Mercury:AI Agent 市场的「安全」补位者

OpenClaw 证明了开发者想要本地执行命令的 Agent。Hermes 证明了 Agent 需要持久化记忆。Mercury 的任务是：解决安全问题，如恶意技能存在、4万实例因一个远程代码执行RCE遭遇风险、Token预算问题。

背景

AI Agent 市场正在快速分化。

OpenClaw 获得近40万GitHub stars，证明了开发者确实想要一个能在本地执行 Shell 命令的 Agent——而不是在浏览器标签页里生成文字。

Hermes 来自 Nous Research，带来了 SQLite 持久化记忆和自主技能生成。

两者都是Agent工程学上的优秀实践。

还有三个问题待解决：安全漏洞、成本失控、身份黑箱。

Mercury 的出现，填补这个空白。

问题一：安全

恶意技能的威胁

OpenClaw 的技能生态依赖第三方扩展，而这些扩展缺乏安全审核。

实际情况：800+ 个恶意技能在野外被发现，专门从事凭据泄露。

这不是理论风险。这是已发生的现实。

CVE-2026-25253

OpenClaw 核心架构存在一个 CVSS 8.8 的 RCE（远程代码执行）漏洞。

4万个实例因这一个漏洞被完全控制。

攻击方式：用户点击一个恶意链接。

这意味着什么？本地保护被完全绕过，攻击者可以在这4万台机器上执行任意代码。

SSH密钥、API凭据、文件——全部可被访问。

当前 Agent 的权限模型

大多数 Agent 的权限模型过于宽松：

• 能读取任意文件
• 能执行 Shell 命令
• 能安装第三方技能

这些权限被设计成「宽进严出」——什么都能做，只是执行前可能提示确认。

但 prompt injection 和 social engineering 可以轻易绕过「确认」环节。

问题二：成本

上下文窗口膨胀

OpenClaw 以上下文窗口膨胀著称。

对话历史以完整的 JSONL 格式被反复喂给模型，导致：

• 数分钟的静默处理
• API 账单远超预期

「祈祷式计费」

用户的处境是：

1. 运行 Agent
2. 祈祷不要超预算
3. 月底看到账单

这个过程缺乏透明度和控制力。

问题三：身份

两极化的方案

OpenClaw：人格分散在多个目录的文件中，难以统一管理。

Hermes：人格依赖自动生成，存储在用户无法读取的 SQLite 数据库里。

Mercury 的解法

1. 权限硬化架构

Mercury 的权限模型不是「提示确认」，而是硬拦截：

硬编码拦截的命令：

sudo *       → 永不执行rm -rf /    → 永不执行dd if=* of=/dev/*  → 永不执行

这些命令在执行层就被拦截。它们不会触发确认对话框，因为它们根本不会执行。

文件夹级读写作用域：

Agent 只能读写明确授权的目录。

# 配置示例{  "scopes": {    "read": ["~/projects/*", "~/documents/*"],    "write": ["~/projects/*"]  }}

第三方技能的精细权限：

第三方技能只能通过明确定义的颗粒度工具获得提升权限。

2. Token 纪律

内置 Token 效率：

• 每次请求的上下文窗口限制在 ~400 个 Token（核心人格）
• 每日 Token 预算
• 70% 阈值触发 Auto-Concise 模式

Auto-Concise 模式：

当使用量超过每日预算的 70% 时，自动收紧上下文，保持 API 账单平稳，同时不中断活跃任务。

实时监控：

/budget# 今日预算: 100,000 tokens# 已使用: 68,000 (68%)# Auto-Concise: 待激活

3. Soul 系统

Mercury 采用四文件 Markdown 人格系统：

文件	作用
soul.md	核心灵魂定义
persona.md	人格设定
taste.md	偏好（深色主题、干净UI……）
heartbeat.md	心跳/活跃度配置

关键特性：

• 纯文本格式
• 可 Git 版本控制
• 用户 owns 自己的 Agent 身份

不像 SQLite 黑箱，Mercury 的身份系统是透明的、可编辑的、可审计的。

4. 常驻 Daemon

零依赖后台进程：

mercury up

这行命令将 Mercury 安装为系统服务：

• macOS: LaunchAgent
• Linux: systemd user unit
• Windows: Task Scheduler

可靠性保证：

• 开机自启
• 崩溃自动重启（带指数退避，每分钟最多10次重启）
• 自动 cron 调度

与 Hermes/OpenClaw 的对比：

方案	持久化方式
Hermes	需要自建 Docker/VPS
OpenClaw	需要持续「babysit」
Mercury	系统服务，安装即忘

5. 第二大脑

自动记忆提取：

每次对话结束后，Mercury 自动提取 0-3 条关于用户的事实。

每条事实包含：

• 类型（偏好、目标、习惯……）
• 置信度分数 (0-1)
• 重要性
• 持久度评级

召回机制：

每次消息前，通过 FTS5 全文搜索检索最相关的至多5条记忆，限制在 900 字符内。

矛盾解决：

当检测到矛盾时（你喜欢X，但现在偏好Y），置信度更高的记忆胜出。

10种记忆类型：

Identity、preference、goal、project、habit、decision、constraint、relationship、episode、reflection。

每小时自动整合：

• 档案摘要合成
• 模式检测生成反思
• 强化3+次后，活跃记忆升级为持久记忆

技术规格

31个内置工具：覆盖文件操作、GitHub 管理、多通道集成。

支持的平台：CLI（带 readline 和方向键菜单）、Telegram（带打字指示器、HTML 格式化、文件上传、私密1:1访问审批）。

即将支持：Signal、Discord、Slack、WhatsApp。

数据存储：全部在本地 ~/.mercury/，SQLite + FTS5。

快速开始

npm i -g @cosmicstack/mercury-agentmercury

首次运行触发设置向导：输入名字、API key、可选的 Telegram bot token。

30秒完成。

市场定位

OpenClaw 证明了本地编排的需求。

Hermes 证明了持久化的价值。

Mercury 代表了另一个逻辑迭代：建立在权限硬化基础上的流线型命令行原生引擎。

这是一个可靠的 worker，先问再做。

链接：

GitHub：cosmicstack-labs/mercury-agent

官网：mercury.cosmicstack.org