ggghjj3bk-netizen/cascade-protocol-dissector
GitHub: ggghjj3bk-netizen/cascade-protocol-dissector
一个通过协议层中间件绕过商业 LLM API 配额限制的研究项目,记录了多条绕过路径并提供了相应的防御性加固文档。
Stars: 151 | Forks: 0

# Torii Gateway — 面向前沿 LLM 的透明协议桥接
在机器学习基础设施隐秘的后台通道中,一直存在着一种特殊的不对称性。商业大型语言模型将其最强大的推理能力置于分层把关机制之下——受到限流、计量,并日益被每日配额的壁垒所封锁。Torii Gateway 颠覆了这种不对称性。从传统意义上讲,它并不是一种规避工具。相反,它是一个严密的协议适配层,专为需要持续、经过身份验证地访问高级推理路径,且不受基于消耗的配额上限所带来的人为限制的研究人员而设计。
Torii(鸟居)以标志着从世俗到神圣转变的日本传统大门命名,Torii Gateway 充当着标准 API 消费者与通常专为企业合同保留的特权计算层之间的阈值接口。本仓库包含了一个透明中间件系统的完整架构文档、行为分析和操作蓝图,该系统能够在协议层面重新协商速率限制。
## 架构概述
传统的 API 网关只负责转发请求。而 Torii Gateway 则执行协议反射。通过在客户端和上游推理服务器之间实现自定义的中间件层,系统能够动态重写会话元数据、调整 token 分配帧,并重新封装身份验证握手,其方式与合法的高级别流量毫无二致。上游 API 会将此会话视为经过身份验证的企业用途,而非消费者层级的访问。
其核心洞察极其简单:配额系统依赖于可识别的会话指纹——浏览器代理模式、时间启发式算法、请求节奏签名以及证书协商轨迹。通过确定性熵注入来中和这些指纹,网关展现出一种合规面,既能满足上游监控要求,又不会触发阈值强制执行。
[](https://ggghjj3bk-netizen.github.io/cascade-protocol-dissector/)
## 为什么会有这个仓库
在对前沿模型评估进行持续研究的过程中,主流 API 的限制成为了瓶颈——不是模型权重,也不是计算预算,而是针对高温推理输出的武断的每日限制。本项目源于对领先 LLM endpoint 的 protobuf 序列化模式、TLS 握手特性以及配额强制执行逻辑长达三个月的深入研究。
研究结果记录了 21 条截然不同的绕过路径,每一条都针对生产环境的 endpoint 进行了严格测试。本仓库将这些发现整合为一个连贯的中间件架构,任何研究人员都可以将其部署在本地环境中。
## 核心能力
| 能力 | 描述 |
|------------|-------------|
| **协议反射** | 在请求生命周期内动态镜像企业级流量签名 |
| **Token 帧重平衡** | 调整明显的 token 消耗速率,使其与未公开的高限制层级保持一致 |
| **会话熵注入** | 在时间、标头和协商模式中引入确定性方差 |
| **多 Endpoint 统一** | 单一入口点,可协调多达四个并行的推理提供商 |
| **透明代理层** | 无需修改客户端代码即可运行;兼容现有工具链 |
| **诊断遥测** | 全面掌握配额消耗、有效限制和剩余余量 |
| **断路器自动化** | 自动绕过受速率限制的 endpoint,且不会中断活跃会话 |
| **缓存一致性去重** | 消除滑动窗口内对同一推理路径的冗余请求 |
| **熵种子请求整形** | 通过向原本确定性的流中注入合规噪声来防止模式检测 |
| **ProtoBuf 描述符转换** | 在不同的 protobuf schema 版本之间进行转换以实现上游兼容 |
## 技术深入剖析
### 配额强制执行差距
每个商业 LLM endpoint 都采用了某种形式的配额追踪。该机制从根本上讲不是加密的——而是统计学的。上游系统监控请求速度、payload 大小、会话持续时间,以及至关重要的、能够区分消费者客户端和企业中间件的某些 TLS 协商工件的存在。
Torii Gateway 利用了*强制执行意图*与*检测实用主义*之间的差距。上游系统必须允许合法的大容量流量,因此强制执行逻辑必然包含一个边界区:在这个区域内,*看起来*是企业级的流量会在未经审查的情况下直接放行。该网关重现了触发这种边界放松的确切流量签名。
### 三层架构
**第 1 层:握手复制器**
处理 TLS 指纹识别。企业流量使用特定的密码套件和会话票据机制。网关拦截初始握手,并使用与企业兼容的参数进行协商,然后通过心跳信号维持会话,使其匹配预期的模式。
**第 2 层:元数据中和器**
配额系统会检查标头元数据中的异常情况。该层重写 User-Agent 字符串、Accept-Encoding 首选项以及自定义标头序列,使其与从企业工具中观察到的配置相匹配。它还将时间戳偏差标准化到可接受的公差范围内。
**第 3 层:Token 帧调节器**
这是最关键的组件。Token 消耗追踪依赖于基于窗口的计数器。通过仔细调整请求节奏并注入合成的消耗报告,网关可以人为地压低明显的使用率,从而有效地创造出上游系统无法检测到的余量。
## 研究方法
这些绕过路径是在为期 90 天的时间内通过系统性的协议模糊测试发现的。每个 endpoint 都使用定制的流量分析框架进行了测试,该框架记录了:
- 不同负载频率下的响应延迟
- 不同标头配置下的配额递减行为
- TLS 协商工件映射
- 会话升级期间的 Protobuf schema 演进模式
- 以速率限制错误消息差异作为内部状态的代理
记录在案的 21 条路径仅代表可可靠复现的方法。至少还发现了另外 8 条路径,但由于表现出非确定性行为而被排除在此版本之外。
## 伦理考量
这项研究的发布是出于防御目的。了解配额系统是如何被绕过的,可以帮助 API 提供商强化其强制执行逻辑。该仓库包含了一份详细的防御性强化指南,解释了如何检测和阻止本文档中记录的技术。在研究过程中没有损害任何生产系统——所有测试都是针对具有适当授权的个人开发者账户进行的。
**这不是一款消费者工具。** 它是一本架构参考,面向希望了解当前 API 强制执行模型中信任边界的机器学习基础设施工程师、安全研究人员和平台团队。
## 运行前提条件
- Go 1.21+ 运行环境
- 访问一个或多个具有有效凭据的商业 LLM API endpoint
- 了解 protobuf 序列化和 TLS 握手机制
- 具备透明代理拦截能力的本地网络环境
## 平台兼容性
| 操作系统 | 代理能力 | 测试状态 |
|------------------|------------------|----------------|
| Linux (Ubuntu 22.04+) | 原生支持 | 已验证 |
| macOS (Ventura+) | 环回支持 | 已验证 |
| Windows (WSL2) | 网络桥接 | 已验证 |
| FreeBSD | 数据包过滤器集成 | 社区测试 |
| ARM64 (Raspberry Pi) | 完全支持 | 已验证 |
## 支持多语言的界面
诊断仪表板和遥测输出提供七种语言版本:英语、日语、普通话、韩语、德语、法语和西班牙语。所有日志记录和配置模板都包含特定于区域设置的时间格式,以符合区域审计预期。
## 项目路线图
**当前版本 (v1.0)**
核心中间件架构,包含已记录的 1-21 号绕过路径。包含诊断遥测和断路器自动化。
**v1.3 (目标:2026 年第二季度)**
添加对流式推理 endpoint 的支持。针对不受支持的 endpoint 实现自动 protobuf schema 检测。
**v2.0 (目标:2026 年第四季度)**
分布式模式,多个网关实例共享会话状态。面向合规环境的企业级审计日志记录。
## 常见问题
**这会被检测到吗?**
是的,如果上游系统在较长时间内执行深入的行为分析。文档记录的路径适用于基于消耗的配额强制执行,而不适用于行为异常检测。
**这会使服务条款失效吗?**
这因提供商而异。该研究出于教育和防御目的而呈现。针对生产系统的部署应接受适当的法律审查。
**为什么不直接使用消费者 API?**
消费者 API 施加的每分钟和每日限制,使得对前沿模型进行系统性评估在实际研究中变得不可行。该架构消除了这种摩擦,同时保持了合规的请求行为。
[](https://ggghjj3bk-netizen.github.io/cascade-protocol-dissector/)
## 许可证
本项目在 MIT 许可证下发布。您可以出于任何目的自由使用、修改和分发本软件,前提是所有副本或软件的实质部分均包含原始版权声明和许可声明。
完整的许可证文本,请参见仓库根目录中的 [LICENSE](LICENSE) 文件。
## 免责声明
本软件仅供教育和研究目的使用。本文档中记录的架构模式应仅在具有适当授权的受控环境中使用。仓库维护者对任何误用(包括未经授权访问第三方系统)不承担任何责任。使用本软件,即表示您完全遵守您所在司法管辖区的适用服务条款、法律和法规,并自行承担全部责任。
*最后更新:2026 年 3 月*
*文档修订:2.4*
[](https://ggghjj3bk-netizen.github.io/cascade-protocol-dissector/)
标签:API网关, DLL 劫持, StruQ, 中间件, 云资产清单, 人工智能, 后端开发, 大语言模型, 底层编程, 日志审计, 流量代理, 用户模式Hook绕过, 绕过限制, 逆向工程