Überblick
OpenClaw kann Agents aus Sicherheitsgründen in isolierten Sandbox-Laufzeitumgebungen ausführen. Diesandbox-Befehle helfen Ihnen, diese Laufzeitumgebungen nach Updates oder Konfigurationsänderungen zu prüfen und neu zu erstellen.
Derzeit bedeutet das üblicherweise:
- Docker-Sandbox-Container
- SSH-Sandbox-Laufzeitumgebungen, wenn
agents.defaults.sandbox.backend = "ssh" - OpenShell-Sandbox-Laufzeitumgebungen, wenn
agents.defaults.sandbox.backend = "openshell"
ssh und OpenShell remote ist das Neuerstellen wichtiger als bei Docker:
- Der Remote-Workspace ist nach dem initialen Seed kanonisch
openclaw sandbox recreatelöscht diesen kanonischen Remote-Workspace für den ausgewählten Scope- Die nächste Verwendung seedet ihn erneut aus dem aktuellen lokalen Workspace
Befehle
openclaw sandbox explain
Prüfen Sie den effektiven Sandbox-Modus, Scope, Workspace-Zugriff, die Sandbox-Tool-Policy und erhöhte Gates (mit Fix-it-Konfigurationsschlüsselpfaden).
openclaw sandbox list
Alle Sandbox-Laufzeitumgebungen mit Status und Konfiguration auflisten.
- Name und Status der Laufzeitumgebung
- Backend (
docker,openshellusw.) - Konfigurationslabel und ob es der aktuellen Konfiguration entspricht
- Alter (Zeit seit der Erstellung)
- Leerlaufzeit (Zeit seit der letzten Verwendung)
- Zugehörige Session/zugehöriger Agent
openclaw sandbox recreate
Sandbox-Laufzeitumgebungen entfernen, um eine Neuerstellung mit aktualisierter Konfiguration zu erzwingen.
--all: Alle Sandbox-Container neu erstellen--session <key>: Container für eine bestimmte Session neu erstellen--agent <id>: Container für einen bestimmten Agent neu erstellen--browser: Nur Browser-Container neu erstellen--force: Bestätigungsabfrage überspringen
Laufzeitumgebungen werden automatisch neu erstellt, wenn der Agent das nächste Mal verwendet wird.
Anwendungsfälle
Nach dem Aktualisieren eines Docker-Images
Nach dem Ändern der Sandbox-Konfiguration
Nach dem Ändern des SSH-Ziels oder von SSH-Authentifizierungsmaterial
ssh-Backend löscht die Neuerstellung den Remote-Workspace-Root pro Scope
auf dem SSH-Ziel. Der nächste Lauf seedet ihn erneut aus dem lokalen Workspace.
Nach dem Ändern von OpenShell-Quelle, Policy oder Modus
remote-Modus löscht die Neuerstellung den kanonischen Remote-Workspace
für diesen Scope. Der nächste Lauf seedet ihn erneut aus dem lokalen Workspace.
Nach dem Ändern von setupCommand
Nur für einen bestimmten Agent
Warum dies erforderlich ist
Wenn Sie die Sandbox-Konfiguration aktualisieren:- Bestehende Laufzeitumgebungen laufen mit alten Einstellungen weiter.
- Laufzeitumgebungen werden erst nach 24 Stunden Inaktivität bereinigt.
- Regelmäßig verwendete Agents halten alte Laufzeitumgebungen unbegrenzt aktiv.
openclaw sandbox recreate, um das Entfernen alter Laufzeitumgebungen zu erzwingen. Sie werden bei Bedarf automatisch mit den aktuellen Einstellungen neu erstellt.
Registry-Migration
OpenClaw speichert Metadaten von Sandbox-Laufzeitumgebungen in der gemeinsam genutzten SQLite-State-Datenbank. Ältere Installationen können noch Legacy-Sandbox-Registry-Dateien haben:~/.openclaw/sandbox/containers.json~/.openclaw/sandbox/browsers.json
~/.openclaw/sandbox/containers/ oder ~/.openclaw/sandbox/browsers/ haben. Reguläre Lesezugriffe auf Sandbox-Laufzeitumgebungen schreiben diese Legacy-Quellen nicht neu. Führen Sie openclaw doctor --fix aus, um gültige Legacy-Einträge nach SQLite zu migrieren. Ungültige Legacy-Dateien werden quarantänisiert, damit eine einzelne fehlerhafte alte Registry aktuelle Laufzeiteinträge nicht verbergen kann.
Konfiguration
Sandbox-Einstellungen befinden sich in~/.openclaw/openclaw.json unter agents.defaults.sandbox (agent-spezifische Overrides kommen in agents.list[].sandbox):
Verwandte Themen
- CLI-Referenz
- Sandboxing
- Agent-Workspace
- Doctor: prüft die Sandbox-Einrichtung.