v0.15.0发布不到24小时即成"一日版本"——v0.15.1携28 commits火速上线,核心修复了让所有Docker/托管用户仪表盘无限重载的致命Bug。
事件回顾
2026年5月29日凌晨(UTC 01:12),NousResearch发布了Hermes Agent v0.15.1(版本号v2026.5.29)。这是一个同日热修复版本,距离v0.15.0的首发仅过去不到24小时。
v0.15.0是Hermes Agent史上最大规模更新——1302 commits、747个合并PR、1746个文件变更、超过28万行新增代码。但这样一个里程碑版本,却隐藏着一个让大量用户「仪表盘无限重载」的致命Bug。
Bug的本质:在loopback模式下(Docker部署、托管Hermes、全新安装),仪表盘的/api/auth/me端点设计上返回401。但v0.15.0的「过期token重载守卫」把每一次401都当成session token过期,触发整页刷新去获取新token。每次刷新后,其他成功的API调用又清除了「仅重载一次」的守卫——于是仪表盘陷入无限重载循环。
在Firefox上表现为「Navigated to /sessions」风暴,Chrome上则是React无限重渲染风暴。GitHub Issue #34206和#34202迅速被大量用户轰炸。
修复方案:核心开发者@austinpickett在fetchJSON中新增了allowUnauthorized参数,专门跳过loopback模式下的过期token重载逻辑。401依然会抛出异常,但由AuthWidget正常处理,gate模式的login_url重定向不受影响。
▲ v0.15.0的无限重载循环与v0.15.1的修复方案对比
为什么这次热修复值得关注
1. v0.15.0的巨量代码债
v0.15.0是一次「野心过大」的版本。1302 commits意味着平均每天86个commit(按15天周期算)。这种速度下,测试覆盖率必然跟不上。热修复的出现几乎是必然的——事实上,v0.15.1的28个commit中有21个是来自社区的合并PR,说明社区在v0.15.0发布后的几小时内就发现了大量问题。
2. Docker用户的「隐式不安全」陷阱被堵上
v0.15.0的Docker入口点会自动推断--insecure:只要仪表盘绑定到非loopback主机,就自动禁用同源守卫。这意味着很多仅仅想通过LAN访问仪表盘的用户,无意中开启了不安全模式。
v0.15.1将其拆分为两个独立开关:绑定主机只管网络访问范围,HERMES_DASHBOARD_INSECURE=1才是明确的不安全模式开关。已有部署如果不设置这个环境变量,仪表盘将恢复安全模式。
3. MCP服务器在Docker里终于能用了
v0.15.0在Docker容器内无法启动MCP服务器——因为npx、npm、node等裸命令的PATH解析不包含/usr/local/bin,而Docker镜像里Node工具链正好在那里。v0.15.1修复了这个问题,MCP服务器现在在Docker环境下可以正常启动。
4. Skills目录从858暴增到19,932
这实际上是v0.15.0已实现但未完全生效的功能。旧版Skills页面只拉取了分页目录的前858条,v0.15.1通过遍历sitemap实现了全量19,932条技能的展示。这是一个23倍的提升,意味着用户现在能发现更多社区贡献的技能和插件。
▲ Skills目录从858条暴增至19,932条,23倍增长
完整修复清单
| 模块 | 修复内容 | 严重程度 |
|---|---|---|
| 仪表盘 | 401重载循环修复 | 🔴 致命 |
| Docker | --insecure显式opt-in | 🟡 安全 |
| Docker | arm64 PR构建缓存修复 | 🟢 构建 |
| MCP | 裸命令PATH解析 | 🟡 功能 |
| Kanban | Worker SIGTERM终于能杀死进程 | 🟡 稳定性 |
| Kanban | Worker支持vision模型的图片引用 | 🟢 功能 |
| 网关 | .md文件恢复正常分发 | 🟡 功能 |
| 网关 | 探针降级安全保护 | 🟡 稳定性 |
| CLI | /yolo会话中实时生效 | 🟢 体验 |
| CLI | /model选择器统一 | 🟢 体验 |
| Skills | 全量目录858→19,932 | 🟢 体验 |
| 脱敏 | Web URL不再被误杀query参数 | 🟡 数据 |
| Hindsight | 默认只观察,不干预 | 🟢 安全 |
| 记忆 | 记忆提供者获得完整对话上下文 | 🟢 功能 |
对AI创业者的行动建议
如果你在使用Hermes Agent v0.15.0,立即升级:
特别注意Docker用户:升级后如果你的仪表盘无法正常访问,检查是否需要设置HERMES_DASHBOARD_INSECURE=1环境变量。之前通过绑定非loopback主机自动获得的不安全模式,现在需要显式声明。
如果你是托管Hermes的用户(如Hugging Face Spaces等平台),v0.15.1已经修复了仪表盘无限重载的问题——之前你看到的白屏或疯狂刷新应该恢复正常了。
我们能学到什么
1. 大版本后必有热修复,留好余量
1302 commits的版本不可能没有Bug。如果你的产品依赖Hermes Agent,建议在大版本发布后等待24-48小时,让社区踩完第一批坑再升级。v0.15.1的出现完全在预期之内。
2. 安全默认值比便利更重要
v0.15.0自动推断--insecure是一个典型的「便利优先」设计失误。v0.15.1将其改为显式opt-in,虽然增加了配置步骤,但避免了用户在不自知的情况下暴露安全风险。这是成熟项目的标志。
3. 社区驱动的质量保障
v0.15.1的21个社区PR说明Hermes Agent已经形成了有效的「发布-反馈-修复」循环。对于创业者来说,这意味着:①项目活跃度高,问题会被快速修复;②但发布初期的稳定性不可依赖,需要自己做好测试。
4. Skills生态的爆发式增长
从858到19,932条技能,说明Hermes Agent的插件生态正在经历指数级增长。对于AI创业者,这意味着:越来越多的现成工具可以直接复用,降低开发成本。但同时也意味着信息过载——如何从近2万条技能中找到真正有用的,本身就是一个需要AI辅助的问题。
*本文基于Hermes Agent v0.15.1官方Release Notes撰写,事实数据来源于GitHub Releases页面。*
#AI创业 #HermesAgent #版本更新 #AI风向 #Agent工具
本文由AI辅助创作,经人工审核编辑发布