未設上限的入站本文是 LLM 網關最廉價的「燒錢」向量:單一數 MB 的 JSON 可能在您的 JSON Schema 校驗層拒絕之前就吃掉大量分詞器工時。二〇二六年請在 OpenClaw 網關邊緣明確宣告最大 HTTP 實體大小、JSON 剖析深度上限與每工具標準輸出上限,並將這些數字接到驗證器已使用的同一組資訊清單,讓設定錯誤的客戶端面對單一連貫政策。再與 斷路器閾值搭配,使重複違規觸發保護性退避,而非默默塞爆 CPU。
本文給出可在事故檢討中辯護的數字:互動工作階段預設最大入站 JSON 4 MiB、巢狀物件除非工具宣告更深樹狀結構否則深度 32、檔案系統讀取除非明確提升否則512 KiB截斷預覽,以及租用 Apple Silicon Mac mini 時約每天十六點九美元的演練經濟性。
網關為何必須提早拒絕
多層防禦會堆疊 TLS 終止、反向代理與應用程式剖析器——但一旦超大本文抵達分詞器,電與延遲預算就已耗掉。在網關通訊端層以保守的 MaxBytesReader 模式(或等價做法)強制位元組上限,可讓攻擊者付出往返成本卻佔不到模型槽位。將拒絕理由與上游 HTTP 502 雜訊分開追蹤,Grafana 圖卡才解讀得清楚。
HTTP 本文與 Content-Length 上限
若 Content-Length 超過政策,請在串流其餘內容之前就終止請求;對無長度的分塊上傳,累積至環形緩衝並在預設互動通道累積超過 4,194,304 位元組時中止。僅對受獨立驗證與佇列深度指標保護的批次匯入端點文件化更大的容許值。
| 通道 | 最大本文 | 理由 |
|---|---|---|
| 互動對話 | 4 MiB | 容納豐富工具 JSON,但不邀請整包封存 dump |
| 自動化 webhook | 16 MiB | 批次事件,需管理員核准 |
| 緊急營運覆寫 | 64 MiB | 需簽章標頭與稽核日誌項目 |
JSON 深度、陣列長度與鍵數
剖析器應拒絕深度超過 32 層或單節點陣列寬度超過 4096 槽位(除非版本化資訊清單中有工具專屬豁免)。深度檢查應搭配每物件最大相異鍵數(256),以緩原型污染式小工具偽裝成設定本文。
{
"error": "parse_depth_exceeded",
"limit_depth": 32,
"observed_depth": 41,
"request_id": "b7f2…",
"hint": "請扁平化設定陣列或將本文拆成多次工具呼叫"
}工具輸出截斷與串流
檔案系統與 shell 工具可能意外噴出數 MB 的標準輸出。請以讀取器包裹子程序管道,在除非契約宣告 large_output:true 否則超過 524,288 位元組後切換至捨棄模式。向上串流模型權杖時遵守 TCP 視窗背壓:當 8 GiB Mac mini 網關上每名工作者的內部佇列合計超過 2 MiB RAM 時暫停工具讀取。
413 與 400 的結構化錯誤本文
使用穩定且機器可讀的 error 代碼、回顯政策上限,且切勿回顯攻擊者可控制的片段超過 200 個 UTF-8 字元。僅在根因是過載而非濫用時才附上 retry_after_ms。
與 schema 資訊清單對齊
當網關已透過 JSON Schema 驗證參數時,請確認 maxLength 與 maxItems 仍比傳輸層上限更緊,使校驗能快速失敗且誠實——客戶端看到的是 schema 錯誤而非不透明通訊端重設。
macOS 緩衝預設與 LaunchAgent 含義
launchd 繼承的管道大小與 Linux 容器不同;在裸機 macOS 上預演會暴露標準輸出灌滿速度快於協程排空的場景——迫使您在正式環境之前誠實調校高水位線。
濫用型態與鄰近費率控制
本文攻擊很少以單一巨型 POST 呈現——更常是成千上萬個略低於上限的請求,仍會耗盡 JSON 剖析器。請將 rejection_rate_413 與 rejection_rate_parse 視為一等指標,設五分鐘內百分之五警示閾值與對問題 API 金鑰自動施加輕量權杖節流的百分之二十規則。並搭配每租戶點數餘額,避免行銷租戶用雜訊行銷活動餓死平台營運。
鑑識可記錄樣本,但切勿儲存完整被拒本文:在與應用程式日誌隔離的金鑰下保留 SHA-256 摘要與前 1,024 位元組,於七十二小時後到期,除非有法定留存。
限流決策的 SLO 表
| 訊號 | 目標 | 動作 |
|---|---|---|
| 剖析時間中位數 | 16 KiB JSON 在 M4 上 < 3 ms | 若連續十五分鐘 > 6 ms 則告警 |
| 413 比率 | 穩態 < 0.3% | 部署後若 > 2% 則呼叫值班 |
| 截斷的工具列 | 工具呼叫中 < 1% | 請工具擁有者改為分頁 |
對害怕破壞性的團隊之上線順序
- 影子模式:四十八小時只記錄「本會拒絕」次數而不真的拒絕請求。
- 金絲雀租戶:先對內部工作區強制上限。
- 漸進收緊:每週發版列車將互動最大本文自 8 MiB 降至 4 MiB。
- 部署後驗證:將 Prometheus 抓取增量與基準 CPU 對照。
將數值預設與環境變數並列文件化,Terraform 模組與 LaunchAgent plist 片段才能同步——沒有什麼比「預備環接受、正式環拒絕」更快摧毀信任。
WASM 與原生延伸剖析路徑
有些團隊將 JSON 剖析卸載到 WASM 模組或 SIMD 加速函式庫。請讓網關全域上限低於這些加速器在尖峰時脈下的承諾——Apple Silicon 在夏季長時間 AVX 重核心下熱軟體超過85 °C機殼讀值時仍會降頻。
若以通用二進位檔編譯 arm64 剖析器,請對冷熱快取分別基準測試:部署新建置後首次請求延遲可能因指令快取失誤而高峰百分之四十——在儀表板揭露該抖動,避免限流收緊與隱性回歸同時發生。
與行動/桌面客戶端的版本化契約
透過與語意化網關版本一起遞增的機器可讀 /gateway/policy 文件公開上限,Flutter、Electron 或 Swift 客戶端即可協商能力而無需脆硬編碼常數。納入 max_tool_output_preview_bytes 讓 UX 設計師知道何時該將工具輸出表格分頁。
共用狀態與 Redis 支援的計數器
當多名網關工作者強制配額時,請將滾動計數器集中在 Redis:五秒 TTL 視窗偵測爆量、每小時雜湊追蹤持續濫用。使用 Lua 指令碼讓遞增與檢查維持原子——此處競態會表現為 flaky 的 429 風暴,困擾合法重試。
謹慎選擇回收策略:記憶體壓力下丟棄配額鍵優於丟棄驗證權杖,但請文件化取捨,讓值班工程師知道叢集故障演練時配額可能短暫放寬。
最後,協調升級演練:當 OpenAI 或 Anthropic 隔夜提高上下文視窗時,請勿盲目調高網關天花板——應重新評估分詞器預算並確認可觀測面板在調整後仍綠燈。
runbook 應直接連結本文政策表、Grafana 面板 ID 與目前語意化標籤,讓新進值班者在事故當下不必去聊天紀錄打獵——預設值每次變動都要發版文件。
這份紀律能讓多區域網關週復週維持一致。
透過 MacHTML 租用 Apple Silicon Mac mini 可讓 TLS 堆疊、解碼函式庫與管道語意與許多團隊已在 macOS 上營運的客戶網關對齊,而非強迫僅 Linux 的假設而誤估緩衝。靜音散熱與可預測單執行緒增益,在您量測持續 413 風暴下的剖析微秒時仍有意義——相較折舊自有硬體,營運支出約每天十六點九美元。
彈性租期亦讓您將正式限流設定複製到隔離租戶做紅隊演練——爆量濫用本文可驗證計數器而不危及共用預備叢集。