ほくぽいど // hokupod's tabloid

AIエージェントを自宅で動かすなら、モデルより先に境界を設計する

Raspberry Pi 4B、NixOS、Hermes Agent、OpenRouter、Tailscale、Docker sandboxで家庭用AIエージェントを動かすための運用判断と安全境界を整理した記事。

2026·05·16 · 8 min
#ai #nixos #raspberry-pi #security
on this page
  1. なぜ家庭用AIエージェントが欲しかったか
  2. 最終構成
  3. Raspberry Pi 4Bを選んだ理由
  4. NixOSを選んだ理由
  5. Tailscaleにした理由
  6. OpenRouterにした理由
  7. Docker backendにした理由
  8. セキュリティ境界
  9. ハマりポイント
  10. systemdのPATH
  11. HERMES_HOME
  12. Docker backendの起動タイミング
  13. 今後の用途
  14. 生活・役所ウォッチャー
  15. 技術インプット3件
  16. 生活ブリーフィング
  17. 次はHermesに何を任せ、何を任せないか

Raspberry Pi 4B に NixOS を入れ、Hermes Agent を自宅AIエージェントとして常駐させることにした。

ただ、今回の主役はモデルではない。

OpenRouter でどのモデルを使うかより先に、どこから入れるか、どこでコマンドを実行させるか、どこに秘密情報を置かないかを決めたかった。

要は、AIエージェントを自宅で動かすなら、モデルより先に境界を設計するいうこと。

この記事はセットアップ手順の完全版ではない。Raspberry Pi 4B + NixOS + Hermes Agent + OpenRouter + Tailscale + Docker sandbox という構成にした理由、詰まったところ、生活でどう使うつもりかを書いておく。

なぜ家庭用AIエージェントが欲しかったか

単なるチャットAIなら、ChatGPT や Gemini を開けば足りる。

でも、自分が欲しかったのは「呼び出したときだけ答えるAI」ではなく、もう少し生活の中に常駐するものだった。

とえば、自治体情報や補助金を定期的に見る。技術ニュースや GitHub の動向を毎日3件だけに絞る。生活上の予定や提出物を週次で整理する。

どれも人間が毎回やればできる。ただ、毎週きちんと見に行くには地味に面倒なものばかりだ。

生活情報の例としては、こういう公開情報がある。

- 給付や助成
- 医療・福祉関連の制度
- 保育・教育関連の締切
- 自治体独自の補助金
- 住宅・省エネ補助
- 防災や自治体独自のお知らせ

知らないと損をする。締切がある。自治体ごとに違う。Webページが地味に更新される。

こういうものは、AIエージェントに定期的に見てもらう用途と相性がよい。

ただし、AIエージェントは便利な一方で、ファイルを読める、コマンドを実行できる、外部APIへ投げられる、という性質を持つ。家庭の中に置くなら、最初から「何を任せるか」ではなく「何を任せないか」も決めておきたい。

最終構成

最終的には、以下の構成にした。

Client PC
  -> Tailscale
  -> SSH port forwarding
  -> Raspberry Pi 4B / NixOS
      -> hermes-agent.service
          -> API server: 127.0.0.1:8642
          -> OpenRouter
          -> Docker sandbox

Hermes API は外部に直接公開しない。

外から使うときは、Tailscale 経由で SSH し、必要に応じて port forwarding する。

ssh -N -L 8642:127.0.0.1:8642 <rpi-host>

手元PCからは、forward された 127.0.0.1:8642アクセスする。

http://127.0.0.1:8642/v1

この構成にすると、Hermes API はインターネットに出ない。Tailscale に参加している端末から、さらに SSH 鍵認証を通したときだけ触れる。

Raspberry Pi 4Bを選んだ理由

Raspberry Pi 5 も候補だった。どちらも 8GB メモリ版を持っていたが、今回は Raspberry Pi 4B を本番機にした。

CPU 性能だけで見るなら、当然 Raspberry Pi 5 の方が強い。

ただ、今回の用途では CPU 性能よりも、NixOS での動作実績と復旧しやすさを優先した。

NixOS on ARM / Raspberry Pi compatibility matrix では、Raspberry Pi 4 Model B の support は YESなっている。ここでの YES は、Nixpkgs downstream の supported architecture として、動作確認済みという扱い。

一方で、Raspberry Pi 5 は同じ表では C* だった。これは community supported だが unverified という扱い。さらに Raspberry Pi 5 の個別ページ でも、NixOS は Raspberry Pi 5 を公式サポートしておらず、重要な用途ではより support が robust な古いモデルを使うことが推奨されていた。

なので今回は、Pi 5 の性能より、Pi 4B の足場の固さを取った。

LLM 推論はローカルではなく OpenRouter に投げる。ラズパイ側で必要なのは巨大モデルを回す能力ではなく、以下のような役割になる。

- Hermes Agentを常駐させる
- Tailscaleを張る
- 定期実行の起点にする
- memory / skills / sessionsを保存する
- Docker sandboxを起動する
- OpenRouter APIを呼ぶ

この程度なら Raspberry Pi 4B 8GB で十分と判断した。

Pi 5 は将来的な検証機や、重いブラウザ自動化、NVMe 運用をしたくなったときに使うつもり。

NixOSを選んだ理由

NixOS を選んだ理由は、再現性と見通しの良さ。

自宅サーバは、時間が経つと設定が分からなくなりがちだ。

- どのパッケージを入れたか
- どのサービスを有効化したか
- どのユーザーを作ったか
- firewallで何を開けているか
- どこに秘密情報を置いているか

NixOS なら、このあたりを configuration.nix flake.nix寄せられる。

今回の構成では、OS は NixOS 26.05 としている。nixpkgs.url system.stateVersion役割が違うので、ここは混乱しやすい。

nixpkgs.url
  -> どのnixpkgsからパッケージを取るか

system.stateVersion
  -> このマシンの状態互換性をどのNixOS導入時点として扱うか

nixos-unstable使うからといって、system.stateVersion unstable のように書くわけではない。

Tailscaleにした理由

最初は Cloudflare Tunnel も検討した。

Cloudflare Tunnel は、ルーターのポート開放なしで外部からアクセスできる。Cloudflare Access を使えば認証もかけられる。

それでも今回は Tailscale にした。

理由は、Hermes Agent を今後育てていくことを考えると、公開 hostname を作るより、tailnet 内のプライベートな接続に寄せたかったから。

一方で、Tailscale には以前ハマった経験があった。

- MagicDNS
- subnet route
- exit node
- ACL
- direct / DERP
- device key expiry

このあたりが絡むと、つながるときとつながらないときの違いが分かりにくくなる。

なので今回は、Tailscale をなるべく単純に使う。

- subnet routeは使わない
- exit nodeは使わない
- accept-dns=false
- accept-routes=false
- Tailscale SSHではなく通常OpenSSH
- SSHはTailscale経由だけ許可

Hermes の API ポート 8642 は、最初から Tailscale 上にも出さない。使うときだけ SSH port forwarding する。

OpenRouterにした理由

LLM 推論はラズパイ上では行わず、OpenRouter を使う。

Raspberry Pi 4B 上でローカルLLMを無理に動かすより、OpenRouter 経由で安価なモデルを使い分ける方が現実的だった。

候補として見ていたのは、Gemma、Qwen、DeepSeek、GLM / Z.ai あたり。

まずは日本語の普段使い、価格、Hermes での常用を考えて、Gemma 系を採用している。

model = {
  provider = "openrouter";
  default = "google/gemma-4-26b-a4b-it";
};

ここで大事なのは、OpenRouter の API key を Nix 式に直書きしないこと。

秘密情報は外部ファイルに置き、Nix store に入れない。Tailscale の auth key も同じ扱いにする。

Docker backendにした理由

Hermes 本体も Docker に入れるかどうかは少し迷った。

最終的には、こう分けた。

Hermes本体:
  NixOS / systemd service

Hermesが実行するコマンド:
  Docker sandbox

Hermes 本体は NixOS 上で管理する。一方、AI が実行するターミナルコマンドやコード実行は Docker コンテナ内に閉じ込める。

AIエージェントにホスト上で直接コマンドを実行させたくなかったからだ。

設定の要点はこのあたり。

Docker image は nikolaik/python-nodejs:python3.13-nodejs24-bookworm にした。 2026-05-16 に Docker Hub のタグ表確認したところ、このタグは Python 3.13.13 / Node.js 24.15.0 / bookworm として掲載されていた。 一方で latest タグそのものは Node.js 22.x 系と説明されており、Python 3.14 / Node.js 26 のタグもある。 なので「全体で一番新しいタグ」を追うのではなく、今回必要な Python 3.13 + Node 24 + bookworm の組み合わせを固定する、という扱いにしている。

services.hermes-agent = {
  enable = true;
  addToSystemPackages = true;

  environmentFiles = [
    "/etc/hermes/env"
  ];

  environment = {
    HERMES_DOCKER_BINARY = "${pkgs.docker}/bin/docker";
  };

  settings = {
    model = {
      provider = "openrouter";
      default = "google/gemma-4-26b-a4b-it";
    };

    terminal = {
      backend = "docker";
      docker_image = "nikolaik/python-nodejs:python3.13-nodejs24-bookworm";
      docker_mount_cwd_to_workspace = false;
      docker_forward_env = [];
      container_cpu = 1;
      container_memory = 3072; # about 3GB
      container_persistent = true;
      timeout = 180;
    };
  };
};

セキュリティ境界

今回の構成で意識した境界は、ざっくり以下。

- ラズパイのSSHはTailscale経由だけ
- Hermes APIは127.0.0.1のみ
- 外部からHermesへはSSH port forwarding
- OpenRouter API keyはNix storeへ入れない
- Tailscale auth keyもNix storeへ入れない
- SSH秘密鍵は1Password側で扱う
- Hermesのコマンド実行はDocker sandbox
- Docker socketはsandboxに渡さない
- docker_forward_env = []
- CPU / memory / PID制限を入れる

特に Docker socket は渡さない。

/var/run/docker.sockコンテナに渡すと、コンテナ内からホストの Docker daemon を操作できてしまう。AI がコマンドを実行する環境に、それは強すぎる。

実際に docker inspect以下を確認した。

sudo docker inspect hermes-<id> \
  --format '{{json .Mounts}}'

結果として、Docker socket はマウントされていなかった。

/var/run/docker.sock なし

capability も確認した。

sudo docker inspect hermes-<id> \
  --format 'Privileged={{.HostConfig.Privileged}} CapAdd={{json .HostConfig.CapAdd}} CapDrop={{json .HostConfig.CapDrop}} SecurityOpt={{json .HostConfig.SecurityOpt}}'

確認時点の結果は以下。

Privileged=false
CapAdd=["CAP_CHOWN","CAP_DAC_OVERRIDE","CAP_FOWNER","CAP_SETGID","CAP_SETUID"]
CapDrop=["ALL"]
SecurityOpt=["no-new-privileges"]

Privileged=falseCapDrop=["ALL"]no-new-privileges効いている。CAP_SYS_ADMIN NET_ADMIN のような強い capability は付いていない。

リソース制限も見る。

sudo docker inspect hermes-<id> \
  --format 'Memory={{.HostConfig.Memory}} NanoCPUs={{.HostConfig.NanoCpus}} PidsLimit={{.HostConfig.PidsLimit}}'

確認時点の結果。

Memory=3221225472
NanoCPUs=1000000000
PidsLimit=256

8GB の Raspberry Pi 4B で動かすなら、約3GB、1 core、PID 上限 256 くらいの制限はちょうどよい。

ハマりポイント

成功した構成だけを書くと簡単そうに見えるが、実際にはいくつかハマった。

systemdのPATH

通常ユーザーでは Docker が見えるのに、Hermes の systemd service 内では見えなかった。

sudo -u hermes -H sh -lc 'id; command -v docker; docker version'

一方で、Hermes service 側では以下のエラーが出た。

Docker executable not found in PATH or common install locations

原因は、systemd service 内の PATH から Docker が見えていなかったこと。

NixOS では、こういうズレが起きる。今回は HERMES_DOCKER_BINARY Docker のパスを明示した。

environment = {
  HERMES_DOCKER_BINARY = "${pkgs.docker}/bin/docker";
};

HERMES_HOME

もうひとつハマったのは、Hermes CLI が見ている設定場所。

普通に hermes config打つと、ユーザー側の設定を見る。

Config:  /home/<user>/.hermes/config.yaml
Secrets: /home/<user>/.hermes/.env

しかし、systemd service として動いている Hermes は以下を使う。

/var/lib/hermes/.hermes/config.yaml
/var/lib/hermes/.hermes/.env

service 側の設定を見るには、HERMES_HOME HERMES_MANAGED明示する。

sudo -u hermes -H env \
  HERMES_HOME=/var/lib/hermes/.hermes \
  HERMES_MANAGED=true \
  hermes config

よく使うので、alias を設定。

alias hermes-system='sudo -u hermes -H env HERMES_HOME=/var/lib/hermes/.hermes HERMES_MANAGED=true hermes'

Docker backendの起動タイミング

Docker backend は、Hermes の service が起動した瞬間に必ずコンテナが見えるわけではない。

実際に terminal tool を使うまでコンテナが立たない。

そのため、docker ps だけを見て「Docker backend が動いていない」と判断すると、少し早い。

Docker backend は、Hermes に以下を依頼して確認した。

推測で答えないでください。
必ずターミナルツールを使って
`cat /etc/os-release; python --version; node --version; npm --version; uname -m`
を実行し、出力を短く報告してください。

返答として残っていたのは以下。

Debian 12 (bookworm), Python 3.13系, Node 24系, npm 11系, aarch64

その後 Docker 側にもコンテナが見えた。

sudo docker ps -a --format 'table {{.Names}}\t{{.Image}}\t{{.Status}}'
NAMES             IMAGE                                                 STATUS
hermes-<id>       nikolaik/python-nodejs:python3.13-nodejs24-bookworm    Up About a minute

今後の用途

基盤はできたので、次は「何に使うか」を詰めていく。

生活・役所ウォッチャー

まず試したい候補はこれ。

毎週月曜朝に、自治体ページや公的情報を確認し、
新規・変更・締切・対象になりそうな制度をまとめる。

とえば、給付、助成、保育・教育、医療、住宅、防災、省エネ補助など。

実申請やログインはしない。公開情報の確認と要約だけに閉じる。

技術インプット3件

毎日たくさんの記事を読むのは無理。

なので、自分に関係あるものだけ3件に絞らせたい。

対象:
- NixOS
- AI Agent
- LLM
- Ruby
- Elixir
- Go

出力は「今日読むべきもの: 3件」「自分の環境に影響あり」「5分でできる確認: 1つ」くらいでよい。

生活ブリーフィング

週次の生活タスク整理にも使える。

- 予定
- 提出物
- 買い物
- 役所・教育関連
- 健診や手続きの確認
- 手続きタスク
- 忘れると困ること

ここも、AIに実行権限を渡すというより、人間が確認するためのブリーフィングを作る係にする。

次はHermesに何を任せ、何を任せないか

AIエージェントは、ただ入れるだけなら簡単になってきた。

でも、本当に生活の中で使うなら、モデル性能より先に考えることがある。

- どこまで任せるか
- どこから人間が確認するか
- どの情報にアクセスさせるか
- コマンド実行をどこに閉じ込めるか
- 秘密情報をどう扱うか
- 継続運用できるか

今回の構成は、少なくとも後から見直せる土台にはなった。

Raspberry Pi 4B、NixOS、Tailscale、Hermes Agent、OpenRouter、Docker sandbox。

次は、Hermes に何を任せ、何を任せないか。

まずは、生活・役所ウォッチャーと技術インプット整理の候補を小さく試してみる予定。

2026·05·06 · 6 min

AI分業で個人ブログを作る

GPT-5.5 Pro、Claude Design、Codex、GenUIを役割ごとに分けて、hokupoidという個人ブログを設計し実装したときの設計ノート。