Panoramica
OpenClaw può eseguire agenti in runtime sandbox isolati per sicurezza. I comandisandbox ti aiutano a ispezionare e ricreare questi runtime dopo aggiornamenti o modifiche di configurazione.
Oggi questo di solito significa:
- Container sandbox Docker
- Runtime sandbox SSH quando
agents.defaults.sandbox.backend = "ssh" - Runtime sandbox OpenShell quando
agents.defaults.sandbox.backend = "openshell"
ssh e OpenShell remote, la ricreazione è più importante che con Docker:
- l’area di lavoro remota è canonica dopo il seed iniziale
openclaw sandbox recreateelimina quell’area di lavoro remota canonica per l’ambito selezionato- l’uso successivo la inizializza di nuovo dall’area di lavoro locale corrente
Comandi
openclaw sandbox explain
Ispeziona la modalità, l’ambito e l’accesso all’area di lavoro sandbox effettivi, la policy degli strumenti sandbox e i gate elevati (con percorsi delle chiavi di configurazione per la correzione).
openclaw sandbox list
Elenca tutti i runtime sandbox con il relativo stato e la configurazione.
- Nome e stato del runtime
- Backend (
docker,openshell, ecc.) - Etichetta di configurazione e se corrisponde alla configurazione corrente
- Età (tempo dalla creazione)
- Tempo di inattività (tempo dall’ultimo utilizzo)
- Sessione/agente associato
openclaw sandbox recreate
Rimuovi i runtime sandbox per forzarne la ricreazione con la configurazione aggiornata.
--all: ricrea tutti i container sandbox--session <key>: ricrea il container per una sessione specifica--agent <id>: ricrea i container per un agente specifico--browser: ricrea solo i container del browser--force: salta la richiesta di conferma
I runtime vengono ricreati automaticamente al successivo utilizzo dell’agente.
Casi d’uso
Dopo l’aggiornamento di un’immagine Docker
Dopo la modifica della configurazione sandbox
Dopo la modifica del target SSH o del materiale di autenticazione SSH
ssh core, la ricreazione elimina la radice dell’area di lavoro remota per ambito
sul target SSH. L’esecuzione successiva la inizializza di nuovo dall’area di lavoro locale.
Dopo la modifica della sorgente, della policy o della modalità OpenShell
remote, la ricreazione elimina l’area di lavoro remota canonica
per quell’ambito. L’esecuzione successiva la inizializza di nuovo dall’area di lavoro locale.
Dopo la modifica di setupCommand
Solo per un agente specifico
Perché è necessario
Quando aggiorni la configurazione sandbox:- I runtime esistenti continuano a funzionare con le vecchie impostazioni.
- I runtime vengono eliminati solo dopo 24 ore di inattività.
- Gli agenti usati regolarmente mantengono vivi i vecchi runtime a tempo indefinito.
openclaw sandbox recreate per forzare la rimozione dei vecchi runtime. Verranno ricreati automaticamente con le impostazioni correnti quando saranno di nuovo necessari.
Migrazione del registro
OpenClaw archivia i metadati dei runtime sandbox nel database di stato SQLite condiviso. Le installazioni più vecchie potrebbero avere ancora file di registro sandbox legacy:~/.openclaw/sandbox/containers.json~/.openclaw/sandbox/browsers.json
~/.openclaw/sandbox/containers/ o ~/.openclaw/sandbox/browsers/. Le normali letture dei runtime sandbox non riscrivono queste sorgenti legacy. Esegui openclaw doctor --fix per migrare le voci legacy valide in SQLite. I file legacy non validi vengono messi in quarantena, così un vecchio registro difettoso non può nascondere le voci di runtime correnti.
Configurazione
Le impostazioni sandbox si trovano in~/.openclaw/openclaw.json sotto agents.defaults.sandbox (gli override per agente vanno in agents.list[].sandbox):
Correlati
- Riferimento CLI
- Sandboxing
- Area di lavoro dell’agente
- Doctor: controlla la configurazione sandbox.