Overzicht
OpenClaw kan agents uitvoeren in geïsoleerde sandbox-runtimes voor beveiliging. Desandbox-opdrachten helpen je die runtimes te inspecteren en opnieuw aan te maken na updates of configuratiewijzigingen.
Vandaag betekent dat meestal:
- Docker-sandboxcontainers
- SSH-sandbox-runtimes wanneer
agents.defaults.sandbox.backend = "ssh" - OpenShell-sandbox-runtimes wanneer
agents.defaults.sandbox.backend = "openshell"
ssh en OpenShell remote is opnieuw aanmaken belangrijker dan bij Docker:
- de externe werkruimte is canoniek na de initiële seed
openclaw sandbox recreateverwijdert die canonieke externe werkruimte voor het geselecteerde bereik- bij het volgende gebruik wordt deze opnieuw geseed vanuit de huidige lokale werkruimte
Opdrachten
openclaw sandbox explain
Inspecteer de effectieve sandboxmodus, het bereik, de werkruimtetoegang, het sandbox-toolbeleid en verhoogde gates (met configuratiesleutelpaden om het op te lossen).
openclaw sandbox list
Toon alle sandbox-runtimes met hun status en configuratie.
- Runtimenaam en status
- Backend (
docker,openshell, enz.) - Configuratielabel en of dit overeenkomt met de huidige configuratie
- Leeftijd (tijd sinds aanmaak)
- Inactieve tijd (tijd sinds laatste gebruik)
- Gekoppelde sessie/agent
openclaw sandbox recreate
Verwijder sandbox-runtimes om opnieuw aanmaken met bijgewerkte configuratie af te dwingen.
--all: Maak alle sandboxcontainers opnieuw aan--session <key>: Maak de container voor een specifieke sessie opnieuw aan--agent <id>: Maak containers voor een specifieke agent opnieuw aan--browser: Maak alleen browsercontainers opnieuw aan--force: Sla de bevestigingsprompt over
Runtimes worden automatisch opnieuw aangemaakt wanneer de agent de volgende keer wordt gebruikt.
Gebruikssituaties
Na het bijwerken van een Docker-image
Na het wijzigen van sandboxconfiguratie
Na het wijzigen van het SSH-doel of SSH-authenticatiemateriaal
ssh-backend verwijdert opnieuw aanmaken de externe werkruimteroot per bereik
op het SSH-doel. De volgende run seedt deze opnieuw vanuit de lokale werkruimte.
Na het wijzigen van OpenShell-bron, -beleid of -modus
remote-modus verwijdert opnieuw aanmaken de canonieke externe werkruimte
voor dat bereik. De volgende run seedt deze opnieuw vanuit de lokale werkruimte.
Na het wijzigen van setupCommand
Alleen voor een specifieke agent
Waarom dit nodig is
Wanneer je sandboxconfiguratie bijwerkt:- Bestaande runtimes blijven draaien met oude instellingen.
- Runtimes worden pas opgeschoond na 24 uur inactiviteit.
- Regelmatig gebruikte agents houden oude runtimes onbeperkt actief.
openclaw sandbox recreate om verwijdering van oude runtimes af te dwingen. Ze worden automatisch opnieuw aangemaakt met de huidige instellingen wanneer ze de volgende keer nodig zijn.
Registermigratie
OpenClaw slaat metadata van sandbox-runtimes op in de gedeelde SQLite-statusdatabase. Oudere installaties kunnen nog legacy sandbox-registerbestanden hebben:~/.openclaw/sandbox/containers.json~/.openclaw/sandbox/browsers.json
~/.openclaw/sandbox/containers/ of ~/.openclaw/sandbox/browsers/. Normale leesbewerkingen van sandbox-runtimes herschrijven die legacy-bronnen niet. Voer openclaw doctor --fix uit om geldige legacy-vermeldingen naar SQLite te migreren. Ongeldige legacy-bestanden worden in quarantaine geplaatst, zodat één slecht oud register huidige runtimevermeldingen niet kan verbergen.
Configuratie
Sandboxinstellingen staan in~/.openclaw/openclaw.json onder agents.defaults.sandbox (overschrijvingen per agent staan in agents.list[].sandbox):
Gerelateerd
- CLI-referentie
- Sandboxing
- Agentwerkruimte
- Doctor: controleert sandboxinstellingen.