Secrets
Hermes 可以在进程启动时,从外部 secret manager 拉取 API Key,而不是把所有密钥都明文写在 ~/.hermes/.env 里。
这件事解决的是一个很常见的问题:项目越多,provider 越多,.env 里的密钥就越容易散落、过期和泄露。使用外部 secret manager 后,.env 只需要保存一个启动令牌,OpenAI、Anthropic、OpenRouter、xAI 等 provider key 都可以集中放在 secret manager 中统一轮换。
目前官方文档已经覆盖:
- Bitwarden Secrets Manager:使用
bwsCLI,首次使用时懒安装,免费层也可以工作。
后续如果要支持 Vault、AWS Secrets Manager 或 1Password CLI,官方设计上只需要补一个 agent/secret_sources/ 模块和对应 CLI handler。