Funk-lab/ansible/roles/hermes_exec/README.md
ALI YESILKAYA 9a46f6cbcb
feat(stt): actions cluster via Hermes — contexte « agent » + exécuteur hermes-exec (#42)
Asa peut AGIR sur le homelab (l'autre moitié de la vision), via le vrai agent Hermes,
profil par défaut, tous ses outils — avec confirmation et jeton.

Découverte : Hermes n'a pas d'API HTTP (appli TUI), mais un mode one-shot `hermes -z
"<prompt>" --yolo`. On s'appuie dessus.

storage-01 — exécuteur :
- tools/hermes-exec/server.py : service HTTP qui lance `hermes -z --yolo` en user hermes,
  derrière un jeton Bearer (compare_digest), timeout + audit, une action à la fois.
- rôle Ansible hermes_exec : systemd (User=hermes, env hermes-agent), jeton via
  EnvironmentFile 0640 (Vault vault_hermes_exec_token) ; ajouté au playbook storage-01.

STT-server (0.5.0 → 0.6.0) :
- agent.py : pont vers hermes-exec (jeton) + détection confirme/annule.
- contexts.py : contexte « agent » (court-circuite le LLM).
- app.py : flux dédié — handshake 2 temps par session (pending action) → sur « confirme »,
  appelle hermes-exec ; « annule » annule. /v1/contexts masque « agent » si désactivé.
- config : STT_ACTIONS_ENABLED (opt-in, défaut false) + URL + jeton (secret k8s).
- deployment : env actions + secret stt-server-secrets/hermes-exec-token (optionnel).

Sécurité : opt-in désactivé par défaut ; jeton obligatoire (sinon contexte caché + exécuteur
refuse tout) ; --yolo atteint seulement jeton+confirmation en main ; audit storage-01.
Client : AUCUN changement (le contexte « agent » apparaît tout seul dans le sélecteur).

Validé en local : exécuteur (401 sans/mauvais jeton, exec avec bon jeton via echo),
handshake serveur (TestClient : confirme→exécute, annule→annule, agent masqué si OFF).

Co-authored-by: Claude Opus 4.8 <noreply@anthropic.com>
2026-06-21 04:00:14 +02:00

2 KiB

Rôle hermes_exec

Déploie hermes-exec sur storage-01 : un petit service HTTP qui lance le vrai agent Hermes en one-shot (hermes -z "<prompt>" --yolo, profil par défaut, tous ses outils) pour le compte de l'assistant vocal STT.

Rôle dans la chaîne

Voix → STT-server (in-cluster) → [confirmation vocale] → POST /exec {prompt} + Bearer
                                                            → hermes-exec (storage-01:9096)
                                                               └─ hermes -z "<prompt>" --yolo

Sécurité

  • Jeton d'auth obligatoire (vault_hermes_exec_token) : sans Bearer valide → 401. Sans jeton configuré, le service refuse tout (verrouillé par défaut).
  • --yolo (auto-exécution des outils) n'est atteint qu'avec un jeton valide. La confirmation qui protège des erreurs de transcription est faite en amont par le STT-server (handshake « tu veux que… ? » → « confirme »).
  • Jeton stocké dans /etc/hermes-exec/env (mode 0640, groupe hermes), pas dans l'unit.
  • Audit : /var/log/hermes-exec.log (prompt + sortie de chaque action).
  • Une action à la fois (verrou).

Variables

Voir defaults/main.yml. Le jeton vient du Vault :

make vault-edit   # ajouter : vault_hermes_exec_token: "<chaîne aléatoire longue>"

Déploiement

ansible-playbook -i inventory.yml playbooks/storage-01.yml --tags hermes_exec

Endpoints

Méthode Chemin Auth Effet
GET /health non {"ok": true}
POST /exec {prompt} Bearer lance hermes -z "<prompt>" --yolo{"ok", "output"}

Gaps IaC

  • Le service suppose l'environnement de hermes-agent (HOME /opt/hermes, HERMES_HOME /srv/data/hermes, LiteLLM :4000). Si l'install Hermes change de chemins, ajuster les defaults.
  • Joignable depuis le cluster sur :9096 (le firewall gateway laisse passer cluster→s01 sur les ports hauts ; le jeton est la barrière). Si tu durcis nftables, ouvre :9096 pour le réseau cluster.