安全性

確認済み実機・内容確認: 2026-06-07 対象バージョン: v0.16.0 #hermes#settings#security

コマンド承認、内部ネットワークアクセス、シークレット保護、編集前スナップショットを設定する。

画面表示（主）	内部キー（サブ）	製品既定値	推奨
承認モード	`approvals.mode`	`manual`	`manual`
承認タイムアウト	`approvals.timeout`	`60` 秒	60～120秒
MCP 再読み込みの確認	`approvals.mcp_reload_confirm`	オン	オン
コマンド許可リスト	`command_allowlist`	空	頻用する低リスク操作のみ
シークレットを伏せる	`security.redact_secrets`	オン	オン
プライベート URL を許可	`security.allow_private_urls`	オフ	オフ
ブラウザーのプライベート URL	`browser.allow_private_urls`	オフ	オフ
プライベート URL にはローカルブラウザーを使用	`browser.auto_local_for_private_urls`	オン	オン
ファイルチェックポイント	`checkpoints.enabled`	オフ	コード編集ではオン

承認モード

画面表示（主）	保存値（内部）	既定	動作
Manual	`manual`	はい	承認対象コマンドを人が確認する。標準推奨
Smart	`smart`	いいえ	補助モデルがリスクを判定して自動承認を支援する。信頼できる環境向け
Off	`off`	いいえ	承認プロンプトを省略する。隔離された使い捨て環境以外では非推奨

off でも、致命的な破壊操作のハードブロックや sudo の標準入力保護など一部の防御は残る。ただし人による確認を失うため、安全と同義ではない。

承認タイムアウトは確認待ちの秒数。時間内に応答がなければ拒否される。

コマンド許可リストはカンマ区切りのパターン一覧。たとえば systemctl を登録すると、その語に一致する危険コマンドが将来のセッションでも自動承認される可能性がある。rm, sudo, パッケージ公開、クラウド変更など範囲の広いパターンを登録しない。

MCP のツール定義が変わると、モデルが利用できる外部操作も変わる。また、ツールスキーマがシステムプロンプトに含まれるため、再読み込み後のターンではプロンプトキャッシュが作り直される。オンのままにし、サーバー名、実行コマンド、URL、公開ツールを確認する。

完全な漏えい防止を保証する機能ではないため、ログやファイルに平文シークレットを置かない運用も必要。実行中プロセスが値を保持する場合があるため、変更後は新しいセッションで確認する。

localhost、ループバック、LAN、社内ネットワーク、クラウドメタデータなどへのアクセスに関係する。

設定	オフ	オン
プライベート URL を許可	一般的な URL 取得処理で内部アドレスを拒否	一般ツールが内部 URL へ到達可能
ブラウザーのプライベート URL	ブラウザープロバイダーによる内部 URL 操作を拒否	ブラウザーで内部 URL を開くことを許可
プライベート URL にはローカルブラウザーを使用	選択済みのブラウザー経路を維持	内部 URL をクラウドへ送らずローカルブラウザーへ自動切替

ローカル開発サーバーを操作するときだけ必要範囲で有効化する。内部管理画面やメタデータエンドポイントへの意図しないアクセスに注意する。

変更が多いコーディング作業ではオンを推奨する。保持数は詳細で設定する。Git コミットやバックアップの代替ではない。