📦 hermes-traffic-guardian — Hermes 流量守护者

Hermes Traffic Guardian 这是一个基线规范技能。它故意不包含代理或运行时实现。 范围 构建者应该使用这个技能作为Hermes的运行时流量监控着陆区：

• 操作员范围的HTTP代理检查
• 可选的HTTPS检查，具有每个进程的CA信任
• 出站数据泄露检测
• 入站注入检测
• 编辑后的本地威胁日志
• 状态导出，用于hermes-attestation-guardian

不要将代理运行时所有权添加到hermes-attestation-guardian。该技能应该证明此监控器的状态和配置，而不是运行它。 安全契约 仅限选择加入。默认为检测和日志记录。不进行自动系统CA安装。不进行全局代理环境更改。第一次实现不进行阻塞。在日志、摘要或与证明相关的输出中编辑秘密。将所有状态保存在HERMES_TRAFFIC_GUARDIAN_HOME或$HERMES_HOME/security/traffic-guardian下。 构建者入口点 在实现之前，请阅读SPEC.md。使用占位符文件夹，如下所示：

• Path：预期用途

- lib/：检测器规则、编辑、姿势导出、报告格式化 - scripts/：启动、停止、状态、配置验证、日志查询、证明导出 - test/：单元测试、代理测试夹具、编辑测试、证明导出测试 所需的第一次实现行为

• 验证配置而不启动代理
• 在前台或显式后台模式下启动监控器
• 将代理环境变量范围限定为目标Hermes服务或CLI进程
• 检查HTTP请求/响应文本，最高到有界字节限制
• 仅当操作员提供每个进程的信任配置时，支持可选的HTTPS MITM
• 发出带有编辑片段的JSONL发现
• 导出一个小的姿势JSON文件，hermes-attestation-guardian可以将其包含为信任锚点或监视文件

v0.0.1实现之外

• 自动系统信任存储变异
• 透明网络拦截
• 默认阻塞
• 将流量发送到外部服务
• 收集完整的请求/响应正文

API、CLI、GitHub等技术术语保持不变。技能名称和品牌名称保持为英文。