Hermes Agent : L'IA Auto-Hébergée Qui A Enfin Mûri. Voici La Configuration Bi-VPS à Moins de 10$

13 min read

Le week-end dernier, j'ai installé Hermes Agent sur deux VPS. Une machine Hostinger toute neuve en 1-clic Docker. Mon serveur Contabo existant via SSH et une seule commande curl. Même config de modèles des deux côtés : Sonnet 4.6 en principal, DeepSeek V4 pour la délégation. Deux philosophies d'installation. Les deux livrent un agent fonctionnel qui répond sur Telegram en quelques minutes.

TL;DR : Deux méthodes d'installation testées de bout en bout (zéro terminal versus SSH pur), une pile de modèles complètement transformée depuis février, un mouvement architectural que Nous Research a effectué pendant qu'OpenClaw était occupé à corriger des bugs, et un pattern communautaire auquel je ne m'attendais pas concernant qui migre vraiment (et qui ne migre pas).

Si vous me lisez depuis février, vous savez que j'ai documenté ma migration OpenClaw à 15$/mois après le bannissement de Claude Max. Je n'y avais plus touché depuis. Ça marchait. Puis la semaine dernière, j'ai changé d'avis. Anthropic a officiellement retiré l'accès tiers à Pro/Max le 4 avril. Le tracker CVE public d'OpenClaw a franchi les 138 entrées le 10. Nous Research a livré Hermes v0.9 le 13, une release qui a mergé plus de pull requests d'un coup que certains projets n'en expédient en un trimestre. Triple impact, même semaine. Difficile de continuer à l'ignorer après ça.

Comic de bureau années 90 montrant un développeur frustré entouré de documentation chaotique versus développeur serein avec terminal propre affichant une installation réussie
Votre migration OpenClaw vs. littéralement n'importe qui utilisant Hermes.

Le Moment Où J'ai Su Que C'était Une Autre Bête

Cinq minutes après le début de l'install Contabo, l'assistant m'a demandé quel backend terminal je voulais : local, Docker, SSH, Daytona, Singularity, ou Modal. OpenClaw ne m'a jamais posé cette question. OpenClaw se contentait de tourner. Ce qui était parfait jusqu'au jour où un skill a tenté de nettoyer des fichiers temporaires et a failli toucher un répertoire que j'aurais préféré qu'il évite. Le fait qu'Hermes rende explicite la question de l'isolation, avant la fin de l'installation, vous dit à quelle génération vous avez affaire.

Pareil avec l'étape d'auto-détection plus loin dans l'assistant. Il a scanné ~/.openclaw, a vu le mien, et a proposé d'importer les skills, mémoires et clés API. Pas dans un guide de migration qu'il faut lire un mardi. Dans l'installateur. C'est quelqu'un qui a conçu pour un utilisateur spécifique (celui qui quitte OpenClaw) et a construit la rampe.

Deux petits choix. Tous deux disent la même chose. Quelqu'un a observé six mois d'OpenClaw et a pris des notes.

Pourquoi Je Me Suis Embêté : Ce Que Six Mois d'OpenClaw M'ont Appris

Crédit où il faut d'abord. OpenClaw a défini la catégorie des agents auto-hébergés. 347k étoiles GitHub en six mois, un écosystème de 13k+ skills construits par la communauté, un Discord qui semble vivant. Sans OpenClaw, il n'y aurait pas d'Hermes sur lequel écrire. Le prototype a fait le travail difficile de prouver que la catégorie était réelle.

Mais un prototype qui grandit vite accumule de la dette architecturale. Trois endroits où j'ai ressenti cette dette de première main.

L'UX casse les non-geeks. J'ai passé des soirées à déboguer des problèmes de configuration obscurs qui n'avaient aucun sens jusqu'à ce que j'aie lu trois threads Discord et un post Medium énervé. Shadow, le mainteneur officiel d'OpenClaw, l'a dit directement sur Discord (paraphrasé) : si vous ne savez pas utiliser une ligne de commande, vous ne devriez pas utiliser OpenClaw. Quand la personne qui maintient le produit vous dit que c'est un outil de geek, croyez-la.

La sécurité est corrigée, pas conçue. Le tracker CVE public a enregistré plus de 138 entrées en gros deux mois entre février et avril 2026. Une analyse d'exposition séparée d'ARMO a compté environ 135k instances OpenClaw publiquement accessibles, la majorité sans authentification. Reco a signalé une campagne de skills malveillants par centaines. Les conseils de Microsoft en février, paraphrasés : ne déployez pas OpenClaw sur des machines contenant des données sensibles. Ce ne sont pas des comptes de bugs. C'est une architecture qui fait confiance aux entrées par défaut et passe son temps à corriger quand quelqu'un trouve le prochain trou.

La gouvernance est turbulente. Trois changements de nom en douze mois (Clawdbot, Moltbot, OpenClaw). Acquisition OpenAI fin 2025. Pour un outil que je veux faire tourner trois ans, c'est trop de tempête à traverser.

Rien de tout cela ne vise Peter Steinberger. Le gars a livré quelque chose d'énorme et défini une catégorie. Mais une architecture conçue pour un prototype ne peut pas dépasser sa dette en corrigeant, peu importe la diligence des corrections.

C'est pourquoi les générations suivantes existent.

Ce Qui Fait d'Hermes Un Produit, Pas Un Prototype

Contexte rapide sur Nous Research. Labo de sécurité IA derrière les familles de modèles Hermes, Nomos et Psyche, réputation sérieuse dans la foule open-weight, partenariat MiniMax annoncé début 2026. Hermes Agent lancé en février, a franchi 64k+ étoiles GitHub en deux mois, a livré v0.9.0 le 13 avril avec neuf releases en sept semaines. Vélocité agressive.

Quatre mouvements architecturaux que j'ai observés de première main pendant les installations.

La sécurité traitée comme une contrainte. Tirith, le scanner de pré-exécution, inspecte les commandes shell avant qu'elles ne s'exécutent. Les sous-agents vivent dans leur propre namespace, chacun isolé des autres et de l'hôte. Les conteneurs sont livrés durcis avec un système de fichiers racine en lecture seule et des capacités supprimées. Les points de contrôle du système de fichiers se font automatiquement avant toute opération destructive, avec une commande de rollback qui fait ce qu'elle dit. Zéro CVE spécifique à l'agent à ce jour selon The New Stack (paraphrasé). Le mouvement ici est architectural, pas cosmétique.

Une boucle d'apprentissage fermée. Après des tâches complexes (cinq appels d'outils ou plus), l'agent fait une pause, évalue, et écrit un skill réutilisable (un SKILL.md plus le code qui va avec). Le benchmark de Nous lui-même (paraphrasé) revendique environ 40% de performance plus rapide sur les tâches de recherche une fois que l'agent a construit sa propre bibliothèque de skills. J'ai vu le mécanisme en action la première fois que je lui ai demandé de configurer une tâche récurrente. Il a écrit un SKILL.md couvrant la danse cron-plus-auth qu'il venait de comprendre, donc la prochaine demande cron part de ce skill au lieu de partir de zéro. Ça fait bizarre la première fois. Utile au bout de trois jours.

Un runtime standardisé. Même jeu de dépendances, même modèle d'isolation, même comportement sur Linux, macOS, WSL2, et Android via Termux. Le runtime ne dérive pas selon où vous déployez (machine de dev locale, VPS à 5$, homelab bare-metal, un téléphone), ce qui semble évident jusqu'à ce que vous essayiez de reconstruire une installation OpenClaw dérivée de mémoire sur une nouvelle machine à 23h. Pas de Windows natif, aucun impact sur moi ou 95% des lecteurs ici.

Une couche de routage agnostique aux modèles. Nous Portal OAuth (400+ modèles), OpenRouter (200+), Anthropic/OpenAI direct, Ollama local, vLLM, SGLang. Changer le principal ou la délégation avec une seule commande hermes model. Pas de changement de code, pas de redémarrage, pas de reconfig. Tester un nouveau modèle sur une tâche spécifique prend environ deux secondes.

The New Stack a paraphrasé le pari proprement : OpenClaw a optimisé pour l'étendue de l'écosystème, Hermes optimise pour la profondeur d'apprentissage. Différents paris architecturaux, aucun universellement correct. Hermes correspond au cas d'usage où vous voulez que la chose se compose au fil du temps.

Méthode d'Installation Un : Hostinger (Zéro Terminal)

Specs du plan KVM 2 : 2 vCPU, 8 GB RAM, 100 GB NVMe, 8 TB bande passante, Ubuntu 24.04 LTS. Prix : 8,99$/mois. Template Hermes Agent pré-configuré dans le catalogue Docker. Zéro Docker à installer de votre côté.

Comment ça s'est passé. hPanel → Docker Manager → Catalogue → tapé "Hermes Agent" dans la recherche → Sélectionner → Déployer. Le template a demandé la clé API du fournisseur pendant le déploiement. J'ai collé ma clé OpenRouter (une clé gère Sonnet 4.6, DeepSeek V4, et les fallbacks). Moins de quinze minutes entre cliquer sur Déployer et le premier "Salut" sur Telegram, et la plupart de ce temps était le VPS qui se provisionnait lui-même.

Pas de friction réelle. L'assistant est ce qu'Hostinger a toujours bien fait : des défauts opiniâtres, des questions minimales, ça marche.

Un détail qui vaut la peine d'être noté. Le même catalogue Hostinger offre aussi OpenClaw comme template 1-clic. Pas un choix commercial de ma part. Un choix utilisateur dans le même magasin. Le fournisseur reste neutre.

Pour qui cette voie est faite : le lecteur qui a suivi mes articles OpenClaw, qui veut tester Hermes sans entrer dans systemd, ufw, et le réseau Docker. Zéro terminal de bout en bout. Déployer, coller la clé, chatter.

Template Hermes Agent du catalogue Docker Hostinger.

Méthode d'Installation Deux : Contabo (J'en Avais Déjà Un)

Ma machine Contabo tourne depuis un moment maintenant, gérant les ops de boutique WooCommerce plus une poignée de webhooks partenaires, avec Traefik devant. Je voulais voir si Hermes se poserait sur une machine existante sans drame.

Specs Cloud VPS 10 : 3 vCPU, 8 GB RAM, 75 GB NVMe. Prix : 4,95$/mois, même prix en année 1, 2, et 3. Pas de surprise au renouvellement. C'est la partie à laquelle je reviens sans cesse.

Comment ça s'est passé. SSH en tant qu'utilisateur régulier avec droits sudo (pas root, et oui on y reviendra). Puis le one-liner officiel de Nous Research (verbatim) :

curl -fsSL https://raw.githubusercontent.com/NousResearch/hermes-agent/main/scripts/install.sh | bash

Confession obligatoire : oui, c'est curl | bash, le pattern contre lequel tous les sysadmins gueulent depuis une décennie. Sur une machine qui fait tourner une vraie boutique e-commerce. Lisez le script avant de l'exécuter. Je l'ai fait. Vous devriez aussi. L'installateur lui-même est propre, gère Python 3.11, Node.js, uv, ripgrep, ffmpeg tout seul, et ne touche jamais rien en dehors du répertoire de travail Hermes. Cela dit, si les mots "curl bash" vous ont donné des boutons à l'instant, clonez le repo et lancez l'install depuis un checkout local. Ça marche pareil.

Puis l'assistant interactif. Choix qui comptent vraiment : fournisseur LLM → modèle → TTS (j'ai pris Edge TTS, gratuit) → backend terminal (Docker, pour l'isolation, parmi les six options) → répertoire de travail messaging → support sudo → itérations d'outils max → affichage du progrès des outils → mode de reset de session → plateforme de messagerie (Telegram).

Dix questions, peut-être quinze. Les lire vaut mieux que les ignorer, parce que le choix du backend terminal seul fait la différence entre "agent dans un bac à sable" et "agent avec les clés de la cuisine".

L'étape d'auto-détection est celle que je veux signaler. Parce que j'avais ~/.openclaw sur ce même VPS, l'assistant a proposé d'importer mes skills, mémoires, paramètres et clés API existants d'un coup. J'ai accepté. Trois secondes, fini. Tout ce qu'OpenClaw a appris à mon agent en six mois est maintenant dans Hermes, ce qui m'évite de reconstruire la couche de personnalisation depuis zéro. Si vous n'avez pas OpenClaw sur la machine, l'assistant ignore juste cette étape et continue.

Un piège documenté, à ne pas rater. Si vous faites déjà tourner un bot Telegram sous OpenClaw, ne réutilisez PAS son token. Créez un NOUVEAU bot via BotFather ou les deux cassent. Une démo YouTube de début avril est tombée dedans en direct (paraphrasé, source ci-dessous). Leçon gratuite, courtoisie de l'erreur de quelqu'un d'autre.

Moins de vingt minutes au total pour un agent fonctionnel sur Telegram, la plupart passées à lire attentivement les questions de l'assistant au lieu d'appuyer sur Entrée.

Les arguments Contabo, condensés. RAM-par-dollar imbattable à environ 0,50$/GB (pour référence, vous êtes autour de 6$/GB sur DigitalOcean). Contrôle OS complet (Ubuntu 22/24, Debian, Rocky, CentOS). Centres de données à travers l'Europe, l'Asie, les Amériques, l'Australie. Un assistant CLI qui vous apprend ce qu'il installe au lieu de le cacher derrière un panneau. Même prix sur trois ans.

Pour qui cette voie est faite : le lecteur qui veut comprendre les commandes qui ont tourné, qui héberge déjà d'autres services, qui planifie en tranches de trois-à-cinq ans au lieu de tranches de trente jours.

Contabo Cloud VPS 10.

La Pile de Modèles (Deux Mois Plus Tard, Tout a Bougé)

Dans mon article de février, je faisais tourner Kimi K2.5 + MiniMax + GLM-4.7-Flash. Pile optimale pour OpenClaw à l'époque. Pour Hermes, le paysage a bougé et mes priorités ont bougé avec.

Contexte technique d'abord. Hermes v0.9 porte un overhead fixe par appel API d'environ 73% (définitions d'outils autour de 8 700 tokens, prompt système autour de 5 200 tokens). En mode Telegram l'overhead grimpe à 15-20K tokens par message, deux à trois fois le mode CLI, selon les docs de Nous. Dans ce contexte, l'appel d'outils fiable devient le facteur critique. Un modèle pas cher qui rate les appels d'outils boucle dans l'erreur et brûle plus de tokens qu'un modèle premium qui tourne propre.

Config réelle après deux semaines d'itération :

provider: openrouter
model: anthropic/claude-sonnet-4-6    # principal

delegation:
  model: deepseek/deepseek-v4
  provider: openrouter

Claude Sonnet 4.6 (3$/15$ par million de tokens entrée/sortie) en principal. Choix consensus dans la communauté Hermes-en-production en ce moment (threads r/LocalLLaMA, r/singularity, Berkeley Function Calling Leaderboard). Appel d'outils fiable, raisonnement multi-étapes solide, pas de spirales d'erreur. DeepSeek V4 (0,30$/0,50$) en délégation. 90% de remise cache rend l'overhead presque gratuit. Environ 90% de la qualité de Claude sur les tâches de sous-agents. Caveat honnête : l'infra de DeepSeek balance des 503 aux heures de pointe, le fallback est propre (la délégation retombe sur le principal sans drame).

Modèles à éviter. GPT-5.4 Mini, "terrible pour l'appel d'outils" selon un avertissement explicite r/LocalLLaMA. MiniMax 2.5 était inutilisable, 2.7 l'a corrigé. Qwen 3.x pour l'appel d'outils casse le parsing à cause des tags <think>. Les modèles de raisonnement pur se parlent pour ne pas utiliser d'outils. Ne me demandez pas pourquoi, ils le font juste.

Coût mensuel réel dépend de votre pattern d'usage. À environ 10 messages par jour, vous atterrirez probablement autour de 15-25$ tout compris. À 30 par jour, plus près de 40-70$. À 50+, 80-120$. L'overhead Telegram est la variable qui fait bouger l'aiguille.

Plan de fallback si quelque chose déraille : hermes model, changer le principal vers DeepSeek V4, effectif immédiatement, pas de reconfig. Le filet de sécurité est une commande.

Mon SOUL.md s'ouvre avec les quatre lignes d'intégrité de mon contrat de prompt. Ne jamais mentir. Ne jamais cacher la vérité. Ne jamais dissimuler un problème. Ne jamais échouer silencieusement. Même clause qui était en haut de mon ancien CLAUDE.md OpenClaw. Ça rend toujours le tableau de bord jaune au lieu de faux-vert, et je préfère toujours le jaune.

Ce Qu'Hermes Ne Fait Pas Encore (Honnêtement)

Quatre caveats qui valent la peine d'être énoncés clairement.

L'OAuth Anthropic ne marche PAS nativement. Si vous êtes Claude-first (moi, probablement vous), vous avez besoin d'OpenRouter ou d'une clé API Anthropic directe. Les abonnements Pro et Max couvrent l'interface web, pas l'API, donc vous ne pouvez pas les brancher dans un agent de toute façon. La friction réelle est de devoir gérer un solde pay-as-you-go séparé sur OpenRouter ou la console Anthropic en plus de l'abonnement web que vous payez déjà. Deux factures, deux tableaux de bord, un usage à surveiller. Plus gros caveat sur ma liste en ce moment.

L'écosystème de skills est jeune. Pas d'équivalent ClawHub avec 13k+ skills construits par la communauté. Hermes crée ses propres skills via la boucle d'apprentissage, mais vous commencez sans bibliothèque partagée. L'effet de composition prend deux à quatre semaines pour devenir visible, basé sur ce que j'ai observé et ce que r/LocalLLaMA rapporte.

v0.9 a cinq jours. Hermes a deux mois au total. Les CVE viendront (aucune architecture n'est immune). Le design devrait les garder moins catastrophiques. La vélocité agressive de Nous signifie aussi une surface massive de changement, ce qui signifie une surface massive de bugs aussi. Une release qui merge des centaines de PR n'est pas un nombre calme.

Et une nuance communautaire qui compte. Les power users ne migrent pas. Ils font tourner les deux en parallèle via le protocole ACP (OpenClaw comme orchestrateur, Hermes comme spécialiste d'exécution). Source : une analyse Kilo des threads r/openclaw, paraphrasée. La migration complète n'est pas le seul chemin valide. Je ne fais pas tourner les deux, mais je ne vous dis pas de ne pas le faire non plus.

Hermes est architecturalement supérieur. Je m'en tiendrai à ça. Mais c'est un produit de deux mois, pas un messie. Tempérez en conséquence.

Qui Devrait Vraiment Faire Ça

Quatre segments rapides pour que vous n'ayez pas à plisser les yeux sur la décision.

Si vous êtes nouveau aux agents auto-hébergés, allez Hermes direct via le 1-clic Hostinger. Pas de dette OpenClaw à migrer. Sonnet 4.6 + DeepSeek V4 sur OpenRouter. Environ 15-25$/mois tout compris pour usage personnel.

Si vous faites déjà tourner OpenClaw avec une config stable, dual-run via ACP au lieu de migrer. OpenClaw continue d'orchestrer vos automatisations, Hermes tourne comme spécialiste d'exécution sur les nouvelles tâches. L'assistant Hermes détecte ~/.openclaw et propose d'importer la couche de personnalisation, ce qui signifie que le coût d'essayer est basiquement zéro.

Si vous avez migré post-bannissement-Claude-Max (mon cas, février), c'est Hermes + OpenRouter + Sonnet 4.6 + DeepSeek V4. Upgrade direct de l'ancienne pile Kimi/MiniMax. Même gamme de prix, meilleure fiabilité d'appel d'outils.

Pour la production critique, attendez. v1.0 ou trois mois de stabilité v0.x. Pour usage personnel ou projets annexes, c'est bon maintenant. Pour la prod de votre client, ce n'est pas le cas.

Votre client vous paie pour être ennuyeux concernant son uptime.

J'ai pris des notes d'installation sur les deux voies pendant que je les faisais. S'il y a de l'intérêt, je les nettoierai en guide propre : la checklist 2-voies, le template d'intégrité SOUL.md, la config Sonnet 4.6 / DeepSeek V4. Dites-le dans les commentaires.

Dans trois mois, Hermes aura ses propres CVE. Toute architecture finit par en avoir. Ce n'est pas la question.

OpenClaw a eu six mois. Il a pris la dette. Hermes a regardé cette dette d'abord. Bon prototype. Mais honnêtement, passer du temps à déboguer (même avec Claude) n'est pas ma passion. Je préfère construire. C'est la vie 😊

Sources

  • Tracker CVE public OpenClaw (GitHub, avril 2026)
  • Analyse d'exposition ARMO sur les instances OpenClaw (février 2026)
  • Rapport de campagne Reco sur les skills OpenClaw malveillants (mars 2026)
  • Documentation Nous Research Hermes Agent et notes de release v0.9 (avril 2026)

Cet article peut contenir des liens d'affiliation. Je peux toucher une petite commission si vous achetez via eux.

(*) La couverture est générée par IA. Midjourney a jeté un œil au planning de lancement d'Hermes et m'a reproché la deadline.