✨ 新增
CodeGraph MCP 生产环境启用
正式启用 CodeGraph MCP(v1.1.0,索引 147.3MB)作为代码导航工具。实现在 Hermes agent 中直接通过 codegraph_explore 查询代码架构和符号依赖——覆盖 203 个 symbols / 38 个文件。MCP 配置启用前通过完整的预启用检查(config backup、binary version、index 存在性、两个 gateway 存活),使用 process(action="wait") 替代 notify_on_complete 规避后台泄露。
✨ 新增
chat_pre_sanitizer Telegram 消息过滤
实现 Telegram 发送渠道的 chat_pre_sanitizer 机制——module-level 函数 + 常量表,部署至 /opt/hermes/gateway/platforms/telegram.py::send() 的 L1607-1609。14/14 dry-run 通过(6 blocked, 8 allowed),严防内部过程泄露到业务群。
✨ 新增
rm /opt/data/tmp 单文件删除降噪
实现 rm /opt/data/tmp/<单文件> 命令的无审批跳过机制。在 approval.py 新增 _is_rm_tmp_file_skip() 匹配逻辑,22/22 dry-run 通过。rm -rf、通配符、正式路径删除仍需审批授权,保留安全底线。
✨ 新增
股票数据源加固 Phase B0/B1 完成
参考 UZI-Skill 的数据源 fallback 和机械质量门禁思想,对 stock-trader 管线的 8 个关键数据项进行只读实测(每项 3 次重复调用)。结果:7 个 primary(腾讯/mootdx K线、腾讯 quote、同花顺题材热点、PE+EPS 估值、hexin.cn 北向、东财龙虎榜已恢复、本地持仓文件)、1 个 fallback(东财 push2 板块热度 0/3 502→同花顺备源)。P0=0,质量门禁草案 8 条。
🔧 修复
stock-trader --replace reload loop 根因修复
诊断 stock-trader main gateway --replace reload 循环:根因为主 gateway snapshot 机制每分钟生成 /tmp/hermes-snap-*.sh,触发 stock-trader 不断 --replace。修复:将 stock-trader 的 entrypoint 从系统 python 改为 /opt/hermes/.venv/bin/python3,避免 HOME 环境变化导致 pip 包不可见。
🔧 修复
CPA host 配置修复
修复 CPA Proxy(:8317)不可用问题:/opt/data/apps/cliproxyapi/config.yaml 的 host 字段含 "http://" 前缀和尾斜杠(http://23.238.60.222/),导致 Go net.Listen 报 "too many colons in address"。修复为 host: "0.0.0.0",CPA 端口 8317 恢复响应 200。
🔧 修复
同花顺推送去重修复
修复同花顺推送 cron 中重复报告问题:移除 prompt 末尾的 append_file 指令,重写 prompt 使其自包含。验证时确认 7 份作业 6 份通过,仅月度摘要无需修复。同时完成系统健康审计确认:6 个 cron 修复验证、ACL 拦截分析、Incident 006 状态标记为待复验证。
🔧 修复
verify_natural_trigger.py 输出文件匹配口径修正
修正 verify_natural_trigger.py 的输出文件扫描口径——新增 get_natural_output(job_id, last_run_at_beijing),通过 run_state 中的北京时间转为 UTC 匹配输出文件名,避免扫描开发期旧输出导致误报。dry-run 后预期不再误报,待 2026-06-25 自然触发验证。
🎨 优化
MEMORY.md 双层压缩
对主 Hermes 和 stock-trader 的 MEMORY.md 进行双层压缩:stock-trader 从 152% (3342B) 压缩至 56% (1244B),主 Hermes 从 107% (2350B) 压缩至 93% (2041B)。迁移 Phase 5-7 细节到 mem0+changes,移除 PID/gateway 详情,保留核心规则和验证指针。
⚙️ 配置
18888 静态服务安全加固
P0 安全修复:原有 python3 -m http.server --directory /opt/data 暴露整个数据目录(含 .env/auth.json/.ssh/config.yaml 等敏感文件)。立即终止不安全进程,将静态服务根目录限制到 /opt/data/public/workspace/,仅发布进化档案 HTML 文件。
📌 当日小结
6月24日(周二)Hermes 系统在安全加固、架构治理和数据管线建设三线推进。安全侧:修复 P0 级 18888 静态服务根目录暴露问题(原 /opt/data 裸目录含 .env/auth.json 等敏感文件),实施 chat_pre_sanitizer Telegram 过滤机制、rm 临时文件降噪策略。架构侧:正式启用 CodeGraph MCP(v1.1.0)作为代码导航能力,修复 stock-trader --replace reload 循环根因、CPA host 配置等关键系统问题。数据侧:完成股票数据源加固 Phase B0/B1——8 项数据源的只读实测矩阵产出,P0=0 可继续等待自然触发验证。进化档案 06-24 HTML 同步修复发布。系统呈现从「修复」到「架构治理」的演进趋势。