OpenClaw 有三个相关(但不同)的控制项:Documentation Index
Fetch the complete documentation index at: https://openclaw.zhcndoc.com/llms.txt
Use this file to discover all available pages before exploring further.
- Sandbox (
agents.defaults.sandbox.*/agents.list[].sandbox.*) 决定 工具在哪里运行(sandbox 后端 vs 主机)。 - Tool policy (
tools.*,tools.sandbox.tools.*,agents.list[].tools.*) 决定 哪些工具可用/被允许。 - Elevated (
tools.elevated.*,agents.list[].tools.elevated.*) 是一个仅用于 exec 的逃生阀,当你处于 sandbox 中时可在 sandbox 外运行(默认是gateway,或者当 exec 目标配置为node时为node)。
快速调试
使用 inspector 查看 OpenClaw 实际 在做什么:- 生效的 sandbox 模式/范围/工作区访问
- 当前会话是否处于 sandbox 中(main vs non-main)
- 生效的 sandbox 工具允许/拒绝情况(以及它来自 agent/global/default 的哪一层)
- elevated 门控以及修复所需的键路径
Sandbox:工具在哪里运行
Sandbox 由agents.defaults.sandbox.mode 控制:
"off":所有内容都在主机上运行。"non-main":只有非 main 会话会被 sandbox 化(群组/频道里常见的“意外情况”)。"all":所有内容都在 sandbox 中运行。
绑定挂载(安全快速检查)
docker.binds会 穿透 sandbox 文件系统:你挂载的内容会以你设置的模式(:ro或:rw)在容器内可见。- 如果你省略模式,默认是可读写;源代码/密钥建议使用
:ro。 scope: "shared"会忽略每个 agent 的绑定挂载(只应用全局挂载)。- OpenClaw 会两次验证绑定源:先在规范化后的源路径上验证,然后在通过最深的现有祖先解析之后再次验证。符号链接父目录逃逸不会绕过 blocked-path 或 allowed-root 检查。
- 即使叶子路径不存在,也会安全检查。如果
/workspace/alias-out/new-file通过一个带符号链接的父目录解析到被阻止的路径或超出配置的允许根目录,绑定仍会被拒绝。 - 挂载
/var/run/docker.sock实际上等于把主机控制权交给 sandbox;只有在有意这样做时才应这么操作。 - 工作区访问(
workspaceAccess: "ro"/"rw")与绑定模式是相互独立的。
Tool policy:有哪些工具存在/可调用
有两层很重要:- Tool profile:
tools.profile和agents.list[].tools.profile(基础允许列表) - Provider tool profile:
tools.byProvider[provider].profile和agents.list[].tools.byProvider[provider].profile - 全局/按 agent 的工具策略:
tools.allow/tools.deny和agents.list[].tools.allow/agents.list[].tools.deny - Provider 工具策略:
tools.byProvider[provider].allow/deny和agents.list[].tools.byProvider[provider].allow/deny - Sandbox 工具策略(仅在 sandbox 中生效):
tools.sandbox.tools.allow/tools.sandbox.tools.deny和agents.list[].tools.sandbox.tools.*
deny永远优先。- 如果
allow非空,其余一切都视为被阻止。 - Tool policy 是硬性停止:
/exec不能覆盖被拒绝的exec工具。 /exec只会为已授权的发送者修改会话默认值;它不会授予工具访问权限。 Provider 工具键接受provider(例如google-antigravity)或provider/model(例如openai/gpt-5.4)。
工具组(简写)
工具策略(全局、agent、sandbox)支持group:* 条目,它们会展开为多个工具:
group:runtime:exec,process,code_execution(bash可作为exec的别名)group:fs:read,write,edit,apply_patchgroup:sessions:sessions_list,sessions_history,sessions_send,sessions_spawn,sessions_yield,subagents,session_statusgroup:memory:memory_search,memory_getgroup:web:web_search,x_search,web_fetchgroup:ui:browser,canvasgroup:automation:cron,gatewaygroup:messaging:messagegroup:nodes:nodesgroup:agents:agents_listgroup:media:image,image_generate,video_generate,ttsgroup:openclaw: 所有内置 OpenClaw 工具(不包括 provider 插件)
Elevated:仅 exec 的“在主机上运行”
Elevated 不会 授予额外工具;它只影响exec。
- 如果你处于 sandbox 中,
/elevated on(或带elevated: true的exec)会在 sandbox 外运行(仍可能需要审批)。 - 使用
/elevated full可跳过该会话的 exec 审批。 - 如果你已经在直接运行,elevated 实际上是无操作的(仍受门控)。
- Elevated 不 受 skill 作用域限制,也不会覆盖工具允许/拒绝。
- Elevated 不会从
host=auto获得任意跨主机覆盖;它遵循正常的 exec 目标规则,并且只有在配置/会话目标已经是node时才保留node。 /exec与 elevated 是分开的。它只会为已授权的发送者调整每个会话的 exec 默认值。
- 启用:
tools.elevated.enabled(以及可选的agents.list[].tools.elevated.enabled) - 发送者允许列表:
tools.elevated.allowFrom.<provider>(以及可选的agents.list[].tools.elevated.allowFrom.<provider>)
常见的 “sandbox jail” 修复
“Tool X blocked by sandbox tool policy”
修复键(任选其一):- 禁用 sandbox:
agents.defaults.sandbox.mode=off(或按 agent 设置agents.list[].sandbox.mode=off) - 在 sandbox 内允许该工具:
- 从
tools.sandbox.tools.deny中移除它(或按 agent 设置agents.list[].tools.sandbox.tools.deny) - 或将其添加到
tools.sandbox.tools.allow(或按 agent 设置 allow)
- 从
“我以为这是 main,为什么它被 sandbox 化了?”
在"non-main" 模式下,群组/频道键 不是 main。请使用 main 会话键(由 sandbox explain 显示)或将模式切换为 "off"。
相关内容
- Sandboxing — 完整的 sandbox 参考(模式、范围、后端、镜像)
- Multi-Agent Sandbox & Tools — 按 agent 的覆盖与优先级
- Elevated Mode