​

Sandboxing

​

ما الذي يتم وضعه داخل sandbox

• تنفيذ الأدوات (exec، read، write، edit، apply_patch، process، إلخ).
• متصفح معزول اختياري (agents.defaults.sandbox.browser).
  • افتراضيًا، يبدأ متصفح sandbox تلقائيًا (لضمان إمكانية الوصول إلى CDP) عندما تحتاجه أداة المتصفح. تتم التهيئة عبر agents.defaults.sandbox.browser.autoStart و agents.defaults.sandbox.browser.autoStartTimeoutMs.
  • يتيح agents.defaults.sandbox.browser.allowHostControl للجلسات المعزولة استهداف متصفح المضيف صراحةً.
  • قوائم السماح الاختيارية تضبط target: "custom": allowedControlUrls، allowedControlHosts، allowedControlPorts.

• عملية Gateway نفسها.
• أي أداة يُسمح لها صراحةً بالتشغيل على المضيف (مثل tools.elevated).
  • التنفيذ بصلاحيات مرتفعة يعمل على المضيف ويتجاوز sandboxing.
  • إذا كان sandboxing معطّلًا، فإن tools.elevated لا يغيّر التنفيذ (هو أصلًا على المضيف). راجع Elevated Mode.

​

أوضاع

• "off": بدون sandboxing.
• "non-main": عزل جلسات غير الرئيسية فقط (الافتراضي إذا أردت محادثات عادية على المضيف).
• "all": كل جلسة تعمل داخل sandbox. ملاحظة: يعتمد "non-main" على session.mainKey (الافتراضي "main") وليس على معرّف الوكيل. جلسات المجموعات/القنوات تستخدم مفاتيحها الخاصة، لذا تُعد غير رئيسية وسيتم عزلها.

​

النطاق

• "session" (افتراضي): حاوية واحدة لكل جلسة.
• "agent": حاوية واحدة لكل وكيل.
• "shared": حاوية واحدة مشتركة بين جميع الجلسات المعزولة.

​

الوصول إلى مساحة العمل

• "none" (افتراضي): ترى الأدوات مساحة عمل sandbox تحت ~/.openclaw/sandboxes.
• "ro": يركّب مساحة عمل الوكيل للقراءة فقط عند /agent (يعطّل write/edit/apply_patch).
• "rw": يركّب مساحة عمل الوكيل للقراءة/الكتابة عند /workspace.

​

ربط مخصص (bind mounts)

• عند تعيينه (بما في ذلك [])، فإنه يستبدل agents.defaults.sandbox.docker.binds لحاوية المتصفح.
• عند عدم تعيينه، تعود حاوية المتصفح لاستخدام agents.defaults.sandbox.docker.binds (متوافق مع الإصدارات السابقة).

{
  agents: {
    defaults: {
      sandbox: {
        docker: {
          binds: ["/home/user/source:/source:ro", "/var/run/docker.sock:/var/run/docker.sock"],
        },
      },
    },
    list: [
      {
        id: "build",
        sandbox: {
          docker: {
            binds: ["/mnt/cache:/cache:rw"],
          },
        },
      },
    ],
  },
}

• تتجاوز الروابط نظام ملفات sandbox: فهي تكشف مسارات المضيف وفق الوضع الذي تحدده (:ro أو :rw).
• ينبغي أن تكون التركيبات الحساسة (مثل docker.sock، والأسرار، ومفاتيح SSH) :ro ما لم تكن مطلوبة على الإطلاق.
• اجمع ذلك مع workspaceAccess: "ro" إذا كنت تحتاج فقط إلى وصول للقراءة إلى مساحة العمل؛ تبقى أوضاع الروابط مستقلة.
• راجع Sandbox vs Tool Policy vs Elevated لمعرفة كيفية تفاعل الروابط مع سياسة الأدوات والتنفيذ بصلاحيات مرتفعة.

​

الصور + الإعداد

scripts/sandbox-setup.sh

scripts/sandbox-browser-setup.sh

​

setupCommand (إعداد الحاوية لمرة واحدة)

• عام: agents.defaults.sandbox.docker.setupCommand
• لكل وكيل: agents.list[].sandbox.docker.setupCommand

• القيمة الافتراضية لـ docker.network هي "none" (بدون خروج)، لذا ستفشل تثبيتات الحزم.
• يمنع readOnlyRoot: true الكتابة؛ عيّن readOnlyRoot: false أو ابنِ صورة مخصصة.
• يجب أن يكون user هو root لتثبيت الحزم (احذف user أو عيّن user: "0:0").
• تنفيذ sandbox لا يرث process.env من المضيف. استخدم agents.defaults.sandbox.docker.env (أو صورة مخصصة) لمفاتيح واجهات برمجة التطبيقات الخاصة بالمهارات.

​

سياسة الأدوات + مخارج الهروب

• استخدم openclaw sandbox explain لفحص وضع sandbox الفعّال، وسياسة الأدوات، ومفاتيح تهيئة الإصلاح.
• راجع Sandbox vs Tool Policy vs Elevated لنموذج التفكير «لماذا تم الحظر؟». احرص على إبقائه مقفلًا.

​

تجاوزات متعددة الوكلاء

​

مثال تمكين حدّي

{
  agents: {
    defaults: {
      sandbox: {
        mode: "non-main",
        scope: "session",
        workspaceAccess: "none",
      },
    },
  },
}

​

مستندات ذات صلة

• Sandbox Configuration
• Multi-Agent Sandbox & Tools
• Security