Setiap agen dalam penyiapan multi-agen dapat menimpa kebijakan sandbox dan alat global. Halaman ini membahas konfigurasi per agen, aturan prioritas, dan contoh.
Sandboxing
Backend dan mode — referensi sandbox lengkap.
Sandbox vs tool policy vs elevated
Debug “mengapa ini diblokir?”
Elevated mode
Exec elevated untuk pengirim tepercaya.
Autentikasi dicakup berdasarkan agen: setiap agen memiliki penyimpanan autentikasi agentDir sendiri di ~/.openclaw/agents/<agentId>/agent/auth-profiles.json. Jangan pernah menggunakan ulang agentDir antar agen. Agen dapat membaca hingga ke profil autentikasi agen default/utama ketika tidak memiliki profil lokal, tetapi token refresh OAuth tidak dikloning ke penyimpanan agen sekunder. Jika Anda menyalin kredensial secara manual, salin hanya profil api_key atau token statis yang portabel.
agents.list[].sandbox.{docker,browser,prune}.* menimpa agents.defaults.sandbox.{docker,browser,prune}.* untuk agen tersebut (diabaikan ketika cakupan sandbox diselesaikan menjadi "shared").
tools.sandbox.tools atau agents.list[].tools.sandbox.tools.
8
Subagent tool policy
tools.subagents.tools, jika berlaku.
Precedence rules
Setiap tingkat dapat semakin membatasi alat, tetapi tidak dapat mengaktifkan kembali alat yang telah ditolak dari tingkat sebelumnya.
Jika agents.list[].tools.sandbox.tools ditetapkan, nilai itu menggantikan tools.sandbox.tools untuk agen tersebut.
Jika agents.list[].tools.profile ditetapkan, nilai itu menimpa tools.profile untuk agen tersebut.
Kunci alat penyedia menerima provider (misalnya google-antigravity) atau provider/model (misalnya openai/gpt-5.4).
Empty allowlist behavior
Jika allowlist eksplisit apa pun dalam rantai tersebut membuat proses berjalan tanpa alat yang dapat dipanggil, OpenClaw berhenti sebelum mengirimkan prompt ke model. Ini disengaja: agen yang dikonfigurasi dengan alat yang hilang seperti agents.list[].tools.allow: ["query_db"] harus gagal dengan jelas sampai Plugin yang mendaftarkan query_db diaktifkan, bukan berlanjut sebagai agen teks saja.
Kebijakan alat mendukung singkatan group:* yang diperluas menjadi beberapa alat. Lihat Grup alat untuk daftar lengkapnya.Timpa elevated per agen (agents.list[].tools.elevated) dapat semakin membatasi exec elevated untuk agen tertentu. Lihat Mode elevated untuk detail.
Kebijakan ini menonaktifkan alat sistem file OpenClaw, tetapi exec tetap merupakan shell dan dapat menulis file di mana pun host atau sistem file sandbox yang dipilih mengizinkan. Untuk agen hanya-baca, tolak exec dan process, atau gabungkan akses shell dengan kontrol sistem file sandbox seperti agents.defaults.sandbox.workspaceAccess: "ro" atau "none".
sessions_history dalam profil ini tetap mengembalikan tampilan ingatan yang terbatas dan telah disanitasi, bukan dump transkrip mentah. Ingatan asisten menghapus tag berpikir, scaffolding <relevant-memories>, payload XML pemanggilan alat teks biasa (termasuk <tool_call>...</tool_call>, <function_call>...</function_call>, <tool_calls>...</tool_calls>, <function_calls>...</function_calls>, dan blok pemanggilan alat yang terpotong), scaffolding pemanggilan alat yang diturunkan, token kontrol model ASCII/lebar-penuh yang bocor, dan XML pemanggilan alat MiniMax yang tidak valid sebelum redaksi/pemotongan.
agents.defaults.sandbox.mode: "non-main" didasarkan pada session.mainKey (default "main"), bukan id agen. Sesi grup/channel selalu mendapatkan kuncinya sendiri, sehingga diperlakukan sebagai non-main dan akan disandbox. Jika Anda ingin agen tidak pernah disandbox, atur agents.list[].sandbox.mode: "off".