OpenClaw 模型允許清單拒絕與生產修復(MacLogin 雲端 Mac 2026-04-23):在港日韓新美閘道器上消除 Model not allowed 的靜默回退
當 OpenClaw 日誌從可讀堆疊突然變成一句 Model not allowed,多數團隊會誤判為供應商中斷。 在租用的 Apple Silicon 閘道器上,2026 年 4 月更常見的根因是 允許清單漂移:agents.defaults.models 與路由器或 cron 請求的目錄 ID 在次要升級後不再相交。 本文為平台負責人提供政策與目錄對照矩陣、必須對齊的 JSON5 鍵、含明確回滾的七步分階段發佈、能識別假陽性的 curl 探針,以及綁定 MacLogin 區域的常見問題。
先讀 doctor 診斷手冊,對照 安裝指令稿與 npm 全域,並沿用 生產切換健康檢查 的紀律。限流場景搭配 供應商退避。總覽:OpenClaw 專題索引;營運頁:說明文件、定價、VNC。
在 MacLogin 多區拓樸下,允許清單變更常先在東京 staging 驗證,再經香港一般自動化節點推廣到新加坡與首爾的唯讀代理,最後到美國生產。若不在每一步記錄拒絕計數與 p95 尾延遲,容易出現「staging 正常、生產靜默拒絕」的斷層。建議在變更單裡強制附上 doctor JSON 的 diff 與閘道器 git describe,避免審核只看到 JSON5 文字而不知道執行中的 semver。
對受監管客戶,保留脫敏 curl 與健康端點回應本文至少一個完整 cron 週期,可證明 cron 子行程與互動式 shell 使用同一模型 ID。若 launchd 環境注入與磁碟檔不一致,應在工單中明寫根因與永久修復(例如移除 plist 中的 OPENCLAW_MODEL),而不是僅重啟服務掩蓋漂移。
為何在「數週未改設定」後仍會出現 Model not allowed
上游 OpenClaw 可能重新命名路由別名、緊縮預設拒絕清單,或拆分預覽與穩定 SKU。閘道器 JSON5 仍列出舊 ID(短名未加廠商前綴),而執行階段現要求帶限定符的字串。把模型寫死在 YAML 的 cron 技能會放大不一致,因為它們繞過互動式引導,失敗時也不那麼顯眼。
- 環境注入: launchd plist 匯出
OPENCLAW_MODEL可能只覆寫某一子行程,doctor 在父 shell 裡仍看似正常。 - 部分合併: 以 Git 為基礎的設定晉升有時只合併 tools 區塊而跳過
agents.defaults,導致生產比 staging 更嚴。 - 區域目錄: 供應商在美東與日東端點發佈模型清單的時間差可達數分鐘;只在 US 驗證的允許清單可能在 JP 以相同字串但因可用性旗標不同而被拒。
政策側與目錄側漂移矩陣
| 訊號 | 偏政策 | 偏目錄 | 驗證 |
|---|---|---|---|
| 供應商回 401 | 不太可能 | 金鑰輪換 | curl 供應商 /models |
| 立刻 200 但補全為空 | 允許清單映射到未知 ID | 模型退役 | 在閘道器日誌 grep 被拒絕的 ID |
| 僅 cron 間歇拒絕 | cron 環境缺少新 ID | 同上 | 在 launchd 工作內 printenv |
| 僅在 npm 升級後拒絕 | schema 預設值收緊 | 對等依賴改變路由器 | openclaw doctor --json diff |
JSON5 形狀與常被遺忘的鍵
維持 agents.defaults.models 為顯式字串陣列——避免破壞剖析器的尾隨逗號,避免在 cherry-pick 中又冒頭的整行註解。模型 ID 必須與供應商文件逐字一致;若同時存在 -latest 別名與固定雜湊,生產優先固定雜湊,staging 保留一條別名做浸泡。
每條旁應用 JSON5 註解寫明責任團隊與季度複審日期——稽核會把無法解釋的萬用字元視為政策失敗。編輯後先執行 openclaw doctor --fix 正規化上游排錯提到的非法鍵,再帶 --fix 重跑,確認檔案穩定。
七步分階段推廣(JP 金絲雀 → US 生產)
- 依 狀態目錄備份指南 快照
~/.openclaw。 - 在 JP staging 租約套用允許清單 diff;合成流量控制在 5 RPS 以下。
- 連續執行兩次 doctor;若警告數比基線增加超過 1 則失敗。
- 推廣到香港一般自動化主機;24 小時監控拒絕計數。
- 推廣到新加坡與首爾唯讀代理;觀察尾延遲 p95。
- 涉及交易分析模型時,僅在財務簽字後推廣到美國生產。
- 若任一區域拒絕閾值超過每小時 15,還原 tarball 並重啟 launchd 回滾。
重啟後的 curl 健康探針(避免假綠)
對本機閘道器健康端點連續請求 5 次,間隔 200 ms:首次常成功,第二次才會載入重新強制允許清單的外掛程式。記錄含建置雜湊的回應標頭以確認應答二進位。若 TLS 終止在反向代理,再對 127.0.0.1:18789 做 loopback curl,以隔離網路政策與 OpenClaw 政策。
| 探針 | 通過標準 | 失敗意涵 |
|---|---|---|
| GET /health(本機) | HTTP 200 且 body OK | 重啟後閘道器未綁定 |
| 取樣補全 | 助手文字非空 | 靜默允許清單拒絕路徑 |
| cron 乾跑 | 與手動呼叫同一模型 ID | 環境漂移 |
若代理剝離 X-OpenClaw-Build 標頭,請在事故頻道保存閘道器 git describe 輸出,以便比對 allowlist schema 版本。跳過此關聯的團隊平均多花 47 分鐘重複跑 doctor,卻在不知情中比較了數小時間隔拉取的兩條 semver 線的 JSON5。
常見問題
能否暫時 allow-all? 僅可在一次性複製品中;不要在共用 MacLogin 租約上使用,其他租戶的技能可能繼承相同主目錄版面。
大小寫敏感嗎? 敏感——把模型 ID 視為區分大小寫的不透明字串。
誰負責季度目錄複審? 平台工程聯合 AI 治理簽字;花名冊寫在連結到 說明文件 的維運手冊中。
為何 Mac mini M4 能縮短允許清單驗證週期
M4 級 Apple Silicon 通常把 doctor 與 npm link 閘道器重啟壓在 90 秒牆鐘內,對要在五個區域營業前完成迭代至關重要。統一記憶體允許在併發 curl 探針時保持本機 tokenizer 快取熱度,減少跳步誘惑。MacLogin 在 HK、JP、KR、SG、US 的布局讓你可以優先鎖定 JP 可用模型,而不必每次微調允許清單都叫美國同事起床。
從 定價 增租金絲雀比賭生產拒絕便宜:讓更嚴的允許清單副本 24 小時在線,僅在完整 cron 週期存活後再晉升 JSON5。
在專用 Apple Silicon 上執行 OpenClaw 允許清單變更
將經 doctor 把關的 JSON5 與 MacLogin 在 HK、JP、KR、SG、US 的節點配對。
