OpenClaw 有三個相關(但不同)的控制項:Documentation Index
Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt
Use this file to discover all available pages before exploring further.
- 沙箱(
agents.defaults.sandbox.*/agents.list[].sandbox.*)決定工具在哪裡執行(沙箱後端或主機)。 - 工具政策(
tools.*、tools.sandbox.tools.*、agents.list[].tools.*)決定哪些工具可用/允許使用。 - Elevated(
tools.elevated.*、agents.list[].tools.elevated.*)是僅限 exec 的逃生出口,可在你處於沙箱中時於沙箱外執行(預設為gateway,或當 exec 目標設定為node時使用node)。
快速偵錯
使用檢查器查看 OpenClaw 實際上 在做什麼:- 有效的沙箱模式/範圍/工作區存取權
- 工作階段目前是否處於沙箱中(main 與非 main)
- 有效的沙箱工具允許/拒絕設定(以及它來自代理/全域/預設)
- elevated 閘門與修復鍵路徑
沙箱:工具在哪裡執行
沙箱由agents.defaults.sandbox.mode 控制:
"off":所有內容都在主機上執行。"non-main":只有非 main 工作階段會進入沙箱(群組/頻道中常見的「意外」)。"all":所有內容都在沙箱中執行。
繫結掛載(安全性快速檢查)
docker.binds會_穿透_沙箱檔案系統:你掛載的任何內容都會以你設定的模式(:ro或:rw)顯示在容器內。- 如果省略模式,預設為可讀寫;來源/密鑰建議使用
:ro。 scope: "shared"會忽略每個代理的繫結(只套用全域繫結)。- OpenClaw 會驗證繫結來源兩次:第一次在正規化後的來源路徑上,第二次在透過最深層既有祖先解析後再次驗證。符號連結父層逸出無法繞過封鎖路徑或允許根目錄檢查。
- 不存在的葉節點路徑仍會安全地檢查。如果
/workspace/alias-out/new-file透過符號連結父層解析到封鎖路徑,或解析到設定的允許根目錄之外,該繫結會被拒絕。 - 繫結
/var/run/docker.sock實際上會把主機控制權交給沙箱;只有在明確有意這麼做時才使用。 - 工作區存取權(
workspaceAccess: "ro"/"rw")獨立於繫結模式。
工具政策:哪些工具存在/可呼叫
有兩層很重要:- 工具設定檔:
tools.profile和agents.list[].tools.profile(基礎允許清單) - 提供者工具設定檔:
tools.byProvider[provider].profile和agents.list[].tools.byProvider[provider].profile - 全域/每代理工具政策:
tools.allow/tools.deny和agents.list[].tools.allow/agents.list[].tools.deny - 提供者工具政策:
tools.byProvider[provider].allow/deny和agents.list[].tools.byProvider[provider].allow/deny - 沙箱工具政策(僅在沙箱中套用):
tools.sandbox.tools.allow/tools.sandbox.tools.deny和agents.list[].tools.sandbox.tools.*
deny永遠優先。- 如果
allow非空,其他所有內容都會被視為已封鎖。 - 工具政策是硬性阻擋:
/exec無法覆寫被拒絕的exec工具。 - 工具政策會依名稱篩選工具可用性;它不會檢查
exec內部的副作用。如果允許exec,拒絕write、edit或apply_patch不會讓 shell 指令變成唯讀。 /exec只會為授權傳送者變更工作階段預設值;它不會授予工具存取權。 提供者工具鍵接受provider(例如google-antigravity)或provider/model(例如openai/gpt-5.4)。
工具群組(簡寫)
工具政策(全域、代理、沙箱)支援group:* 項目,這些項目會展開為多個工具:
group:runtime:exec、process、code_execution(bash會被接受為exec的別名)group:fs:read、write、edit、apply_patch對於唯讀代理,除非沙箱檔案系統政策或獨立的主機邊界會強制執行唯讀限制,否則也要拒絕group:runtime以及會變更檔案系統的工具。group:sessions:sessions_list、sessions_history、sessions_send、sessions_spawn、sessions_yield、subagents、session_statusgroup:memory:memory_search、memory_getgroup:web:web_search、x_search、web_fetchgroup:ui:browser、canvasgroup:automation:heartbeat_respond、cron、gatewaygroup:messaging:messagegroup:nodes:nodesgroup:agents:agents_list、update_plangroup:media:image、image_generate、music_generate、video_generate、ttsgroup:openclaw:所有內建 OpenClaw 工具(不包含提供者 Plugin)
Elevated:僅限 exec 的「在主機上執行」
Elevated 不會授予額外工具;它只影響exec。
- 如果你處於沙箱中,
/elevated on(或帶有elevated: true的exec)會在沙箱外執行(核准仍可能套用)。 - 使用
/elevated full可略過該工作階段的 exec 核准。 - 如果你已經是直接執行,elevated 實際上不會做任何事(仍受閘門限制)。
- Elevated 不是以 skill 為範圍,且不會覆寫工具允許/拒絕設定。
- Elevated 不會從
host=auto授予任意跨主機覆寫;它會遵循一般 exec 目標規則,且只有在已設定/工作階段目標已經是node時才保留node。 /exec與 elevated 是分開的。它只會為授權傳送者調整每個工作階段的 exec 預設值。
- 啟用:
tools.elevated.enabled(以及選用的agents.list[].tools.elevated.enabled) - 傳送者允許清單:
tools.elevated.allowFrom.<provider>(以及選用的agents.list[].tools.elevated.allowFrom.<provider>)
常見的「沙箱監牢」修復方式
###「工具 X 被沙箱工具政策封鎖」 修復鍵(擇一):- 停用沙箱:
agents.defaults.sandbox.mode=off(或每代理agents.list[].sandbox.mode=off) - 在沙箱內允許該工具:
- 從
tools.sandbox.tools.deny移除它(或每代理agents.list[].tools.sandbox.tools.deny) - 或將它加入
tools.sandbox.tools.allow(或每代理允許清單)
- 從
"non-main" 模式中,群組/頻道鍵_不是_ main。請使用 main 工作階段鍵(由 sandbox explain 顯示),或將模式切換為 "off"。