Песочница vs Политика инструментов vs Повышенные привилегии¶

В OpenClaw есть три связанных (но разных) механизма управления:

1. Sandbox (agents.defaults.sandbox.* / agents.list[].sandbox.*) определяет где запускаются инструменты (Docker или хост).
2. Tool policy (tools.*, tools.sandbox.tools.*, agents.list[].tools.*) определяет какие инструменты доступны/разрешены.
3. Elevated (tools.elevated.*, agents.list[].tools.elevated.*) — это исключительно exec-механизм обхода, позволяющий запускаться на хосте при работе в sandbox.

Быстрая отладка¶

Используйте инспектор, чтобы увидеть, что OpenClaw фактически делает:

openclaw sandbox explain
openclaw sandbox explain --session agent:main:main
openclaw sandbox explain --agent work
openclaw sandbox explain --json

Он выводит:

• эффективный режим sandbox / область действия / доступ к рабочему пространству
• находится ли сеанс в данный момент в sandbox (main vs non-main)
• эффективный allow/deny инструментов sandbox (и откуда он пришёл: agent/global/default)
• шлюзы elevated и пути ключей «fix-it»

Sandbox: где запускаются инструменты¶

Sandboxing управляется ключом agents.defaults.sandbox.mode:

• "off": всё выполняется на хосте.
• "non-main": в sandbox попадают только non-main сеансы (частый «сюрприз» для групп/каналов).
• "all": всё выполняется в sandbox.

Полную матрицу (область действия, монтирование рабочих пространств, образы) см. в разделе Sandboxing.

Bind mounts (быстрая проверка безопасности)¶

• docker.binds пробивает файловую систему sandbox: всё, что вы монтируете, становится видимым внутри контейнера с указанным режимом (:ro или :rw).
• По умолчанию используется режим read-write, если режим не указан; для исходников/секретов предпочтительнее :ro.
• scope: "shared" игнорирует per-agent монтирования (применяются только глобальные).
• Монтирование /var/run/docker.sock фактически передаёт контроль над хостом sandbox; делайте это только осознанно.
• Доступ к рабочему пространству (workspaceAccess: "ro"/"rw") не зависит от режимов bind.

Tool policy: какие инструменты существуют/могут вызываться¶

Два слоя имеют значение:

• Профиль инструментов: tools.profile и agents.list[].tools.profile (базовый список разрешённых)
• Профиль инструментов провайдера: tools.byProvider[provider].profile и agents.list[].tools.byProvider[provider].profile
• Глобальная/per-agent политика инструментов: tools.allow/tools.deny и agents.list[].tools.allow/agents.list[].tools.deny
• Политика инструментов провайдера: tools.byProvider[provider].allow/deny и agents.list[].tools.byProvider[provider].allow/deny
• Политика инструментов sandbox (применяется только при работе в sandbox): tools.sandbox.tools.allow/tools.sandbox.tools.deny и agents.list[].tools.sandbox.tools.*

Практические правила:

• deny всегда имеет приоритет.
• Если allow не пуст, всё остальное считается заблокированным.
• Политика инструментов — это жёсткая точка остановки: /exec не может переопределить запрещённый инструмент exec.
• /exec лишь меняет значения по умолчанию сеанса для авторизованных отправителей; доступ к инструментам он не предоставляет. Ключи инструментов провайдера принимают либо provider (например, google-antigravity), либо provider/model (например, openai/gpt-5.2).

Группы инструментов (сокращения)¶

Политики инструментов (global, agent, sandbox) поддерживают записи group:*, которые разворачиваются в несколько инструментов:

{
  tools: {
    sandbox: {
      tools: {
        allow: ["group:runtime", "group:fs", "group:sessions", "group:memory"],
      },
    },
  },
}

Доступные группы:

• group:runtime: exec, bash, process
• group:fs: read, write, edit, apply_patch
• group:sessions: sessions_list, sessions_history, sessions_send, sessions_spawn, session_status
• group:memory: memory_search, memory_get
• group:ui: browser, canvas
• group:automation: cron, gateway
• group:messaging: message
• group:nodes: nodes
• group:openclaw: все встроенные инструменты OpenClaw (исключая плагины провайдеров)

Elevated: exec-only «запуск на хост延

Elevated не предоставляет дополнительных инструментов; он влияет только на exec.

• Если вы работаете в sandbox, /elevated on (или exec с elevated: true) выполняется на хосте (подтверждения всё ещё могут требоваться).
• Используйте /elevated full, чтобы пропустить подтверждения exec для сеанса.
• Если вы уже работаете напрямую, elevated фактически является no-op (но всё равно проходит через шлюзы).
• Elevated не имеет привязки к Skills и не переопределяет allow/deny инструментов.
• /exec отделён от elevated. Он лишь настраивает per-session значения по умолчанию exec для авторизованных отправителей.

Шлюзы:

• Включение: tools.elevated.enabled (и при необходимости agents.list[].tools.elevated.enabled)
• Allowlist отправителей: tools.elevated.allowFrom.<provider> (и при необходимости agents.list[].tools.elevated.allowFrom.<provider>)

См. Elevated Mode.

Распространённые исправления «sandbox jail»¶

«Инструмент X заблокирован политикой инструментов sandbox»¶

Ключи для исправления (выберите один):

• Отключить sandbox: agents.defaults.sandbox.mode=off (или per-agent agents.list[].sandbox.mode=off)
• Разрешить инструмент внутри sandbox:
• удалить его из tools.sandbox.tools.deny (или per-agent agents.list[].tools.sandbox.tools.deny)
• или добавить его в tools.sandbox.tools.allow (или per-agent allow)

«Я думал, что это main — почему он в sandbox?»¶

В режиме "non-main" ключи групп/каналов не являются main. Используйте ключ main-сеанса (показывается в sandbox explain) или переключите режим на "off".