一、沙箱核心定义

OpenClaw 沙箱是为AI智能体工具执行、代码运行、文件操作、终端命令提供的隔离安全执行环境；核心目的是权限管控、环境隔离，防止大模型越权操作、破坏宿主机系统、泄露本地数据，是OpenClaw的核心安全边界。

关键特性：网关主进程不进沙箱，仅高危工具调用被隔离执行。

二、底层核心构建原理

基础隔离依托Linux Namespaces + Cgroups，实现进程、网络、文件系统、资源配额隔离；

可叠加安全增强：文件路径黑名单、网络白名单、资源限额、权限分级、Seccomp 等；

设计为可插拔后端架构，支持切换不同隔离方案，不改动上层业务逻辑。

三、沙箱全部可选后端及定位

Docker（默认官方首选）

基于容器隔离，轻量启动快、性能好、运维简单；适合本地开发、中小型生产部署，隔离级别中等偏高。

OpenShell 原生轻量沙箱

无任何Docker/虚拟机依赖，纯进程+文件镜像隔离；适合低配置机器、Windows/Mac无Docker环境、快速原型开发，隔离级别中等。

SSH 远程沙箱

通过SSH对接远程Linux机器，所有操作远端执行；适合本地无权限、内网隔离、跨服务器运维、安全审计场景，隔离级别高。

MicroVM 微虚拟机（企业版）

基于Firecracker/Kata KVM硬件级虚拟化，隔离等级最高；适配政务、金融、等保三级等高安全合规场景，资源开销偏大。

OpenSandbox 云原生沙箱

基于K8s容器池化、Serverless架构；面向大规模多租户、SaaS化平台，支持弹性扩缩容、全链路审计。

四、各后端选型对比要点

• 追求简单通用、生产标配：选 Docker

• 无Docker、低资源本地环境：选 OpenShell

• 本地不落地、远程隔离审计：选 SSH

• 最高安全合规、政企等高敏感场景：选 MicroVM

• 云原生大规模、多租户SaaS：选 OpenSandbox

五、核心配置与运行模式

• 支持三种运行模式：off关闭、non-main仅非主会话隔离、always全量强制隔离；

• 可限制CPU/内存、禁用高危路径、限定外网访问域名，支持按Agent粒度独立隔离环境。

六、关键认知误区澄清

• 不是把整个OpenClaw装进容器/虚拟机，仅隔离工具执行环节；

• Docker只是默认后端，并非唯一选择，可根据环境、安全等级灵活替换；

• 沙箱是风险降级机制，不是绝对安全，高敏感业务仍需搭配权限白名单、人工审批。