Naar hoofdinhoud gaan

Documentation Index

Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

OpenClaw kan tools binnen sandbox-backends uitvoeren om de impactradius te beperken. Dit is optioneel en wordt door configuratie beheerd (agents.defaults.sandbox of agents.list[].sandbox). Als sandboxing uit staat, draaien tools op de host. De Gateway blijft op de host; tooluitvoering draait in een geisoleerde sandbox wanneer dit is ingeschakeld.
Dit is geen perfecte beveiligingsgrens, maar het beperkt bestandssysteem- en procestoegang aanzienlijk wanneer het model iets doms doet.

Wat wordt in een sandbox uitgevoerd

  • Tooluitvoering (exec, read, write, edit, apply_patch, process, enz.).
  • Optionele browser in sandbox (agents.defaults.sandbox.browser).
  • Standaard start de sandboxbrowser automatisch (zorgt ervoor dat CDP bereikbaar is) wanneer de browsertool die nodig heeft. Configureer via agents.defaults.sandbox.browser.autoStart en agents.defaults.sandbox.browser.autoStartTimeoutMs.
  • Standaard gebruiken sandboxbrowsercontainers een speciaal Docker-netwerk (openclaw-sandbox-browser) in plaats van het globale bridge-netwerk. Configureer met agents.defaults.sandbox.browser.network.
  • Optioneel beperkt agents.defaults.sandbox.browser.cdpSourceRange CDP-ingress aan de containerrand met een CIDR-allowlist (bijvoorbeeld 172.21.0.1/32).
  • noVNC-observertoegang is standaard met een wachtwoord beschermd; OpenClaw geeft een kortlevende token-URL uit die een lokale bootstrappagina serveert en noVNC opent met het wachtwoord in het URL-fragment (niet in query-/headerlogs).
  • agents.defaults.sandbox.browser.allowHostControl laat sandboxsessies expliciet de hostbrowser aansturen.
  • Optionele allowlists bewaken target: "custom": allowedControlUrls, allowedControlHosts, allowedControlPorts.
Niet in een sandbox uitgevoerd:
  • Het Gateway-proces zelf.
  • Elke tool die expliciet buiten de sandbox mag draaien (bijv. tools.elevated).
    • Elevated exec omzeilt sandboxing en gebruikt het geconfigureerde ontsnappingspad (gateway standaard, of node wanneer het exec-doel node is).
    • Als sandboxing uit staat, verandert tools.elevated de uitvoering niet (al op de host). Zie Elevated Mode.

Modi

agents.defaults.sandbox.mode bepaalt wanneer sandboxing wordt gebruikt:
Geen sandboxing.

Bereik

agents.defaults.sandbox.scope bepaalt hoeveel containers worden gemaakt:
  • "agent" (standaard): een container per agent.
  • "session": een container per sessie.
  • "shared": een container gedeeld door alle sandboxsessies.

Backend

agents.defaults.sandbox.backend bepaalt welke runtime de sandbox levert:
  • "docker" (standaard wanneer sandboxing is ingeschakeld): lokale door Docker ondersteunde sandboxruntime.
  • "ssh": generieke door SSH ondersteunde externe sandboxruntime.
  • "openshell": door OpenShell ondersteunde sandboxruntime.
SSH-specifieke configuratie staat onder agents.defaults.sandbox.ssh. OpenShell-specifieke configuratie staat onder plugins.entries.openshell.config.

Een backend kiezen

DockerSSHOpenShell
Waar het draaitLokale containerElke via SSH bereikbare hostDoor OpenShell beheerde sandbox
Setupscripts/sandbox-setup.shSSH-sleutel + doelhostOpenShell-Plugin ingeschakeld
WerkruimtemodelBind-mount of kopieExtern-canoniek (eenmalig seeden)mirror of remote
Netwerkbeheerdocker.network (standaard: geen)Afhankelijk van externe hostAfhankelijk van OpenShell
BrowsersandboxOndersteundNiet ondersteundNog niet ondersteund
Bind mountsdocker.bindsn.v.t.n.v.t.
Beste voorLokale ontwikkeling, volledige isolatieUitbesteden aan een externe machineBeheerde externe sandboxes met optionele tweerichtingssynchronisatie

Docker-backend

Sandboxing staat standaard uit. Als je sandboxing inschakelt en geen backend kiest, gebruikt OpenClaw de Docker-backend. Die voert tools en sandboxbrowsers lokaal uit via de Docker-daemonsocket (/var/run/docker.sock). Isolatie van sandboxcontainers wordt bepaald door Docker-namespaces. Om host-GPU’s aan Docker-sandboxes bloot te stellen, stel je agents.defaults.sandbox.docker.gpus in of de per-agent-override agents.list[].sandbox.docker.gpus. De waarde wordt als afzonderlijk argument doorgegeven aan Docker’s --gpus-vlag, bijvoorbeeld "all" of "device=GPU-uuid", en vereist een compatibele hostruntime zoals NVIDIA Container Toolkit.
Docker-out-of-Docker (DooD)-beperkingenAls je de OpenClaw Gateway zelf als Docker-container implementeert, orchestreert die sibling-sandboxcontainers met de Docker-socket van de host (DooD). Dit introduceert een specifieke beperking voor padmapping:
  • Configuratie vereist hostpaden: De openclaw.json-workspace-configuratie MOET het absolute pad van de host bevatten (bijv. /home/user/.openclaw/workspaces), niet het interne Gateway-containerpad. Wanneer OpenClaw de Docker-daemon vraagt een sandbox te starten, evalueert de daemon paden relatief ten opzichte van de namespace van het hostbesturingssysteem, niet de Gateway-namespace.
  • FS-bridgepariteit (identieke volumemap): Het native OpenClaw Gateway-proces schrijft ook heartbeat- en bridgebestanden naar de workspace-directory. Omdat de Gateway exact dezelfde tekenreeks (het hostpad) vanuit zijn eigen gecontaineriseerde omgeving evalueert, MOET de Gateway-implementatie een identieke volumemap bevatten die de hostnamespace native koppelt (-v /home/user/.openclaw:/home/user/.openclaw).
  • Codex-codemodus: Wanneer een OpenClaw-sandbox actief is, beperkt OpenClaw Codex app-server-beurten tot Codex workspace-write-sandboxing, zelfs als de standaard van de Codex-Plugin danger-full-access is. Mount de Docker-socket van de host niet in agentsandboxcontainers of aangepaste Codex-sandboxes.
Als je paden intern mapt zonder absolute hostpariteit, geeft OpenClaw native een EACCES-machtigingsfout wanneer het zijn Heartbeat binnen de containeromgeving probeert te schrijven, omdat de volledig gekwalificeerde padtekenreeks daar native niet bestaat.

SSH-backend

Gebruik backend: "ssh" wanneer je wilt dat OpenClaw exec, bestandstools en medialezingen in een sandbox op een willekeurige via SSH bereikbare machine uitvoert. 
{
  agents: {
    defaults: {
      sandbox: {
        mode: "all",
        backend: "ssh",
        scope: "session",
        workspaceAccess: "rw",
        ssh: {
          target: "user@gateway-host:22",
          workspaceRoot: "/tmp/openclaw-sandboxes",
          strictHostKeyChecking: true,
          updateHostKeys: true,
          identityFile: "~/.ssh/id_ed25519",
          certificateFile: "~/.ssh/id_ed25519-cert.pub",
          knownHostsFile: "~/.ssh/known_hosts",
          // Or use SecretRefs / inline contents instead of local files:
          // identityData: { source: "env", provider: "default", id: "SSH_IDENTITY" },
          // certificateData: { source: "env", provider: "default", id: "SSH_CERTIFICATE" },
          // knownHostsData: { source: "env", provider: "default", id: "SSH_KNOWN_HOSTS" },
        },
      },
    },
  },
}
  • OpenClaw maakt een externe root per bereik onder sandbox.ssh.workspaceRoot.
  • Bij eerste gebruik na aanmaken of opnieuw aanmaken seedt OpenClaw die externe werkruimte eenmalig vanuit de lokale werkruimte.
  • Daarna draaien exec, read, write, edit, apply_patch, promptmedialezingen en inkomende mediastaging rechtstreeks tegen de externe werkruimte via SSH.
  • OpenClaw synchroniseert externe wijzigingen niet automatisch terug naar de lokale werkruimte.
  • identityFile, certificateFile, knownHostsFile: gebruik bestaande lokale bestanden en geef ze door via OpenSSH-configuratie.
  • identityData, certificateData, knownHostsData: gebruik inline strings of SecretRefs. OpenClaw lost ze op via de normale secrets-runtime-snapshot, schrijft ze naar tijdelijke bestanden met 0600 en verwijdert ze wanneer de SSH-sessie eindigt.
  • Als zowel *File als *Data voor hetzelfde item zijn ingesteld, wint *Data voor die SSH-sessie.
Dit is een extern-canoniek model. De externe SSH-werkruimte wordt na de initiele seed de echte sandboxstatus.
  • Host-lokale bewerkingen die buiten OpenClaw na de seedstap worden gemaakt, zijn extern niet zichtbaar totdat je de sandbox opnieuw aanmaakt.
  • openclaw sandbox recreate verwijdert de externe root per bereik en seedt opnieuw vanuit lokaal bij het volgende gebruik.
  • Browsersandboxing wordt niet ondersteund op de SSH-backend.
  • sandbox.docker.*-instellingen zijn niet van toepassing op de SSH-backend.

OpenShell-backend

Gebruik backend: "openshell" wanneer je wilt dat OpenClaw tools in een door OpenShell beheerde externe omgeving in een sandbox uitvoert. Zie de speciale OpenShell-pagina voor de volledige setupgids, configuratiereferentie en vergelijking van werkruimtemodi. OpenShell hergebruikt hetzelfde kern-SSH-transport en dezelfde externe bestandssysteembridge als de generieke SSH-backend, en voegt OpenShell-specifieke lifecycle toe (sandbox create/get/delete, sandbox ssh-config) plus de optionele mirror-werkruimtemodus. 
{
  agents: {
    defaults: {
      sandbox: {
        mode: "all",
        backend: "openshell",
        scope: "session",
        workspaceAccess: "rw",
      },
    },
  },
  plugins: {
    entries: {
      openshell: {
        enabled: true,
        config: {
          from: "openclaw",
          mode: "remote", // mirror | remote
          remoteWorkspaceDir: "/sandbox",
          remoteAgentWorkspaceDir: "/agent",
        },
      },
    },
  },
}
OpenShell-modi:
  • mirror (standaard): de lokale werkruimte blijft canoniek. OpenClaw synchroniseert lokale bestanden naar OpenShell voor exec en synchroniseert de externe werkruimte terug na exec.
  • remote: de OpenShell-werkruimte is canoniek nadat de sandbox is gemaakt. OpenClaw seedt de externe werkruimte eenmalig vanuit de lokale werkruimte, waarna bestandstools en exec rechtstreeks tegen de externe sandbox draaien zonder wijzigingen terug te synchroniseren.
  • OpenClaw vraagt OpenShell om sandboxspecifieke SSH-configuratie via openshell sandbox ssh-config <name>.
  • Core schrijft die SSH-configuratie naar een tijdelijk bestand, opent de SSH-sessie en hergebruikt dezelfde externe bestandssysteembridge die door backend: "ssh" wordt gebruikt.
  • Alleen in mirror-modus verschilt de lifecycle: synchroniseer lokaal naar extern voor exec en synchroniseer daarna terug na exec.
  • sandboxbrowser wordt nog niet ondersteund
  • sandbox.docker.binds wordt niet ondersteund op de OpenShell-backend
  • Docker-specifieke runtimeknoppen onder sandbox.docker.* blijven alleen van toepassing op de Docker-backend

Werkruimtemodi

OpenShell heeft twee werkruimtemodellen. Dit is het deel dat in de praktijk het belangrijkst is.
Gebruik plugins.entries.openshell.config.mode: "mirror" wanneer je wilt dat de lokale werkruimte canoniek blijft.Gedrag:
  • Vóór exec synchroniseert OpenClaw de lokale workspace naar de OpenShell-sandbox.
  • Na exec synchroniseert OpenClaw de externe workspace terug naar de lokale workspace.
  • Bestandstools werken nog steeds via de sandbox-bridge, maar de lokale workspace blijft tussen beurten de bron van waarheid.
Gebruik dit wanneer:
  • je bestanden lokaal buiten OpenClaw bewerkt en wilt dat die wijzigingen automatisch in de sandbox verschijnen
  • je wilt dat de OpenShell-sandbox zich zoveel mogelijk gedraagt als de Docker-backend
  • je wilt dat de host-workspace sandbox-schrijfacties weerspiegelt na elke exec-beurt
Afweging: extra synchronisatiekosten vóór en na exec.
Kies mirror als je de sandbox ziet als een tijdelijke uitvoeringsomgeving. Kies remote als je de sandbox ziet als de echte workspace.

OpenShell-levenscyclus

OpenShell-sandboxes worden nog steeds beheerd via de normale sandbox-levenscyclus:
  • openclaw sandbox list toont zowel OpenShell-runtimes als Docker-runtimes
  • openclaw sandbox recreate verwijdert de huidige runtime en laat OpenClaw die bij het volgende gebruik opnieuw aanmaken
  • opschoonlogica is ook backend-bewust
Voor de remote-modus is opnieuw aanmaken extra belangrijk:
  • opnieuw aanmaken verwijdert de canonieke externe workspace voor dat bereik
  • het volgende gebruik vult een nieuwe externe workspace vanuit de lokale workspace
Voor de mirror-modus reset opnieuw aanmaken vooral de externe uitvoeringsomgeving, omdat de lokale workspace toch canoniek blijft.

Workspace-toegang

agents.defaults.sandbox.workspaceAccess bepaalt wat de sandbox kan zien:
Tools zien een sandbox-workspace onder ~/.openclaw/sandboxes.
Met de OpenShell-backend:
  • mirror-modus gebruikt tussen exec-beurten nog steeds de lokale workspace als canonieke bron
  • remote-modus gebruikt na de initiële vulling de externe OpenShell-workspace als canonieke bron
  • workspaceAccess: "ro" en "none" beperken schrijfgdrag nog steeds op dezelfde manier
Binnenkomende media worden gekopieerd naar de actieve sandbox-workspace (media/inbound/*).
Skills-opmerking: de read-tool is geworteld in de sandbox. Met workspaceAccess: "none" spiegelt OpenClaw in aanmerking komende Skills naar de sandbox-workspace (.../skills) zodat ze kunnen worden gelezen. Met "rw" zijn workspace-Skills leesbaar vanuit /workspace/skills.

Aangepaste bind mounts

agents.defaults.sandbox.docker.binds koppelt extra hostmappen in de container. Formaat: host:container:mode (bijv. "/home/user/source:/source:rw"). Globale en per-agent binds worden samengevoegd (niet vervangen). Onder scope: "shared" worden per-agent binds genegeerd. agents.defaults.sandbox.browser.binds koppelt extra hostmappen alleen in de sandboxbrowser-container.
  • Wanneer ingesteld (inclusief []), vervangt dit agents.defaults.sandbox.docker.binds voor de browsercontainer.
  • Wanneer weggelaten, valt de browsercontainer terug op agents.defaults.sandbox.docker.binds (achterwaarts compatibel).
Voorbeeld (alleen-lezen bron + een extra datamap): 
{
  agents: {
    defaults: {
      sandbox: {
        docker: {
          binds: ["/home/user/source:/source:ro", "/var/data/myapp:/data:ro"],
        },
      },
    },
    list: [
      {
        id: "build",
        sandbox: {
          docker: {
            binds: ["/mnt/cache:/cache:rw"],
          },
        },
      },
    ],
  },
}
Bind-beveiliging
  • Binds omzeilen het sandbox-bestandssysteem: ze stellen hostpaden bloot met de modus die je instelt (:ro of :rw).
  • OpenClaw blokkeert gevaarlijke bind-bronnen (bijvoorbeeld: docker.sock, /etc, /proc, /sys, /dev en bovenliggende mounts die deze zouden blootstellen).
  • OpenClaw blokkeert ook veelvoorkomende credential-roots in de home-map, zoals ~/.aws, ~/.cargo, ~/.config, ~/.docker, ~/.gnupg, ~/.netrc, ~/.npm en ~/.ssh.
  • Bind-validatie is niet alleen stringmatching. OpenClaw normaliseert het bronpad en lost het daarna opnieuw op via de diepste bestaande voorouder voordat geblokkeerde paden en toegestane roots opnieuw worden gecontroleerd.
  • Dat betekent dat ontsnappingen via bovenliggende symlinks nog steeds veilig falen, zelfs wanneer het uiteindelijke blad nog niet bestaat. Voorbeeld: /workspace/run-link/new-file wordt nog steeds opgelost als /var/run/... als run-link daarheen wijst.
  • Toegestane bron-roots worden op dezelfde manier gecanoniseerd, dus een pad dat alleen vóór symlink-resolutie binnen de allowlist lijkt te liggen, wordt nog steeds geweigerd als outside allowed roots.
  • Gevoelige mounts (geheimen, SSH-sleutels, servicecredentials) moeten :ro zijn tenzij absoluut vereist.
  • Combineer met workspaceAccess: "ro" als je alleen leestoegang tot de workspace nodig hebt; bind-modi blijven onafhankelijk.
  • Zie Sandbox vs Tool Policy vs Elevated voor hoe binds samenwerken met toolbeleid en verhoogde exec.

Images en setup

Standaard Docker-image: openclaw-sandbox:bookworm-slim
Bron-checkout vs npm-installatieDe helperscripts scripts/sandbox-setup.sh, scripts/sandbox-common-setup.sh en scripts/sandbox-browser-setup.sh zijn alleen beschikbaar wanneer je draait vanuit een bron-checkout. Ze zijn niet opgenomen in het npm-pakket.Als je OpenClaw hebt geïnstalleerd via npm install -g openclaw, gebruik dan in plaats daarvan de inline docker build-commando’s hieronder.
1

Build the default image

Vanuit een bron-checkout:
scripts/sandbox-setup.sh
Vanuit een npm-installatie (geen bron-checkout nodig):
docker build -t openclaw-sandbox:bookworm-slim - <<'DOCKERFILE'
FROM debian:bookworm-slim
ENV DEBIAN_FRONTEND=noninteractive
RUN apt-get update && apt-get install -y --no-install-recommends \
  bash ca-certificates curl git jq python3 ripgrep \
  && rm -rf /var/lib/apt/lists/*
RUN useradd --create-home --shell /bin/bash sandbox
USER sandbox
WORKDIR /home/sandbox
CMD ["sleep", "infinity"]
DOCKERFILE
De standaard-image bevat geen Node. Als een skill Node (of andere runtimes) nodig heeft, bak dan een aangepaste image of installeer via sandbox.docker.setupCommand (vereist netwerk-egress + beschrijfbare root + rootgebruiker).OpenClaw vervangt niet stilzwijgend door gewone debian:bookworm-slim wanneer openclaw-sandbox:bookworm-slim ontbreekt. Sandbox-runs die op de standaard-image mikken, falen snel met een build-instructie totdat je die bouwt, omdat de gebundelde image python3 bevat voor sandbox-write/edit-helpers.
2

Optional: build the common image

Voor een functionelere sandbox-image met veelgebruikte tooling (bijvoorbeeld curl, jq, nodejs, python3, git):Vanuit een bron-checkout:
scripts/sandbox-common-setup.sh
Bouw vanuit een npm-installatie eerst de standaard-image (zie hierboven) en bouw daarna de common-image erbovenop met de scripts/docker/sandbox/Dockerfile.common uit de repository.Stel daarna agents.defaults.sandbox.docker.image in op openclaw-sandbox-common:bookworm-slim.
3

Optional: build the sandbox browser image

Vanuit een bron-checkout:
scripts/sandbox-browser-setup.sh
Bouw vanuit een npm-installatie met de scripts/docker/sandbox/Dockerfile.browser uit de repository.
Standaard draaien Docker-sandboxcontainers met geen netwerk. Overschrijf dit met agents.defaults.sandbox.docker.network.
De gebundelde sandboxbrowser-image past ook conservatieve Chromium-opstartstandaarden toe voor gecontaineriseerde workloads. Huidige containerstandaarden omvatten:
  • --remote-debugging-address=127.0.0.1
  • --remote-debugging-port=<derived from OPENCLAW_BROWSER_CDP_PORT>
  • --user-data-dir=${HOME}/.chrome
  • --no-first-run
  • --no-default-browser-check
  • --disable-3d-apis
  • --disable-gpu
  • --disable-dev-shm-usage
  • --disable-background-networking
  • --disable-extensions
  • --disable-features=TranslateUI
  • --disable-breakpad
  • --disable-crash-reporter
  • --disable-software-rasterizer
  • --no-zygote
  • --metrics-recording-only
  • --renderer-process-limit=2
  • --no-sandbox wanneer noSandbox is ingeschakeld.
  • De drie graphics-hardening-flags (--disable-3d-apis, --disable-software-rasterizer, --disable-gpu) zijn optioneel en nuttig wanneer containers geen GPU-ondersteuning hebben. Stel OPENCLAW_BROWSER_DISABLE_GRAPHICS_FLAGS=0 in als je workload WebGL of andere 3D-/browserfuncties vereist.
  • --disable-extensions is standaard ingeschakeld en kan worden uitgeschakeld met OPENCLAW_BROWSER_DISABLE_EXTENSIONS=0 voor flows die afhankelijk zijn van extensies.
  • --renderer-process-limit=2 wordt geregeld door OPENCLAW_BROWSER_RENDERER_PROCESS_LIMIT=<N>, waarbij 0 de standaard van Chromium behoudt.
Als je een ander runtimeprofiel nodig hebt, gebruik dan een aangepaste browser-image en lever je eigen entrypoint. Gebruik voor lokale (niet-container) Chromium-profielen browser.extraArgs om extra opstartflags toe te voegen.
  • network: "host" wordt geblokkeerd.
  • network: "container:<id>" wordt standaard geblokkeerd (risico op omzeiling via namespace-join).
  • Break-glass-override: agents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin: true.
Docker-installaties en de gecontaineriseerde Gateway staan hier: Docker Voor Docker Gateway-deployments kan scripts/docker/setup.sh sandboxconfiguratie bootstrappen. Stel OPENCLAW_SANDBOX=1 (of true/yes/on) in om dat pad in te schakelen. Je kunt de socketlocatie overschrijven met OPENCLAW_DOCKER_SOCKET. Volledige setup- en env-referentie: Docker.

setupCommand (eenmalige container-setup)

setupCommand draait één keer nadat de sandboxcontainer is aangemaakt (niet bij elke run). Het wordt binnen de container uitgevoerd via sh -lc. Paden:
  • Globaal: agents.defaults.sandbox.docker.setupCommand
  • Per agent: agents.list[].sandbox.docker.setupCommand
  • Standaard is docker.network "none" (geen uitgaand netwerkverkeer), dus pakketinstallaties mislukken.
  • docker.network: "container:<id>" vereist dangerouslyAllowContainerNamespaceJoin: true en is alleen voor noodsituaties.
  • readOnlyRoot: true voorkomt schrijfacties; stel readOnlyRoot: false in of bak een aangepaste image.
  • user moet root zijn voor pakketinstallaties (laat user weg of stel user: "0:0" in).
  • Sandbox exec erft host-process.env niet. Gebruik agents.defaults.sandbox.docker.env (of een aangepaste image) voor skill-API-sleutels.

Toolbeleid en uitwijkroutes

Beleid voor toestaan/weigeren van tools blijft gelden vóór sandboxregels. Als een tool globaal of per agent wordt geweigerd, brengt sandboxing deze niet terug. tools.elevated is een expliciete uitwijkroute die exec buiten de sandbox uitvoert (standaard gateway, of node wanneer het exec-doel node is). /exec-directieven gelden alleen voor geautoriseerde afzenders en blijven per sessie behouden; gebruik toolbeleid met weigeren om exec hard uit te schakelen (zie Sandbox vs Tool Policy vs Elevated). Debuggen:
  • Gebruik openclaw sandbox explain om de effectieve sandboxmodus, het toolbeleid en fix-it-configuratiesleutels te inspecteren.
  • Zie Sandbox vs Tool Policy vs Elevated voor het mentale model achter “waarom wordt dit geblokkeerd?”.
Houd het vergrendeld.

Multi-agent-overrides

Elke agent kan sandbox + tools overschrijven: agents.list[].sandbox en agents.list[].tools (plus agents.list[].tools.sandbox.tools voor sandbox-toolbeleid). Zie Multi-Agent Sandbox & Tools voor prioriteit.

Minimaal inschakelvoorbeeld

{
  agents: {
    defaults: {
      sandbox: {
        mode: "non-main",
        scope: "session",
        workspaceAccess: "none",
      },
    },
  },
}

Gerelateerd