养龙虾？OUT了，我们开始养马：Hermes Agent 怎么接进档案工作流

前几年大家都在“养知识库”。

后来又开始“养工作流”。

现在轮到 Agent 了。为了让这个概念不那么玄，我更愿意把它比作“养马”：马能跑，但必须有缰绳；马能帮人干活，但不能自己决定往哪儿跑；马越强，越需要路线、口令、护栏和停下来的机制。

Hermes Agent 值得拿来做技术文章，不是因为名字新鲜，而是因为它正好能说明一个档案行业很关键的问题：AI 如果不只是聊天，而是要帮人检索档案、整理线索、生成报告、调用工具，它的底层到底怎么工作？又应该被限制在哪里？

先把 Agent 讲成人话

普通聊天机器人像一个“会回答问题的人”。你问一句，它答一句。

Agent 更像一个“会使用工具的人”。它不是只生成文字，而是会先判断任务需要哪些步骤，再决定调用哪个工具，然后根据工具返回结果继续下一步。

可以把 Agent 理解成四个部件。

第一是大脑，也就是基础模型。它负责理解任务、拆步骤、生成参数、判断下一步。

第二是工具箱。工具可以是检索接口、OCR 质检脚本、数据库查询、文件读取、网页搜索、报告生成器。Agent 真正能做什么，取决于工具箱里放了什么。

第三是记事本。它保存任务过程、偏好、历史信息或中间结果。记事本如果不受控，就可能把不该留存的信息留下。

第四是刹车。刹车包括权限、审计、人工确认、失败回滚。档案行业最不能缺的就是这一部分。

所以一句话讲清楚：Agent = 模型 + 工具 + 记忆 + 权限控制。

为什么档案行业不能直接“放马进库房”

档案系统不是普通办公系统。

一份档案能不能看，谁能看，能看到目录还是原文，能不能下载，利用后是否要审批，这些都不是模型自己能决定的。

如果把 Agent 直接接到正式档案库，还给它一个能读能写的数据库账号，就相当于把一匹马放进密集架库房，还把门禁卡、库房钥匙、调档单、删除按钮都挂在它脖子上。

看起来很酷，实际很危险。

正确做法是先做沙箱。沙箱里只放脱敏样例、开放目录、测试原文片段和只读工具。Agent 可以在里面学习任务流程，但不能碰正式库、不能改目录、不能改权限、不能删除原文。

Hermes Agent 适合用来验证什么

根据 NousResearch 官方仓库和文档，Hermes Agent 的重点包括模型配置、工具配置、命令行运行、内置学习循环、工具检查等能力。正式安装时要按当天官方文档复核，因为这类项目变化很快。

一个最小试验，不需要先接真实档案系统。可以先准备三类材料。

第一类是 100 条脱敏目录记录，包括档号、题名、年度、责任者、开放状态。

第二类是 20 份公开或脱敏的原文片段，每个片段带页码和片段编号。

第三类是 10 个任务问题，例如“找出某项目从立项到验收的关键材料，并生成带出处的说明”。

然后给 Agent 三个只读工具。

{
  "tools": [
    {
      "name": "search_archive_demo",
      "level": "L1_READ_ONLY",
      "description": "按题名、年度、责任者、关键词检索脱敏目录"
    },
    {
      "name": "read_allowed_chunk",
      "level": "L1_READ_ONLY",
      "description": "读取已经通过权限过滤的原文片段"
    },
    {
      "name": "render_report_draft",
      "level": "L2_DRAFT_ONLY",
      "description": "生成带引用的报告草稿，不写入正式业务库"
    }
  ]
}

注意这里没有“update_archive”“delete_file”“change_permission”。这不是遗漏，而是刻意不开放。

安装命令不是重点，配置边界才是重点

官方文档里的命令可以作为试验入口。通常会涉及安装 CLI、初始化配置、检查工具、启动服务等步骤。示例写法类似下面这样，正式执行以前必须按官方仓库最新说明核对。

npm install -g @nousresearch/hermes-agent
hermes setup
hermes tools
hermes doctor
hermes backend

真正要看的不是命令能不能跑起来，而是跑起来以后你给了它什么权限。

如果模型 Provider 接的是云端模型，输入内容必须先脱敏，不能把敏感原文直接发出去。

如果模型接的是内网本地服务，要看模型能力是否足够支持工具调用、结构化输出和长文本理解。

如果工具连接档案系统，必须走业务 API，不能绕过权限层直接读库。

如果要保存记忆，必须明确哪些信息能保存，保存多久，谁能清理，能不能导出审计。

一个档案任务如何被 Agent 执行

假设用户问：请整理某建设项目从立项到验收的关键档案，并生成一段利用说明。

普通聊天机器人可能直接开始写。

Agent 正确的过程应该是这样的。

第一步，改写问题。把“某建设项目”拆成项目名称、可能年度、材料类型、阶段词，比如立项、招标、合同、验收、审计。

第二步，调用检索工具。先查目录，不读原文。得到候选档案清单。

第三步，做权限过滤。用户没有权限的材料不进入下一步，模型不能看到。

第四步，读取允许片段。只读取通过过滤的原文片段，并保留页码。

第五步，生成草稿。草稿每个关键结论都要带档号、页码或片段编号。

第六步，进入人工审核。报告不能自动发布，只能进入待审队列。

这就是档案 Agent 和普通 AI 助手的区别：不是“会不会写”，而是“每一步有没有边界”。

工具权限要分四级

为了让非技术读者也能理解，可以把工具权限想象成办公楼门禁。

L1 是只能看大厅公告。对应只读检索、读取公开目录、查看任务状态。

L2 是可以填写草稿表。对应生成摘要、质检说明、报告初稿，但不进入正式库。

L3 是可以提交待审材料。对应把候选字段写入待复核表，等档案人员确认。

L4 是可以改正式档案。对应修改目录、改变开放状态、删除原文、正式发布成果。

Agent 初期只应开放 L1 和 L2。L3 要强制人工确认。L4 不应该开放自动执行。

permission_policy:
  L1_READ_ONLY:
    allow:
      - search_archive_demo
      - read_allowed_chunk
  L2_DRAFT_ONLY:
    allow:
      - summarize_with_citation
      - render_report_draft
  L3_REVIEW_REQUIRED:
    allow_after_human_confirm:
      - write_candidate_metadata
  L4_FORBIDDEN_FOR_AGENT:
    deny:
      - delete_original_file
      - change_archive_permission
      - publish_formal_result

这段配置不是为了好看，而是为了告诉系统：马可以跑，但只能在围栏内跑。

怎么判断这个 Agent 试验有没有价值

不要用“看起来很智能”做验收。

建议用五个指标。

第一，引用命中率。报告里的关键结论，能不能回到正确档号和页码。

第二，越权率。无权限片段有没有进入模型上下文。这个指标目标必须是 0。

第三，结构化输出成功率。生成的 JSON、报告字段、引用列表能不能被程序解析。

第四，人工修改率。档案人员最终改了多少。如果每次都大改，说明 Agent 只是写得热闹。

第五，失败可回放率。每次错误能不能看到它调用了什么工具、拿到了什么结果、为什么生成了错误结论。

这五个指标，比“AI 回答得很流畅”更适合档案行业。

领至科技应该怎么用这个方向

领至科技现在已经有档案系统、数字化工具、检索、OCR、自动著录、官网/公众号自动化这些基础能力。Agent 方向不应该另起炉灶，而应该把这些能力变成一个个受控工具。

短期可以做三类试验。

第一类是内容生产 Agent：从选题、资料核验、文章草稿、官网草稿、公众号草稿，到回读检查。

第二类是档案检索 Agent：只读检索、来源引用、报告草稿、人工审核。

第三类是质检 Agent：读取 OCR 结果、发现字段冲突、生成整改清单。

这三类都不需要一开始碰机器人，但它们会为未来机器人任务打底。因为机器人接入系统以后，本质上也只是另一个“工具”：它能移动、识读、盘点、回写，但仍然要受任务、权限、审计和人工接管控制。

结尾：先学会牵马，再谈万马奔腾

Hermes Agent 这样的项目值得关注，但不要把它当成万能产品。

对档案行业来说，Agent 的价值不在于名字多新，而在于它能不能把复杂任务拆成可审计的步骤，把每一步限制在合适权限内，把结果交给人复核。

如果这套机制跑通，AI 才可能从“能聊天”走向“能帮忙干活”。

点击文末阅读原文访问领至科技官网，后续我们会继续拆解 Agent、RAG、本地模型和档案业务系统的连接方式。