Огляд
OpenClaw може запускати агентів в ізольованих середовищах виконання пісочниці для безпеки. Командиsandbox допомагають перевіряти та перестворювати ці середовища виконання після оновлень або змін конфігурації.
Сьогодні це зазвичай означає:
- Docker-контейнери пісочниці
- SSH-середовища виконання пісочниці, коли
agents.defaults.sandbox.backend = "ssh" - OpenShell-середовища виконання пісочниці, коли
agents.defaults.sandbox.backend = "openshell"
ssh і OpenShell remote перестворення важливіше, ніж для Docker:
- віддалений робочий простір є канонічним після початкового заповнення
openclaw sandbox recreateвидаляє цей канонічний віддалений робочий простір для вибраної області- наступне використання знову заповнює його з поточного локального робочого простору
Команди
openclaw sandbox explain
Перевірте ефективний режим/область/доступ до робочого простору пісочниці, політику інструментів пісочниці та підвищені шлюзи (зі шляхами ключів конфігурації для виправлення).
openclaw sandbox list
Виведіть список усіх середовищ виконання пісочниці з їхнім станом і конфігурацією.
- Назву та стан середовища виконання
- Бекенд (
docker,openshellтощо) - Мітку конфігурації та чи відповідає вона поточній конфігурації
- Вік (час від створення)
- Час простою (час від останнього використання)
- Пов’язаний сеанс/агент
openclaw sandbox recreate
Видаліть середовища виконання пісочниці, щоб примусово перестворити їх з оновленою конфігурацією.
--all: перестворити всі контейнери пісочниці--session <key>: перестворити контейнер для конкретного сеансу--agent <id>: перестворити контейнери для конкретного агента--browser: перестворити лише браузерні контейнери--force: пропустити запит підтвердження
Середовища виконання автоматично перестворюються під час наступного використання агента.
Приклади використання
Після оновлення образу Docker
Після зміни конфігурації пісочниці
Після зміни цілі SSH або матеріалу автентифікації SSH
ssh перестворення видаляє корінь віддаленого робочого простору для кожної області
на цілі SSH. Наступний запуск знову заповнює його з локального робочого простору.
Після зміни джерела, політики або режиму OpenShell
remote перестворення видаляє канонічний віддалений робочий простір
для цієї області. Наступний запуск знову заповнює його з локального робочого простору.
Після зміни setupCommand
Лише для конкретного агента
Навіщо це потрібно
Коли ви оновлюєте конфігурацію пісочниці:- Наявні середовища виконання продовжують працювати зі старими налаштуваннями.
- Середовища виконання видаляються лише після 24 годин неактивності.
- Агенти, які використовуються регулярно, зберігають старі середовища виконання активними безстроково.
openclaw sandbox recreate, щоб примусово видалити старі середовища виконання. Вони автоматично перестворюються з поточними налаштуваннями, коли знадобляться наступного разу.
Міграція реєстру
OpenClaw зберігає метадані середовищ виконання пісочниці у спільній базі даних стану SQLite. У старіших інсталяціях досі можуть бути застарілі файли реєстру пісочниці:~/.openclaw/sandbox/containers.json~/.openclaw/sandbox/browsers.json
~/.openclaw/sandbox/containers/ або ~/.openclaw/sandbox/browsers/. Звичайні читання середовищ виконання пісочниці не перезаписують ці застарілі джерела. Запустіть openclaw doctor --fix, щоб мігрувати дійсні застарілі записи до SQLite. Недійсні застарілі файли ізолюються, щоб один пошкоджений старий реєстр не міг приховати поточні записи середовищ виконання.
Конфігурація
Налаштування пісочниці містяться в~/.openclaw/openclaw.json у agents.defaults.sandbox (перевизначення для окремих агентів розміщуються в agents.list[].sandbox):
Пов’язане
- Довідник CLI
- Пісочниця
- Робочий простір агента
- Doctor: перевіряє налаштування пісочниці.