Tổng quan
OpenClaw có thể chạy tác tử trong các môi trường thực thi sandbox cô lập để tăng bảo mật. Các lệnhsandbox giúp bạn kiểm tra và tạo lại các môi trường thực thi đó sau khi cập nhật hoặc thay đổi cấu hình.
Hiện nay điều đó thường có nghĩa là:
- Các container sandbox Docker
- Các môi trường thực thi sandbox SSH khi
agents.defaults.sandbox.backend = "ssh" - Các môi trường thực thi sandbox OpenShell khi
agents.defaults.sandbox.backend = "openshell"
ssh và OpenShell remote, việc tạo lại quan trọng hơn so với Docker:
- không gian làm việc từ xa là bản chuẩn sau lần gieo ban đầu
openclaw sandbox recreatexóa không gian làm việc từ xa chuẩn đó cho phạm vi đã chọn- lần sử dụng tiếp theo sẽ gieo lại từ không gian làm việc cục bộ hiện tại
Lệnh
openclaw sandbox explain
Kiểm tra chế độ/phạm vi/quyền truy cập không gian làm việc sandbox hiệu lực, chính sách công cụ sandbox và các cổng nâng quyền (kèm đường dẫn khóa cấu hình để sửa).
openclaw sandbox list
Liệt kê tất cả môi trường thực thi sandbox cùng trạng thái và cấu hình của chúng.
- Tên và trạng thái môi trường thực thi
- Backend (
docker,openshell, v.v.) - Nhãn cấu hình và liệu nhãn đó có khớp với cấu hình hiện tại không
- Tuổi (thời gian kể từ khi tạo)
- Thời gian nhàn rỗi (thời gian kể từ lần dùng cuối)
- Phiên/tác tử liên quan
openclaw sandbox recreate
Xóa các môi trường thực thi sandbox để buộc tạo lại với cấu hình đã cập nhật.
--all: Tạo lại tất cả container sandbox--session <key>: Tạo lại container cho phiên cụ thể--agent <id>: Tạo lại container cho tác tử cụ thể--browser: Chỉ tạo lại container trình duyệt--force: Bỏ qua lời nhắc xác nhận
Môi trường thực thi sẽ tự động được tạo lại khi tác tử được dùng lần tiếp theo.
Trường hợp sử dụng
Sau khi cập nhật một image Docker
Sau khi thay đổi cấu hình sandbox
Sau khi thay đổi đích SSH hoặc tài liệu xác thực SSH
ssh, việc tạo lại sẽ xóa gốc không gian làm việc từ xa theo từng phạm vi
trên đích SSH. Lần chạy tiếp theo sẽ gieo lại từ không gian làm việc cục bộ.
Sau khi thay đổi nguồn, chính sách hoặc chế độ OpenShell
remote, việc tạo lại sẽ xóa không gian làm việc từ xa chuẩn
cho phạm vi đó. Lần chạy tiếp theo sẽ gieo lại từ không gian làm việc cục bộ.
Sau khi thay đổi setupCommand
Chỉ cho một tác tử cụ thể
Vì sao cần làm việc này
Khi bạn cập nhật cấu hình sandbox:- Các môi trường thực thi hiện có tiếp tục chạy với thiết lập cũ.
- Môi trường thực thi chỉ bị dọn sau 24 giờ không hoạt động.
- Các tác tử được dùng thường xuyên sẽ giữ môi trường thực thi cũ tồn tại vô thời hạn.
openclaw sandbox recreate để buộc xóa các môi trường thực thi cũ. Chúng sẽ tự động được tạo lại với thiết lập hiện tại khi cần dùng lần tiếp theo.
Di chuyển sổ đăng ký
OpenClaw lưu siêu dữ liệu môi trường thực thi sandbox trong cơ sở dữ liệu trạng thái SQLite dùng chung. Các bản cài đặt cũ hơn có thể vẫn có các tệp sổ đăng ký sandbox cũ:~/.openclaw/sandbox/containers.json~/.openclaw/sandbox/browsers.json
~/.openclaw/sandbox/containers/ hoặc ~/.openclaw/sandbox/browsers/. Các lần đọc môi trường thực thi sandbox thông thường không ghi lại các nguồn cũ đó. Chạy openclaw doctor --fix để di chuyển các mục cũ hợp lệ vào SQLite. Các tệp cũ không hợp lệ sẽ bị cách ly để một sổ đăng ký cũ bị lỗi không thể che khuất các mục môi trường thực thi hiện tại.
Cấu hình
Thiết lập sandbox nằm trong~/.openclaw/openclaw.json dưới agents.defaults.sandbox (ghi đè theo từng tác tử đặt trong agents.list[].sandbox):
Liên quan
- Tham chiếu CLI
- Sandboxing
- Không gian làm việc tác tử
- Doctor: kiểm tra thiết lập sandbox.