【要約】個人開発のbotを放置していたら、自分のAPIに自分でDoSしていた話 [Zenn_Python] | Summary by TechDistill
> Source: Zenn_Python
Execute Primary Source
// Problem
個人開発者が、Telegram botの設計ミスにより、意図せず自身のAPIに負荷をかけ、課金を増大させる問題に直面した。主な課題は以下の3点である。
- ・送信失敗時にoffsetを更新しない設計により、LLM呼び出しが無限ループする。
- ・ログにAPIキーが平文で含まれ、クラウド同期を通じて流出するリスクがある。
- ・認可設定の漏れが、誰でも利用可能な「fail-open」状態を招く。
// Approach
開発者は、システムの「失敗」がもたらす二次被害を防ぐため、設計の堅牢性を高める修正を行った。具体的には以下の手法を採用した。
- ・高コストなLLM呼び出しの手前にあるカーソルを、成否に関わらず必ず進める。
- ・ログ出力時に正規表現を用いたマスキング処理を挟み、機密情報の混入を防ぐ。
- ・環境変数未設定時、安全側に倒れる(fail-safe)ようデフォルト値を設計する。
// Result
これらの修正により、個人開発環境における「静かなる事故」を未然に防ぐ仕組みを構築した。得られた成果は以下の通りである。
- ・同一メッセージに対するLLMの重複呼び出しを排除し、課金暴走を防止した。
- ・機密情報がクラウドへ同期されるリスクを、正規表現による防御層で低減した。
- ・設定漏れが全開放に繋がる脆弱性を、安全なデフォルト値の設定で解消した。
Senior Engineer Insight
> 本件は、非冪等な外部APIを扱う際の「リトライ設計」の重要性を突いている。高コストな処理をリトライ範囲に含めることは、可用性ではなくコストの爆発を招く。また、個人開発であっても「外部へのデータ流出」と「課金」の観点は、業務レベルの設計思想が必要だ。「動いているから大丈夫」という慢心が、最も致命的なバグを生む。