OpenClaw执行命令与沙箱安全机制深度解析
AI帮你执行命令、读写文件,这些安全机制必须了解。
写在前面
OpenClaw最强大的功能之一,就是能让AI执行命令、操作文件。
但这也带来了安全问题:
- AI会不会执行危险命令?
- 如何防止AI被恶意利用?
- 如何控制AI能做什么、不能做什么?
今天我把OpenClaw的安全机制彻底讲清楚!
Exec工具是什么
Exec是OpenClaw的核心工具,让AI能执行Shell命令。
你可以理解为:AI获得了在你电脑上运行命令的能力。
能做什么
| 功能 | 说明 |
|---|---|
| 执行命令 | 运行各种Shell命令 |
| 后台运行 | 启动长时间任务 |
| PTY支持 | 支持交互式终端 |
| 环境变量 | 自定义运行环境 |
基本用法
{"tool": "exec","command": "ls -la"
}
后台运行
{"tool": "exec","command": "npm run build","yieldMs": 10000
}
执行位置(Host)
AI可以在不同位置执行命令:
| Host | 说明 | 安全性 |
|---|---|---|
| sandbox | 沙箱容器(默认) | 高 |
| gateway | 网关主机 | 中 |
| node | 远程节点 | 中 |
Sandbox(沙箱)
默认选项,在隔离容器中运行命令:
- 隔离的文件系统
- 有限的系统权限
- 网络受限
Gateway(网关)
在网关所在主机执行:
- 完整的系统权限
- 可以访问本机所有资源
- 需要额外授权
Node(节点)
在远程配对的设备上执行:
- 比如你的手机、另一台电脑
- 适合跨设备自动化
安全模式
OpenClaw提供三层安全模式:
1. deny(默认沙箱模式)
拒绝所有命令,除非明确允许。
{"tools": {"exec": {"security": "deny"}}
}
2. allowlist(推荐)
白名单模式,只允许指定的命令:
{"tools": {"exec": {"security": "allowlist"}}
}
3. full(高风险)
完全信任,允许所有命令:
{"tools": {"exec": {"security": "full"}}
}
⚠️ 警告:full模式非常危险,慎用!
审批机制
对于敏感操作,可以启用审批机制:
配置审批
{"tools": {"exec": {"ask": "on-miss"}}
}
审批模式
| 值 | 说明 |
|---|---|
| off | 不需要审批 |
| on-miss | 未命中白名单时审批 |
| always | 始终需要审批 |
审批流程
- AI发起命令执行请求
- 如果需要审批,返回
status: "approval-pending" - 你批准或拒绝
- 执行结果通过系统事件通知
批准命令
openclaw exec approve <审批ID>
拒绝命令
openclaw exec reject <审批ID>
Safe Bins(安全命令)
Safe Bins是预定义的安全命令列表,这些命令不需要审批:
内置Safe Bins
cat- 读取文件head- 查看文件头部tail- 查看文件尾部grep- 搜索ls- 列出目录
配置自定义Safe Bins
{"tools": {"exec": {"safeBins": ["git", "curl"]}}
}
限制参数
可以精细控制Safe Bins的参数:
{"tools": {"exec": {"safeBinProfiles": {"curl": {"allowedValueFlags": ["-s", "-L"]}}}}}
PATH处理
沙箱模式
在沙箱中运行命令时:
- 使用登录Shell(
sh -lc) - PATH可能受
/etc/profile影响 - 可以通过
pathPrepend追加目录
网关主机模式
在网关上执行时:
- 使用登录Shell的PATH
env.PATH覆盖被拒绝(安全考虑)- PATH受限:macOS默认
/opt/homebrew/bin,/usr/local/bin,/usr/bin,/bin
配置PATH
{"tools": {"exec": {"pathPrepend": ["/usr/local/bin", "~/bin"]}}
}
工作目录
默认工作目录
默认为当前工作区:~/.openclaw/workspace
指定工作目录
{"tool": "exec","command": "ls","workdir": "/path/to/dir"
}
超时设置
命令超时
默认超时1800秒(30分钟):
{"tool": "exec","command": "long-running-task","timeout": 3600
}
自动后台
超过指定时间自动转为后台运行:
{"tool": "exec","command": "build-project","yieldMs": 10000
}
PTY支持
PTY允许AI使用交互式终端:
{"tool": "exec","command": "interactive-app","pty": true
}
适用场景:
- 终端UI应用
- 需要输入的交互程序
- Vim/Emacs等编辑器
环境变量
自定义环境变量
{"tool": "exec","command": "echo $MY_VAR","env": {"MY_VAR": "hello"}
}
安全限制
在网关/节点执行时,以下环境变量被拒绝:
PATH(防止路径劫持)LD_*(Linux链接器变量)DYLD_*(macOS链接器变量)
进程管理
后台进程
启动后台进程:
{"tool": "exec","command": "server","background": true
}
轮询状态
{"tool": "process","action": "poll","sessionId": "进程ID"
}
发送按键
{"tool": "process","action": "send-keys","sessionId": "进程ID","keys": ["Enter"]
}
常用按键:
| 按键 | 说明 |
|---|---|
| Enter | 回车 |
| C-c | Ctrl+C |
| Up/Down | 上/下箭头 |
| C-d | Ctrl+D |
粘贴输入
{"tool": "process","action": "paste","sessionId": "进程ID","text": "要输入的文字"
}
完整配置示例
这是我的安全配置:
{"tools": {"exec": {"host": "sandbox","security": "allowlist","ask": "on-miss","pathPrepend": ["/usr/local/bin"],"safeBins": ["cat", "grep", "ls", "head", "tail"],"notifyOnExit": true,"approvalRunningNoticeMs": 10000}}
}
配置说明:
- 默认在沙箱中执行
- 白名单模式
- 未命中白名单时需要审批
- 预置PATH目录
- 允许少量安全命令
- 执行完成后通知
- 长时间运行时提醒
最佳实践
1. 保持沙箱模式
除非必要,始终使用sandbox模式:
{"tools": {"exec": {"host": "sandbox"}}
}
2. 使用审批机制
对于敏感操作启用审批:
{"tools": {"exec": {"ask": "always"}}
}
3. 限制PATH
防止AI访问危险目录:
{"tools": {"exec": {"pathPrepend": ["/usr/bin", "/bin"]}}
}
4. 审计日志
定期查看执行日志:
openclaw logs | grep exec
常见问题
Q: AI执行了危险命令怎么办?
- 立即停止网关
- 检查日志确认发生了什么
- 审查配置,加强安全限制
- 必要时重置环境
Q: 怎么允许特定命令?
添加到白名单或Safe Bins:
{"tools": {"exec": {"security": "allowlist"}}
}
Q: 沙箱和网关有什么区别?
- 沙箱:隔离环境,权限受限
- 网关:主机环境,权限完整
总结
OpenClaw的Exec工具非常强大,但安全至关重要:
- 默认沙箱 - 危险操作隔离
- 审批机制 - 敏感操作需批准
- Safe Bins - 安全命令预定义
- 白名单模式 - 精细控制权限
- 完整日志 - 审计追踪
了解这些安全机制,才能放心让AI帮你干活!
作者:棒棒金