假设远端已能发起工具调用;IDE 与仓库边界见《IDE 桥接沙箱》。入口:首页看场景,帮助中心对命令,购买页比节点。痛点:①arguments未校验就进 exec,等于把 shell 交给随机 JSON。②单工具卡死拖死整回合,缺 per-tool deadline 与熔断半开计数。③重试策略各写各的,抖动下要么风暴要么永不重试。下面按「目录—Schema—超时熔断—退避—排错」顺序可复现落地。
| 分层 | 职责 | 失败时用户可见信号 |
|---|---|---|
| Schema 层 | 执行前校验类型、枚举、pattern | INVALID_ARGUMENTS + Pointer |
| 运行时层 | 连接、读包体、回合总预算 | DEADLINE_EXCEEDED / 状态码 |
| 韧性层 | 熔断、半开、指数退避 + jitter | trace_id 与 retry_n 同链 |
网关与技能目录
在可写沙箱下设配置根(如 ~/openclaw-runtime),固定 skills/ 与网关配置;每技能一目录,manifest 写工具列表、入参 schema 引用或内联块、版本与 git 提交,避免散落在家目录无名文件夹。launchd KeepAlive 拉起网关,标准输出与 access 日志进沙箱,勿写只读仓库。令牌 0600、最小 scope,密钥勿塞进技能 JSON;与「repo 只读、scratch 可写」对齐后,代理误写源码概率显著下降。
Schema 校验示例
run_ci 工具可用 draft-07:object 下 branch 用 pattern 卡安全字符集,timeout_ms 用 minimum/maximum 整数界,required 只列刚需。生产关 additionalProperties;开发可单独 profile 放宽。网关在执行前校验,失败映射 INVALID_ARGUMENTS,正文带 schema 路径与首条 JSON Pointer,IDE 与自动化无需翻堆栈即可定位。
{
"type": "object",
"additionalProperties": false,
"properties": {
"branch": { "type": "string", "pattern": "^[a-z0-9./_-]+$" },
"timeout_ms": { "type": "integer", "minimum": 1000, "maximum": 120000 }
},
"required": ["branch"]
}超时与熔断参数
每工具设 connect_ms、read_ms、overall_deadline_ms;会话级加 session_budget_ms,防止多工具串联悄悄吃光整轮预算。熔断用滑动或固定窗口:如连五超时或连三非 2xx 则熔断,半开三十秒仅探测流量,再逐步提高并发上限。阈值按远端 Mac 到 API 的 RTT与下游 p95 校准,勿把笔记本本地延迟当真理;Schema 拦形状,超时拦挂死,熔断拦坏邻居。
重试退避
团队共享片段如 retry_policy.default:基数三百毫秒、倍数二、上限八秒,并加 full jitter 打散雷鸣羊群;仅超时、连接重置、429、503 可重试,明确业务 4xx 勿自动重试。写路径必须带幂等键或条件写入,避免退避后重复落库。日志同一 trace_id 标 retry_seq,便于与网关 access 对齐审计。HowTo 摘要:建配置根与 skills 并记版本;为每工具挂 Schema 与错误码;写单工具与会话超时;配熔断与半开探测;启退避模板;跑 openclaw doctor 叠加非法参数与慢响应用例回归。
日志排错 FAQ
一直报 additionalProperties? 模型多吐字段;收紧 schema 或系统提示要求仅输出声明字段,必要时拆成更小工具。
熔断误杀正常流量? 窗口过短或读写混计数;拉长窗口、只读与写分桶,半开阶段限并发。
重试后重复写入? 补幂等键与服务器唯一约束,并停止对业务错自动重试。
超时很大仍断? 核对会话预算是否更短或上游代理 idle 超时,分段 curl 验证链路。
Schema 过但执行仍炸? 校验只保形状;工具内再做语义断言并映射稳定错误码。
小结:Schema 解决「长什么样」,超时与熔断解决「跑多久、坏多久就停」,退避解决「何种失败才重试」;三道闸在远程 Mac 一并落地,Agent 工具调用可从实验脚本进化成可值班服务面。