Visão geral
O OpenClaw pode executar agentes em runtimes sandbox isolados por segurança. Os comandossandbox ajudam você a inspecionar e recriar esses runtimes após atualizações ou alterações de configuração.
Hoje, isso geralmente significa:
- Contêineres sandbox do Docker
- Runtimes sandbox SSH quando
agents.defaults.sandbox.backend = "ssh" - Runtimes sandbox OpenShell quando
agents.defaults.sandbox.backend = "openshell"
ssh e OpenShell remote, recriar é mais importante do que com Docker:
- o workspace remoto é canônico após a semente inicial
openclaw sandbox recreateexclui esse workspace remoto canônico para o escopo selecionado- o próximo uso o semeia novamente a partir do workspace local atual
Comandos
openclaw sandbox explain
Inspecione o modo/escopo/acesso ao workspace sandbox efetivo, a política de ferramentas do sandbox e os gates elevados (com caminhos de chaves de configuração para correção).
openclaw sandbox list
Liste todos os runtimes sandbox com seus status e configuração.
- Nome e status do runtime
- Backend (
docker,openshelletc.) - Rótulo de configuração e se ele corresponde à configuração atual
- Idade (tempo desde a criação)
- Tempo ocioso (tempo desde o último uso)
- Sessão/agente associado
openclaw sandbox recreate
Remova runtimes sandbox para forçar a recriação com a configuração atualizada.
--all: recriar todos os contêineres sandbox--session <key>: recriar o contêiner de uma sessão específica--agent <id>: recriar contêineres de um agente específico--browser: recriar apenas contêineres de navegador--force: ignorar o prompt de confirmação
Os runtimes são recriados automaticamente quando o agente é usado novamente.
Casos de uso
Após atualizar uma imagem Docker
Após alterar a configuração do sandbox
Após alterar o destino SSH ou o material de autenticação SSH
ssh central, recriar exclui a raiz do workspace remoto por escopo
no destino SSH. A próxima execução o semeia novamente a partir do workspace local.
Após alterar a origem, a política ou o modo do OpenShell
remote, recriar exclui o workspace remoto canônico
desse escopo. A próxima execução o semeia novamente a partir do workspace local.
Após alterar setupCommand
Apenas para um agente específico
Por que isso é necessário
Quando você atualiza a configuração do sandbox:- Runtimes existentes continuam em execução com configurações antigas.
- Runtimes só são removidos após 24h de inatividade.
- Agentes usados regularmente mantêm runtimes antigos ativos indefinidamente.
openclaw sandbox recreate para forçar a remoção de runtimes antigos. Eles são recriados automaticamente com as configurações atuais quando forem necessários novamente.
Migração do registro
O OpenClaw armazena metadados de runtime sandbox no banco de dados de estado SQLite compartilhado. Instalações mais antigas ainda podem ter arquivos legados de registro de sandbox:~/.openclaw/sandbox/containers.json~/.openclaw/sandbox/browsers.json
~/.openclaw/sandbox/containers/ ou ~/.openclaw/sandbox/browsers/. Leituras regulares de runtime sandbox não reescrevem essas fontes legadas. Execute openclaw doctor --fix para migrar entradas legadas válidas para SQLite. Arquivos legados inválidos são colocados em quarentena para que um registro antigo ruim não oculte entradas de runtime atuais.
Configuração
As configurações de sandbox ficam em~/.openclaw/openclaw.json, em agents.defaults.sandbox (substituições por agente ficam em agents.list[].sandbox):
Relacionado
- Referência da CLI
- Sandboxing
- Workspace do agente
- Doctor: verifica a configuração do sandbox.