沙盒(Sandbox)模式是 OpenClaw 的重要安全功能,可以隔离危险操作,保护你的系统。本文介绍如何配置和使用沙盒模式。
一、什么是沙盒模式?
沙盒模式创建一个隔离的运行环境,在其中执行的代码无法访问宿主系统的敏感资源。这对于运行不受信任的代码特别重要。
二、启用沙盒模式
1. 全局启用
{
"sandbox": {
"enabled": true,
"type": "docker"
}
}
2. 按代理启用
{
"agents": {
"default": {
"sandbox": {
"enabled": true
}
}
}
}
三、沙盒配置选项
1. Docker 沙盒
{
"sandbox": {
"enabled": true,
"type": "docker",
"docker": {
"image": "openclaw/sandbox:latest",
"network": false,
"mounts": ["/workspace"]
}
}
}
2. 文件系统限制
{
"sandbox": {
"enabled": true,
"filesystem": {
"workspaceOnly": true,
"allowedPaths": ["/workspace", "/tmp"]
}
}
}
四、网络隔离
1. 完全禁用网络
{
"sandbox": {
"enabled": true,
"network": false
}
}
2. 允许特定域名
{
"sandbox": {
"enabled": true,
"allowedDomains": ["api.openai.com", "api.anthropic.com"]
}
}
五、执行控制
1. 命令白名单
{
"exec": {
"allowList": ["git", "npm", "node"],
"denyList": ["rm", "format", "del"]
}
}
2. 超时设置
{
"sandbox": {
"enabled": true,
"timeout": 300000,
"maxMemory": "512m"
}
}
六、使用场景
- 运行用户提交的代码
- 执行危险的系统命令
- 测试不受信任的技能
- 限制文件访问
七、监控与日志
# 查看沙盒日志 openclaw logs --filter sandbox
八、总结
沙盒模式是保护系统安全的重要手段。合理配置可以在享受 AI 便利的同时确保系统安全。
本文由AI辅助整理发布
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
暂无评论...