Шлюзы OpenClaw кажутся лёгкими, пока агент не свяжет пятнадцать shell-зондов, не перечитает многомегабайтный журнал на каждом ходу и не начнёт стримить размышление на тысячи токенов. Финансы спрашивают, почему за одни выходные сгорел тройной запас инференса. Этот гайд для команд, которые держат OpenClaw на круглосуточном macOS-хосте, чаще всего на общем Mac mini, и хотят цифры, а не лозунги. Когда ошибки прячутся за повторными попытками каналов, читайте вместе с OpenClaw Doctor и диагностикой шлюза (русский), чтобы быстрее сопоставить симптомы, токены аутентификации и занятые порты.
Здесь есть матрица политик, стартовые числа для токенов, параллелизма и backoff, операционные шаги, переживающие перезапуски LaunchAgent, и FAQ для владельцев платформы. Каждое изменение лимита должно уезжать в том же PR, что и пороги мониторинга, иначе постмортемы гадают, регрессия в промпте или в инфраструктуре.
Первый блок — признаки слишком слабых ограничений: команды часто винят модель или сеть, хотя на самом деле отсутствует мемоизация или дублируются ответы канала. Затем таблица сравнивает жёсткие потолки и адаптивные очереди, потому что финансы и инженерия говорят на разных языках: потолки объяснимы, очереди гибки, но дороги в эксплуатации.
Числовые рекомендации включают отдельные заметки про браузерную автоматизацию, где скриншоты раздувают промпт. Отдельная глава про macOS объясняет, как справедливый планировщик и наблюдатели файлов удлиняют настенное время вызова инструмента даже при низкой загрузке CPU.
Наблюдаемость и игровые дни закрывают раздел практики, а FAQ фиксирует три уровня эскалации, когда регион долго отвечает 429 или маркетинговый запуск ломает графики.
Признаки слишком мягких лимитов
Почти линейный рост задержки при низкой загрузке CPU шлюза чаще означает очередь у поставщика модели, а не внезапно медленный Swift-парсер. Регулярные всплески записи на диск часто появляются, когда агент заново сериализует дерево рабочей области без мемоизации выходов инструментов. Если два статуса «работаю» приходят быстрее 400 мс, нет слоя дедупликации, и повторы тихо умножают токены без заметного инцидента.
Четыре обязательных ряда для финансов: токены на успешную задачу, токены на неуспех, вызовы инструментов на разговор, настенное время до закрытия тикета. Без них нельзя доказать ни апгрейд модели, ни откат политики.
Во время инцидента заморозьте фичи, снимите снапшот ~/.openclaw с редактированием секретов и откатите последнее изменение политики. Без снапшота команды тратят дни на споры, маршрут ли, песочница ли или шаблон промпта дал сбой. Введите обязательные корреляционные идентификаторы, чтобы саппорт не опирался на скриншоты старых сборок.
Ротации аварийных учёток после инцидента так же важны, как сами лимиты: ошибки аутентификации провоцируют агрессивные клиенты, которые фактически снимают ограничения. Документируйте порядок обновления сервисных аккаунтов, чтобы две версии шлюза не оставили друг друга в полусостоянии.
Саппорт-инженеры получают одностраничную шпаргалку активных лимитов по тегам релиза; одной git-истории мало в пиковый пейджинг. Без шпаргалки растёт среднее время диагностики и повторяются одни и те же вопросы в каждую смену.
Ещё сигнал — растущая глубина очереди при падающей доле успеха: проверьте неявные тайм-ауты инструментов и обрывы на reverse-proxy, из-за которых клиенты слепо начинают заново. Сопоставляйте метрики шлюза с задержками наверх по цепочке, прежде чем покупать дополнительную мощность модели.
Наконец, согласуйте маркетинг с реальными лимитами: обещание «безлимитного исследования» превращает каждое ограничение в «баг» для пользователей и раздувает саппорт. Честные лимиты рядом с ценой снижают количество обращений.
Матрица: жёсткие потолки и адаптивные очереди
| Подход | Лучше всего для | Риск | Нагрузка на ops |
|---|---|---|---|
| Жёсткий максимум выходных токенов | Публичные боты | Ответ обрывается посреди размышления | Низкая |
| Бюджет задержки на инструмент | Файловые обходчики | Легитимный глубокий поиск падает | Средняя |
| Адаптивная глубина очереди | Команды со SLO | Сложная настройка | Высокая |
| Лимит шагов разговора | Исследовательские агенты | Пользователь вручную продолжает | Низкая |
Типичная связка — жёсткий максимум выхода плюс лимит шагов: это аудируемо и понятно финансам. Адаптивные очереди ждут шесть недель базовой линии и отдельной команды для тюнинга.
Колонка риска отражает продукт: слишком жёсткие потолки заставляют пользователей обходить систему другими каналами, удваивая работу и токены. Лучше профили на канал с письменным обоснованием, чем один глобальный профиль.
В мультитенанте вводите лимиты на арендатора, чтобы шумный клиент не забивал очередь остальным. Проверяйте разделение нагрузочными тестами на арендованном Mac mini с той же RAM и минорной версией macOS.
Стартовые числа для аудита
Консервативные значения для однотенантного шлюза на 16 ГБ Mac mini и менее чем двадцати одновременных операторов:
- Максимум выходных токенов: 900–1200 на рутину; 1800 только для синтеза кода за фичефлагом.
- Параллельные инструменты: 1 для shell, 2 для read-only статистики файлов, 0 для сети без allow-list.
- Backoff: старт 2 секунды, множитель 1,8, потолок 45 секунд, максимум 5 попыток, затем явная ошибка.
- Настенные часы на разговор: жёсткий стоп через 12 минут модельного времени без
continueот оператора.
Повышайте потолки только с перцентильными доказательствами: если p95 укладывается в цель, фиксируйте изменение в том же коммите, что и пороги мониторинга. Иначе дашборды и реальность расходятся, и никто не знает, какой лимит «официальный».
Для браузерной автоматизации делите бюджет токенов примерно на 2,5 из-за скриншотов; DOM-only путь остаётся дешевле. Раздельно маркируйте телеметрию, чтобы не смешивать несравнимые кривые.
Логируйте policy_version на каждое событие завершения, чтобы Grafana резала до/после деплоя без гаданий. Строки версий должны читаться человеком и следовать истории релизов.
Числовые лимиты не заменяют песочницу: allow-list каталогов и квартальный разбор префиксов команд остаются обязательными. Безопасность должна подтвердить, что более высокий лимит токенов не открывает пути записи шире через раздутые ответы инструментов.
Для внутренних исследовательских агентов более высокие лимиты допустимы с человеческим одобрением на сессию, тоже версионируемым для аудита. Без следов одобрения каждый перерасход превращается в политический спор, а не в измеримый факт.
Планировщик macOS, LaunchAgents и давление fork
OpenClaw соседствует с наблюдателями файлов, шипперами логов и иногда симуляторами Xcode. Под нагрузкой fork-тяжёлые цепочки давят память, даже если CPU выглядит свободным. Сериализуйте shell, когда активнее трёх разговоров, чтобы уменьшить чередование справедливого планировщика, которое тянет настенное время вызова.
Добавьте ThrottleInterval в LaunchAgents, чтобы не бомбить API модели с частотой 10 Гц во время сбоя. В ранбуке дайте ссылку на статус-канал, чтобы люди отличали внешний инцидент от локальной регрессии.
Не удаётся воспроизвести вилочные штормы на ноутбуке? Арендуйте облачный Mac mini с той же памятью и минорной версией macOS. У MacHTML короткие всплески часто укладываются около 16,9 USD в день — дешевле, чем неделя догадок старшего инженера. Зафиксируйте тепловое поведение: безвентиляторные mini снижают CPU после длительной нагрузки, сдвигая гистограмму задержек при неизменных политиках токенов.
Снимайте plist и файлы окружения перед агрессивными тестами; откат — это launchctl bootout плюс восстановление, а не переустановка. Разведите canary и стабильный профили, чтобы эксперименты не делили сокет LaunchAgent с клиентами.
После смены split-tunneling VPN или путей reverse-proxy перемерьте задержки инструментов: асимметричная маршрутизация может оставить интерактивные тесты зелёными, а демон-аккаунт — красным. Запускайте doctor по тому же сетевому пути, что и шлюз.
Наконец, зафиксируйте, сколько параллельных браузерных инстансов выдерживает Mac mini до давления памяти и GC Node, усугубляющего тайм-ауты инструментов. Эти цифры должны жить на одном дашборде с токенами, иначе две команды говорят мимо друг друга.
Наблюдаемость без логового болота
Одна JSON-строка на вызов инструмента с полями conversation_id, tool, duration_ms, exit_code, retry_count, policy_version лучше прозаических абзацев. Отправляйте в уже дешёвое хранилище: OpenSearch, ClickHouse или S3 + Athena при умеренном объёме.
Тревога, когда скользящее среднее токенов на успешное решение на 20 % выше семидневной базы, ловит тихие регрессии промптов. Добавьте еженедельный разбор трёх самых странных разговоров вместе с продуктом.
Дашборд: стековая площадь токенов по маршруту модели и теплокарта ошибок по часу; маркетинговые запуски вскрывают дыры в лимитах. Свяжите календари маркетинга и эксплуатации, чтобы не было сюрпризов.
Маскируйте секреты при приёме, а не только в UI: лимитированные повторы умножают объём, а «debug»-пакеты легко утекают. Обучите инженеров не вставлять сырые заголовки в тикеты.
Игровые дни: в staging временно снизьте максимум вывода на 30 % и прогоните золотые сценарии. Уроки переносятся в прод и в обучающие материалы.
Он-колл ранбук на три ступени: (1) снизить потолки и уведомить канал; (2) отключить несущественные инструменты и уйти на холодный резерв; (3) баннер обслуживания до финансового аварийного квоты. Тренируйтесь ежеквартально на длительных региональных 429.
Менеджеры должны сливать диффы промптов и политик в один PR; иначе дашборды показывают «фантомные» всплески токенов от правок текста, пока инфраструктура неделями считается невиновной.
Завершите разговор с финансами: наблюдаемость — не роскошь, а основа бюджетных дискуссий. Без структурированных данных любой лимит кажется произвольным; с данными он становится рулём управления.
FAQ
Первый рычаг при скачке счёта?
Снизить максимум выходных токенов и отключить параллель, пока логи не покажут виновника.
Как остановить циклы без убийства шлюза?
Лимиты шагов и настенного времени с явными ошибками в канал вместо бесконечных повторов.
Зачем выделенный Mac mini?
Чтобы воспроизвести продуктовое поведение macOS; Linux-заглушки скрывают fork и наблюдателей.
Mac mini на Apple Silicon остаётся практичным выбором: много unified memory под локальные модели и шлюз, тихий для офисных стоек, совпадает с тем, что дизайнеры проверяют по VNC. MacHTML сдаёт Mac mini с SSH/VNC, чтобы проверять лимиты, восстановление LaunchAgent и сценарии doctor — масштабируйтесь для нагрузочных тестов, сокращайте, когда бюджет стабилизируется.
Проверяйте лимиты OpenClaw на облачном Mac mini
Прототипируйте потолки токенов, сериализацию инструментов и восстановление LaunchAgent на Apple Silicon без покупки железа — SSH для автоматизации, VNC для ручных проверок.