Ikhtisar
OpenClaw dapat menjalankan agen dalam runtime sandbox terisolasi demi keamanan. Perintahsandbox membantu Anda memeriksa dan membuat ulang runtime tersebut setelah pembaruan atau perubahan konfigurasi.
Saat ini biasanya berarti:
- Kontainer sandbox Docker
- Runtime sandbox SSH saat
agents.defaults.sandbox.backend = "ssh" - Runtime sandbox OpenShell saat
agents.defaults.sandbox.backend = "openshell"
ssh dan OpenShell remote, membuat ulang lebih penting dibandingkan dengan Docker:
- workspace jarak jauh menjadi kanonis setelah seed awal
openclaw sandbox recreatemenghapus workspace jarak jauh kanonis tersebut untuk cakupan yang dipilih- penggunaan berikutnya melakukan seed lagi dari workspace lokal saat ini
Perintah
openclaw sandbox explain
Periksa mode/cakupan/akses workspace sandbox yang efektif, kebijakan alat sandbox, dan gerbang elevasi (dengan jalur kunci konfigurasi untuk perbaikan).
openclaw sandbox list
Cantumkan semua runtime sandbox beserta status dan konfigurasinya.
- Nama dan status runtime
- Backend (
docker,openshell, dll.) - Label konfigurasi dan apakah cocok dengan konfigurasi saat ini
- Usia (waktu sejak dibuat)
- Waktu menganggur (waktu sejak terakhir digunakan)
- Sesi/agen terkait
openclaw sandbox recreate
Hapus runtime sandbox untuk memaksa pembuatan ulang dengan konfigurasi yang diperbarui.
--all: Buat ulang semua kontainer sandbox--session <key>: Buat ulang kontainer untuk sesi tertentu--agent <id>: Buat ulang kontainer untuk agen tertentu--browser: Hanya buat ulang kontainer browser--force: Lewati prompt konfirmasi
Runtime otomatis dibuat ulang saat agen berikutnya digunakan.
Kasus penggunaan
Setelah memperbarui image Docker
Setelah mengubah konfigurasi sandbox
Setelah mengubah target SSH atau materi auth SSH
ssh, pembuatan ulang menghapus root workspace jarak jauh per cakupan
pada target SSH. Run berikutnya melakukan seed lagi dari workspace lokal.
Setelah mengubah sumber, kebijakan, atau mode OpenShell
remote, pembuatan ulang menghapus workspace jarak jauh kanonis
untuk cakupan tersebut. Run berikutnya melakukan seed lagi dari workspace lokal.
Setelah mengubah setupCommand
Hanya untuk agen tertentu
Mengapa ini diperlukan
Saat Anda memperbarui konfigurasi sandbox:- Runtime yang ada terus berjalan dengan pengaturan lama.
- Runtime hanya dipangkas setelah 24 jam tidak aktif.
- Agen yang digunakan secara rutin mempertahankan runtime lama tetap hidup tanpa batas.
openclaw sandbox recreate untuk memaksa penghapusan runtime lama. Runtime tersebut dibuat ulang otomatis dengan pengaturan saat ini saat berikutnya diperlukan.
Migrasi registri
OpenClaw menyimpan metadata runtime sandbox dalam basis data status SQLite bersama. Instalasi lama mungkin masih memiliki file registri sandbox legacy:~/.openclaw/sandbox/containers.json~/.openclaw/sandbox/browsers.json
~/.openclaw/sandbox/containers/ atau ~/.openclaw/sandbox/browsers/. Pembacaan runtime sandbox biasa tidak menulis ulang sumber legacy tersebut. Jalankan openclaw doctor --fix untuk memigrasikan entri legacy yang valid ke SQLite. File legacy yang tidak valid dikarantina sehingga satu registri lama yang rusak tidak dapat menyembunyikan entri runtime saat ini.
Konfigurasi
Pengaturan sandbox berada di~/.openclaw/openclaw.json di bawah agents.defaults.sandbox (override per agen berada di agents.list[].sandbox):
Terkait
- Referensi CLI
- Sandboxing
- Workspace agen
- Doctor: memeriksa penyiapan sandbox.