Omówienie
OpenClaw może uruchamiać agentów w izolowanych środowiskach wykonawczych sandbox ze względów bezpieczeństwa. Poleceniasandbox pomagają sprawdzać i odtwarzać te środowiska po aktualizacjach lub zmianach konfiguracji.
Obecnie zwykle oznacza to:
- kontenery sandbox Docker
- środowiska wykonawcze sandbox SSH, gdy
agents.defaults.sandbox.backend = "ssh" - środowiska wykonawcze sandbox OpenShell, gdy
agents.defaults.sandbox.backend = "openshell"
ssh i OpenShell remote odtworzenie ma większe znaczenie niż w przypadku Docker:
- zdalny obszar roboczy jest kanoniczny po początkowym zasianiu
openclaw sandbox recreateusuwa ten kanoniczny zdalny obszar roboczy dla wybranego zakresu- następne użycie ponownie zasiewa go z bieżącego lokalnego obszaru roboczego
Polecenia
openclaw sandbox explain
Sprawdź efektywny tryb/zakres/dostęp do obszaru roboczego sandbox, politykę narzędzi sandbox oraz bramki podwyższonych uprawnień (ze ścieżkami kluczy konfiguracji do naprawy).
openclaw sandbox list
Wyświetl wszystkie środowiska wykonawcze sandbox wraz z ich stanem i konfiguracją.
- Nazwę i stan środowiska wykonawczego
- Backend (
docker,openshellitd.) - Etykietę konfiguracji oraz informację, czy pasuje do bieżącej konfiguracji
- Wiek (czas od utworzenia)
- Czas bezczynności (czas od ostatniego użycia)
- Powiązaną sesję/agenta
openclaw sandbox recreate
Usuń środowiska wykonawcze sandbox, aby wymusić ich odtworzenie ze zaktualizowaną konfiguracją.
--all: Odtwórz wszystkie kontenery sandbox--session <key>: Odtwórz kontener dla określonej sesji--agent <id>: Odtwórz kontenery dla określonego agenta--browser: Odtwórz tylko kontenery przeglądarki--force: Pomiń monit o potwierdzenie
Środowiska wykonawcze są automatycznie odtwarzane przy następnym użyciu agenta.
Przypadki użycia
Po zaktualizowaniu obrazu Docker
Po zmianie konfiguracji sandbox
Po zmianie celu SSH lub materiału uwierzytelniania SSH
ssh odtworzenie usuwa główny katalog zdalnego obszaru roboczego dla danego zakresu
na celu SSH. Następne uruchomienie ponownie zasiewa go z lokalnego obszaru roboczego.
Po zmianie źródła, polityki lub trybu OpenShell
remote odtworzenie usuwa kanoniczny zdalny obszar roboczy
dla tego zakresu. Następne uruchomienie ponownie zasiewa go z lokalnego obszaru roboczego.
Po zmianie setupCommand
Tylko dla określonego agenta
Dlaczego jest to potrzebne
Gdy aktualizujesz konfigurację sandbox:- Istniejące środowiska wykonawcze nadal działają ze starymi ustawieniami.
- Środowiska wykonawcze są usuwane dopiero po 24 godzinach bezczynności.
- Regularnie używani agenci utrzymują stare środowiska wykonawcze aktywne bezterminowo.
openclaw sandbox recreate, aby wymusić usunięcie starych środowisk wykonawczych. Zostaną one automatycznie odtworzone z bieżącymi ustawieniami, gdy będą następnym razem potrzebne.
Migracja rejestru
OpenClaw przechowuje metadane środowisk wykonawczych sandbox we współdzielonej bazie stanu SQLite. Starsze instalacje mogą nadal mieć starsze pliki rejestru sandbox:~/.openclaw/sandbox/containers.json~/.openclaw/sandbox/browsers.json
~/.openclaw/sandbox/containers/ lub ~/.openclaw/sandbox/browsers/. Zwykłe odczyty środowisk wykonawczych sandbox nie przepisują tych starszych źródeł. Uruchom openclaw doctor --fix, aby zmigrować prawidłowe starsze wpisy do SQLite. Nieprawidłowe starsze pliki są poddawane kwarantannie, aby jeden błędny stary rejestr nie mógł ukryć bieżących wpisów środowisk wykonawczych.
Konfiguracja
Ustawienia sandbox znajdują się w~/.openclaw/openclaw.json w sekcji agents.defaults.sandbox (nadpisania dla poszczególnych agentów trafiają do agents.list[].sandbox):
Powiązane
- Dokumentacja CLI
- Sandboxing
- Obszar roboczy agenta
- Doctor: sprawdza konfigurację sandbox.