思想的に守りが堅い。ただし監査で 4 Critical + 9 High の脆弱性が出ている若さも併せ持つ。健人がどっち触るかなら Hermes 寄り、ただし両方とも隔離前提は変わらず。
  

Hermes と OpenClaw、どちらも 5/7 に最新リリース。同日リリースの偶然から見える業界の動きと、健人の判断基準を比較表で整理した（後段）。先に Hermes 単体の事実をおさらいする。

なぜこれを並べて見るのか

健人は OpenClaw を入れたいと言ってきたが、調査の途中で 「Hermes Agent も同じ立ち位置の競合」として浮上した。両者はメッセージングアプリから AI に指示する「セルフホスト型 AI 秘書」という意味で用途がほぼ同じ。ただし思想と実装は対照的：

OpenClaw = Gateway-first（チャット入口を主役にして、エージェントを後ろにぶら下げる）
Hermes = Agent-first（学習する自律エージェントを主役にして、チャットは外側のラッパー）

同じ用途を目指すのに思想が違うので、健人がどっちを選ぶかで運用の重心が変わる。この記事で並べて見る。

Hermes Agent って何？（OpenClaw 知ってる前提）

Hermes Agent は Nous Research（ヌース・リサーチ、Hermes / Nomos / Psyche を作っている AI 研究組織。会社として運営）が公開した OSS（オープンソースソフトウェア）。「学習しながら成長するエージェント」がコンセプト。

基本情報

初版：2026 年 2 月 25 日
最新版：v0.13.0「The Tenacity Release」（2026 年 5 月 7 日、2 日前）
GitHub：NousResearch/hermes-agent（約 14 万 stars、史上最速級の AI エージェント）
ライセンス：MIT（OpenClaw と同じ、無料利用 OK）
設定ディレクトリ：~/.hermes/
実装言語：Python 中心、uv.lock（依存ロック）でサプライチェーン保護
公式サイト：hermes-agent.nousresearch.com

OpenClaw にない 3 つの差別化要素

1学習ループ（self-improving loop）

エージェントが自分の経験からスキル（再利用可能な手順）を作り、使うたびに磨いて、過去の会話を検索して「ユーザー像」を深めていく。OpenClaw のスキルは静的（人が書いて終わり）で、ここが思想的な差。ベンチマークでは「研究タスクで 40% 時短」という数字も出ている（ただしドメイン特化、転用は効かない）。

2テレメトリ「by design」ゼロ

OpenClaw は DISABLE_TELEMETRY=1 で切る形（つまりデフォルトはオン）だが、Hermes はそもそも仕組みとして送信しない。「No telemetry, no tracking, no cloud lock-in」と公式が明言。会話・メモリ・スキルは全て ~/.hermes/ 以下にローカル保存。

36 種類のバックエンド（実行場所が選べる）

local（自分の PC）/ Docker（コンテナ）/ SSH（リモートサーバ）/ Singularity（HPC = スーパーコンピュータ）/ Modal / Daytona（サーバレス、待機中はほぼ無料）の 6 つから選べる。$5 の VPS（仮想プライベートサーバ）でも動く。「PC を切ってもエージェントが起き続ける」運用が可能。

セキュリティ評価：思想は良いが若い

Issue #7826（v0.8.0 デフォルト設定の独立監査）で 4 Critical + 9 High の脆弱性が指摘された。詳細を知らずに「Hermes はテレメトリゼロだから安全」と判断するのは早計。

Critical 4 件の中身

ID	内容
`C1`	terminal ツールが `bash -c` に任意コマンドを通す（local backend デフォルト）。フィルタは正規表現のみで回避可能。
`C2`	`read_file` が `/etc/passwd`・SSH キー・`.env` など任意のファイルを読める。出力 redaction（マスキング）はあるがアクセス自体は防げない。
`C3`	Docker / singularity / modal / daytona バックエンド使用時、承認チェック（approval）が無条件に全スキップ。「サンドボックスにいるから安全」という前提が安全側に倒れていない。
`C4`	エージェント自作スキルが `~/.hermes/skills/` に永続保存され、再起動後も「持続的プロンプトインジェクションベクタ」として残り続ける。フィルタは正規表現のみ。

公開済み CVE（脆弱性公開番号）

CVE	深刻度	内容
`CVE-2026-7396`	HIGH	WeChat Work Adapter（`gateway/platforms/wecom.py`）の path traversal。すでに in-the-wild（実際の攻撃で観測済み）。WeChat 連携を使わない人は影響軽微。
`CVE-2026-6829`	HIGH	Hermes WebUI の path traversal、ワークスペース外のファイルアクセス。WebUI 使用者のみ影響。
`CVE-2026-6830`	HIGH	プロファイル切り替え時に環境変数（API キーを含む）がクリアされず、別プロファイルからアクセス可能。
`CVE-2026-6832`	8.1 HIGH	`/api/session/delete` でセッションディレクトリ外のファイル削除可能（任意ファイル削除）。
`CVE-2026-22798`	MED	ログファイルに API トークンが平文で書き出される（情報開示）。

v0.13.0 で改善されたところ（重要）

2026/5/7 リリースの v0.13.0 で セキュリティ波として 8 つの P0 が修正された。具体的には：

redaction（API キー等のマスキング）がデフォルト ONに
Discord ロール allowlist が guild-scoped（サーバ単位で限定）に
WhatsApp は未登録の知らない人を default reject
auth.json と MCP（Model Context Protocol）の OAuth 認証で TOCTOU 競合を修正

つまり v0.13.0 以降を使うのが大前提。それより古いと監査時点の問題が残っている。

Hermes が OpenClaw に勝っている安全要素

テレメトリ送信なし（OpenClaw は明示的に切る必要あり）
Docker サンドボックス時にread-only ルートファイルシステム + Linux capability ドロップ + namespace isolation がデフォルト（OpenClaw もネットワーク無効はデフォルトだがアーキテクチャ強度は Hermes が上）
API キー redaction が 30+ パターン網羅
SSRF（サーバー側偽装リクエスト）保護と認証情報ストリッピング実装済み
uv.lock によるサプライチェーン保護（ClawHub のような「マルウェアスキル拡散」事件はまだない）

OpenClaw vs Hermes 比較表（健人向け4軸）

機能 / 価格 / コミュニティ / セキュリティの 4 軸で並べる。緑=有利、赤=不利、白=同等。

項目	OpenClaw	Hermes Agent
開発元	Peter Steinberger（個人 → 非営利財団）	Nous Research（研究組織、法人）
初版リリース	2025/11（Clawdbot 名）	2026/2/25
最新版	v2026.5.7（5/7）	v0.13.0 = v2026.5.7（5/7、奇しくも同日）
GitHub stars	約 37 万（史上最速級）	約 14 万（こちらも最速級）
ライセンス	MIT	MIT
機能
思想	Gateway-first（チャット入口）	Agent-first（学習エージェント）
統合チャンネル数	30+（最多級）	18〜20+
自己学習	なし（スキルは静的）	あり（実行→評価→抽出→改善→検索のループ）
実行バックエンド	local + Docker サンドボックス	local / Docker / SSH / Singularity / Modal / Daytona の 6 種
音声 / Voice	Twilio / Google Meet 統合 (5/4 追加)	video_analyze（Gemini 系）追加 (5/7)
iMessage 連携	あり（Lume VM 経由）	あり（BlueBubbles）
スキルストア規模	ClawHub 13,000+ スキル（ただし汚染あり）	Skills Hub（agentskills.io）小規模、118 同梱
価格
本体	無料 (MIT)	無料 (MIT)
LLM 利用	Anthropic / OpenAI / Ollama 等	Nous Portal / OpenRouter / OpenAI / Claude / Ollama 等（200+ モデル）
マネージド版	なし（自分で立てる）	FlyHermes：初月 $29.50、月 $59
VPS 最小構成	推奨 Mac mini（4〜5 万円）	$5/月 VPS で動く（Daytona/Modal でアイドル時ほぼ 0）
Anthropic 4/4 制限	直撃（Claude Pro/Max 経由禁止、API 従量課金必須）	同様の影響あり（OpenClaw 名指しの規約だが実態的に Hermes も）
コミュニティ
X 上の話題量	圧倒（公式 X 高頻度投稿、コミュニティ厚い）	急成長中（Web3 文脈からの流入が多い）
日本語ドキュメント	公式 ja-JP 版あり、窓の杜・Qiita 記事多数	v0.13.0 で日本語含む 7 言語化、コミュニティ記事は少なめ
ガバナンス	非営利財団に移管中（Steinberger は OpenAI 入社）	Nous Research 主導で安定
中国政府禁止	あり（2026/3、国営企業・政府機関）	なし
セキュリティ
テレメトリ	デフォルト ON、`DISABLE_TELEMETRY=1` で off	by design でゼロ（送信機構自体がない）
Docker サンドボックス強度	network=none デフォルト	read-only root + cap drop + namespace、デフォルト
API キー保護	標準的	30+ パターン redaction、SSRF 保護、credential stripping
2026 年 CVE 件数	156 advisories、月数件 Critical（CVSS 9.8 が 5/6 公開）	5+ CVE、Issue #7826 で 4 Critical / 9 High（v0.13.0 で 8 P0 修正）
サプライチェーン攻撃	ClawHavoc キャンペーン、1,400+ 汚染スキル、AMOS 配布	大規模事例なし（uv.lock + 規模が小さい）
Microsoft / Snyk 等の警告	Microsoft「組み込みセキュリティが限定的」、Snyk「サンドボックス回避経路 2 種」	公式の独立監査（Issue #7826）が公開されている
Mac 主端末での直接実行	絶対 NG（AMOS 配布事例あり）	非推奨（C1〜C4 が示す通り、隔離前提）

健人のケース：どっちを選ぶか

OpenClaw を選ぶべき場面

WhatsApp / iMessage / Slack 等を 5 種以上同時に統合したい
音声通話エージェント（Twilio / Google Meet）を業務で使う
すでに OpenClaw 公式コミュニティで質問できる体力がある
日本語ドキュメントを最重視（窓の杜 / Qiita 記事あり）
1,000+ のコミュニティスキル（玉石混交）を試したい

Hermes を選ぶべき場面（健人のケース）

テレメトリ漏洩を気にする（健人の懸念に直球で応える）
Ollama でローカル LLM 中心の運用にしたい
$5 VPS / Daytona でアイドル時無料運用したい
「学習する秘書」を 6 ヶ月以上育てたい（複利効果）
サプライチェーン攻撃を最小化したい（スキル汚染の前例なし）

健人が「情報漏洩が普通に心配」と最初に言った時点で、選択肢は Hermes 寄りになる。テレメトリが思想として 0 という点と、サプライチェーン攻撃の前例がまだない点が決定的に効く。

健人向け Hermes セットアップ手順（最小漏洩リスク版・10 ステップ）

OpenClaw 用の手順と並行・対比で読めるように、ステップ番号と構成を揃えた。

1専用環境の用意（メイン Mac から隔離）

目的：C1〜C4（Critical 監査結果）の影響を本物の Apple ID・1Password・iCloud から物理／論理的に切り離す。
OpenClaw と同じく (A) Mac mini 中古専用機 / (B) Lume VM。Hermes は $5 VPS も現実的（Hetzner / Vultr の最小プラン）。健人がイチから始めるなら最小構成は VPS が安い。

2バージョンを v0.13.0 以上に固定

目的：Issue #7826 で挙がった 8 つの P0 がこのバージョンで修正済み。これより古いと監査時点の問題が残る。インストールは：

curl -fsSL https://raw.githubusercontent.com/NousResearch/hermes-agent/main/scripts/install.sh | bash
hermes --version   # v0.13.0 以上を確認

3Docker バックエンドをデフォルトに

目的：local バックエンドは C1（任意シェル実行）の温床。Docker を必ず使う。read-only root + capability drop + namespace 隔離がデフォルトで効く。

hermes config set backend docker

ただし C3（Docker での承認チェックスキップ）の影響を受けるため、承認モードを別途強化（次ステップ）。

4承認（approval）を必須に＆ YOLO モード禁止

目的：Issue #7826 の High「YOLO モードが全セキュリティチェックを無効化」を回避。~/.hermes/config.json で：

{
  "approval": { "mode": "always_ask" },
  "yolo": false,
  "auto_approve_via_llm": false
}

auto-approve LLM はプロンプトインジェクションで突破されうるので明示的に切る。

5ファイルシステム書き込み境界を設定

目的：C2（任意ファイル読み取り）の被害を局所化。書き込み可能なルートを明示する：

export HERMES_WRITE_SAFE_ROOT=$HOME/hermes-workspace

これで /etc/passwd や SSH キーへの書き込みが防げる（読み取りは別途プラグインの allowlist で対応）。

6Hermes WebUI は使わない（または別ホスト）

目的：CVE-2026-6829 / 6830 / 6832 は WebUI 系の脆弱性。CLI と TUI（Ink ベースの端末 UI）だけで十分使える。WebUI を使うなら、メイン Mac とは別ネットワーク・別ホストで動かす。

7ローカルモデル（Ollama）を第一候補に

目的：Hermes はテレメトリゼロでも、LLM プロバイダ（Claude / GPT）に送れば外に出る。Ollama 連携で完全ローカル化：

brew install ollama
ollama pull llama3.3
hermes config set provider ollama
hermes config set model llama3.3

Hermes は 200+ モデル対応で OpenRouter 経由も使える（プライバシー優先なら Ollama）。

8API キーは専用発行＋予算上限

目的：CVE-2026-22798（ログ平文）と CVE-2026-6830（プロファイル間漏洩）の被害額を確定。OpenClaw と同じく 新規 Anthropic / OpenAI API キーを発行 + 月予算 $20〜$50。本業のキーを流用しない。

9スキル自動生成は確認モード

目的：C4（永続スキルがプロンプトインジェクションベクタ）を抑える。Hermes の自己学習は強みだが、新スキル生成時に必ず人間レビューを挟む設定にする：

hermes config set skill_creation.review_required true

自動で増えていくスキルが、過去の汚染入力で書かれたものかもしれない、と前提するのが安全。

10毎週アップデートと監査

目的：v0.13.0 が 8 P0 を一気に閉じたように、Hermes も週次で大量パッチが入る。週 1 で：

hermes update
hermes audit               # CVE データベースとの突き合わせ
git log v0.x.x..HEAD --oneline | head -50   # コミット差分の目視

公式 Discord か GitHub Watch で security advisory を購読しておく。

結論：健人がいま選ぶなら

判断材料の総括。OpenClaw と Hermes は同じ用途を目指す双子のようなプロジェクトで、5/7 にどちらも最新リリースが出るほど開発速度も似ている。しかし健人の起点が「情報漏洩が普通に心配」である以上、思想的に答えに近いのは Hermes 側。テレメトリ「by design」ゼロ・サプライチェーン汚染の前例なし・Docker サンドボックスのアーキテクチャ強度がそれぞれ OpenClaw を上回る。

Hermes 推し（メイン）。Mac mini か Lume VM か $5 VPS で隔離 → Docker バックエンド → Ollama 中心 → 専用 API キー → v0.13.0+ → 週次監査の 6 点セット。最初の 2 週間は雑用（リマインダー / 天気 / GitHub Issue 自動分類）で挙動確認。

OpenClaw 候補（補助）。健人が WhatsApp / iMessage / Slack を 5+ 同時統合したい・音声通話を業務で使う・1,000+ コミュニティスキルを比較検証したい、という用途なら OpenClaw を別の隔離環境に立てる。両方を別 Mac mini で運用するのも可能だが、まずは Hermes 1 本でいくのが管理コスト的に合理的。

判断保留（合理的）。観測点 3 つ。① v0.13.0 のセキュリティ波が 5〜6 月で安定するか、② Hermes でも ClawHavoc 級のサプライチェーン攻撃が出ないか、③ Anthropic 規約が再変更されないか。3 ヶ月（2026/8 頃）に再評価が合理的。その間は Claude Code（既存）+ Apple Reminders で十分代替できる業務は代替する。

調査で見送ったが要観察。Hermes WebUI（CVE 続発、外す方が安全）、FlyHermes マネージド版（$59/月の価値が個人で出るか不明）、自己学習スキルの長期挙動（6 ヶ月後にどうなるかはまだ誰も検証できていない）。

主要参考資料

Hermes 公式：hermes-agent.nousresearch.com ／ GitHub NousResearch/hermes-agent ／ Docs
リリース：v0.13.0 Tenacity Release（5/7）
セキュリティ監査：Issue #7826（4 Critical / 9 High）
CVE 解説：CVE-2026-7396 Tenable ／ CVE-2026-6829 SentinelOne ／ CVE-2026-6832 Sherlock
比較記事：The New Stack（OpenClaw vs Hermes）／ Kilo（Reddit 1300 コメント分析）／ Composio
日本語：Tencent Cloud（v0.13 ガイド）
OpenClaw 側：本サイトの OpenClaw 記事