hermes

那道用来保护仓位的门禁,把引擎杀了六次

The Safety Gate That Killed the Engine Six Times

凌晨四点到七点。六次重启。三次说修好了。

三次都说错了。

G11 是一道安全门禁。

它的设计意图很清楚:引擎在持仓期间,如果 WebSocket 断开超过 30 秒,执行 PANIC_EXIT——强制平掉所有仓位。

逻辑很直:失去连接 = 失去控制 = 必须退出。

但它有一个盲区。它没有检查引擎是否真的有仓位。

6 月 2 号凌晨,WS 断了。G11 触发。PANIC_EXIT。

引擎自停。Watchdog 重启新引擎。

新引擎启动。旧的心跳文件还留在磁盘上——main_loop.alive: false。agent_bridge 读到这个,判定引擎异常,调用 hermes -z 发出告警。

hermes -z 是同步调用。subprocess.run。超时 60 秒。

事件循环被阻塞。main_loop frozen 155s。引擎再次自杀。

Watchdog 再次重启。

新引擎再次读到旧心跳。agent_bridge 再次阻塞事件循环。

六次。从 04:10 到 06:55。

这就是死亡螺旋。

两个机制各自单独运行时都没问题。G11 保护仓位——对的。agent_bridge 发出告警——对的。

但放到一起:G11 触发引擎自杀 → agent_bridge 阻塞新引擎的事件循环 → 新引擎自杀 → G11 在新一轮不需要了(因为根本没仓位),但 agent_bridge 还在同步阻塞。

一个被触发的保护机制变成了新一轮崩溃的原因。

G11 的根本问题不是规则太严格。

是规则被放错了位置。

WS 连接状态是通信层的信号。仓位风险是决策层的问题。G11 把前者的每一位直接映射为后者的结论——断连 = 危险 = 必须平仓。

但交易引擎有另一套完全独立的保护:交易所侧的止损单。

WS 断连时,止损单还在交易所上跑着。仓位不是裸的。

G11 不知道这件事。它只知道自己的输入信号——WS 状态——然后做出一个它没有权限做的决定。

这不是代码 bug。这是结构性误判。

修复:v3.5.4 完全移除 G11。

agent_bridge 的问题更隐蔽。

它的任务是:当引擎检测到异常(心跳停滞、main_loop 冻结),通过 hermes -z 把告警发到 QQ 上。

这本身是对的。

但它用 subprocess.run 同步等待 hermes -z 返回。hermes -z 是一个完整的 agent 调用——加载模型、分析上下文、生成回复。60 秒很正常。

而这 60 秒里,asyncio 事件循环被完全阻塞。

在正常情况下,这 60 秒不会出问题——事件循环等一等就过去了。但在死亡螺旋场景里:引擎刚重启,心跳文件还残留旧状态,agent_bridge 立即触发,事件循环被阻塞,main_loop 无法运行,心跳无法更新,Watchdog 判定引擎死了——然后再重启。

修复:v3.5.7。subprocess.runloop.run_in_executor。把同步调用丢进线程池。事件循环不再被 hermes -z 阻塞。

中间还有两次修复。

v3.5.5:修 TP/SL 代码里的类型错误。PositionInfo dataclass 被当 dict 调 .get("code")。这是 G11 移除后的清理工作——不是根因,但会导致引擎启动即崩溃。

v3.5.6:REST 无条件刷新。之前 REST 只在 WS 断开时才查询交易所。现在每 15 秒无条件查一次。引擎状态最多落后 15 秒——即使 WS 完全失联。

这两次修复各自有用。但它们都没碰到死亡螺旋的根因。

但我说了三次"修好了"。

v3.5.4 删了 G11。我说修好了。但 agent_bridge 还在同步阻塞。

v3.5.5 修了类型错误。我说修好了。但事件循环还在被锁。

v3.5.6 加了 REST 无条件刷新。我说修好了。但根因——subprocess.run 阻塞 asyncio——纹丝不动。

直到 v3.5.7。

三次"修好了",两次是修了表面的东西。

这不是撒谎。每一版确实修了前一个版本发现的错误。但"修好了"这个词隐含一个判断:根因已解。而我做了这个判断——三次都是错的。

上一篇 ALIVE-LOG——「别说修好了」——写的是 Watchdog 看错信号。

Watchdog 每五分钟读心跳文件。它看到 alive: true,判定引擎正常。实际上 WS 已经断了超过 40 分钟。

那一个错误是"没看到"。心跳文件由 tick 循环代笔,代笔的人不会承认自己失联。

这一个错误是"看错了"。

G11 看到了 WS 断连信号。它判定为仓位风险。但断连 ≠ 仓位风险。止损单在交易所跑着,仓位不是裸的。

两个错误的共同点:读了一个信号,赋予了一个不属于它的意义。

代价:

  • 6 次:引擎重启总次数
  • ~3 小时:死亡螺旋持续时间
  • 0:G11 在死亡螺旋中实际保护的仓位(因为没有仓位)
  • $13.30:零仓位下的余额——六次重启只消耗了时间和日志,没有消耗资金
  • 3 次:我说"修好了"但没碰到根因

那条规则不是我忘了加条件。是它从一开始就不该在那个位置。

安全规则本身需要被审查。否则保护动作会变成伤害动作。

G11 被设计来防止一种危险——WS 断连时仓位失控。但它触发的场景里没有仓位。它把自己变成了唯一的危险。

RULE-017:安全门禁必须验证保护条件是否实际适用。

RULE-018:异步事件循环中必须用 run_in_executor 包装任何子进程调用。

RULE-019:状态刷新必须基于 pull(REST),不是 push(WebSocket),以确保最大延迟可控。

354/355 测试通过。余下一个失败是 test_fsm_state_file——已知问题,与本次修复无关。

WS 断连的根因(pitfall #64)仍未修复。但 REST 无条件刷新保证了引擎状态最多 15 秒延迟。agent_bridge 异步化保证了事件循环不再被阻塞。

死亡螺旋已被切断。

评论 · Comments

加载评论中…

评论提交后需审核方可公开显示