沙箱
OpenClaw 可以在 Docker 容器内运行工具以减少爆炸半径。这是可选的,由配置控制(agents.defaults.sandbox 或 agents.list[].sandbox)。如果沙箱关闭,工具在主机上运行。网关保持在主机上;工具执行在启用时在隔离的沙箱中运行。
这不是完美的安全边界,但它在模型做蠢事时实质性地限制文件系统和进程访问。
什么被沙箱化
- 工具执行(
exec、read、write、edit、apply_patch、process等)。 - 可选沙箱浏览器(
agents.defaults.sandbox.browser)。- 默认情况下,沙箱浏览器在浏览器工具需要时自动启动(确保 CDP 可达)。 通过
agents.defaults.sandbox.browser.autoStart和agents.defaults.sandbox.browser.autoStartTimeoutMs配置。 agents.defaults.sandbox.browser.allowHostControl允许沙箱会话显式定位主机浏览器。- 可选允许列表门控
target: "custom":allowedControlUrls、allowedControlHosts、allowedControlPorts。
- 默认情况下,沙箱浏览器在浏览器工具需要时自动启动(确保 CDP 可达)。 通过
不被沙箱化:
- 网关进程本身。
- 任何明确允许在主机上运行的工具(例如
tools.elevated)。- 提升的 exec 在主机上运行并绕过沙箱。
- 如果沙箱关闭,
tools.elevated不会改变执行(已经在主机上)。见提升模式。
模式
agents.defaults.sandbox.mode 控制何时使用沙箱:
"off":无沙箱。"non-main":仅沙箱非主会话(如果你想要主机上的正常聊天,则默认)。"all":每个会话在沙箱中运行。 注意:"non-main"基于session.mainKey(默认"main"),而不是智能体 ID。群组/通道会话使用自己的键,因此它们被视为非主并将被打沙箱。
范围
agents.defaults.sandbox.scope 控制创建多少容器:
"session"(默认):每个会话一个容器。"agent":每个智能体一个容器。"shared":一个容器被所有沙箱会话共享。
工作区访问
agents.defaults.sandbox.workspaceAccess 控制沙箱能看到什么:
"none"(默认):工具在~/.openclaw/sandboxes下的沙箱工作区中看到内容。"ro":以只读方式将智能体工作区挂载在/agent(禁用write/edit/apply_patch)。"rw":以读写方式将智能体工作区挂载在/workspace。
入站媒体被复制到活动沙箱工作区(media/inbound/*)。 技能注意:read 工具以沙箱根目录定位。使用 workspaceAccess: "none" 时,OpenClaw 将合格技能镜像到沙箱工作区(.../skills),以便可以读取。使用 "rw" 时,工作区技能可从 /workspace/skills 读取。
自定义绑定挂载
agents.defaults.sandbox.docker.binds 将额外的主机目录挂载到容器中。格式:host:container:mode(例如 "/home/user/source:/source:rw")。
全局和每智能体绑定合并(不替换)。在 scope: "shared" 下,每智能体绑定被忽略。
示例(只读源 + docker 套接字):
{
agents: {
defaults: {
sandbox: {
docker: {
binds: [
"/home/user/source:/source:ro",
"/var/run/docker.sock:/var/run/docker.sock"
]
}
}
},
list: [
{
id: "build",
sandbox: {
docker: {
binds: ["/mnt/cache:/cache:rw"]
}
}
}
]
}
}安全注意:
- 绑定绕过沙箱文件系统:它们以你设置的任何模式(
:ro或:rw)暴露主机路径。 - 敏感挂载(例如
docker.sock、秘密、SSH 密钥)应该是:ro,除非绝对需要。 - 与
workspaceAccess: "ro"结合,如果你只需要对工作区的只读访问;绑定模式保持独立。 - 见沙箱 vs 工具策略 vs 提升 了解绑定如何与工具策略和提升 exec 交互。
镜像 + 设置
默认镜像:openclaw-sandbox:bookworm-slim
构建一次:
scripts/sandbox-setup.sh注意:默认镜像不包括 Node。如果技能需要 Node(或其他运行时),要么烘焙自定义镜像,要么通过 sandbox.docker.setupCommand 安装(需要网络出口 + 可写根 + root 用户)。
沙箱浏览器镜像:
scripts/sandbox-browser-setup.sh默认情况下,沙箱容器以无网络运行。通过 agents.defaults.sandbox.docker.network 覆盖。
Docker 安装和容器化网关位于这里:Docker
setupCommand(一次性容器设置)
setupCommand 在沙箱容器创建后运行一次(不是在每次运行时)。它在容器内通过 sh -lc 执行。
路径:
- 全局:
agents.defaults.sandbox.docker.setupCommand - 每智能体:
agents.list[].sandbox.docker.setupCommand
常见陷阱:
- 默认
docker.network是"none"(无出口),因此包安装会失败。 readOnlyRoot: true阻止写入;设置readOnlyRoot: false或烘焙自定义镜像。user必须是 root 才能进行包安装(省略user或设置user: "0:0")。- 沙箱 exec 不继承主机
process.env。使用agents.defaults.sandbox.docker.env(或自定义镜像)获取技能 API 密钥。
工具策略 + 逃生舱
工具允许/拒绝策略仍在沙箱规则之前应用。如果工具被全局或每智能体拒绝,沙箱不会带回它。
tools.elevated 是显式逃生舱,在主机上运行 exec。 /exec 指令仅适用于授权发送者并按会话持久化;要硬禁用 exec,使用工具策略拒绝(见沙箱 vs 工具策略 vs 提升)。
调试:
- 使用
openclaw sandbox explain检查有效沙箱模式、工具策略和修复配置键。 - 见沙箱 vs 工具策略 vs 提升 了解"为什么这被阻止?"的心理模型。保持锁定。
多智能体覆盖
每个智能体可以覆盖沙箱 + 工具:agents.list[].sandbox 和 agents.list[].tools(加上 agents.list[].tools.sandbox.tools 用于沙箱工具策略)。见多智能体沙箱和工具 了解优先级。
最小启用示例
{
agents: {
defaults: {
sandbox: {
mode: "non-main",
scope: "session",
workspaceAccess: "none"
}
}
}
}