夜雨聆风OpenClaw 中的沙箱(Sandbox) 是目前本地/桌面 AI Agent 最核心的安全机制之一,尤其在2026年初 OpenClaw 爆火后,几乎成了“本地 Agent 必装”的基础设施。
简单来说: OpenClaw 让 AI 可以真正帮你操作电脑(读写文件、执行命令、控制浏览器、发邮件、日程、写代码等),但这也意味着一旦模型失控、被 prompt injection、或被恶意插件利用,你的电脑就可能被搞崩。 沙箱就是给 AI 戴上的“紧箍咒”,把它的“手脚”限制在一个隔离的环境里。
OpenClaw 沙箱的核心实现(2026年主流版本)
目前官方主要用 Docker 容器 做沙箱(从 v2026.1.8 开始正式内置)。
常见模式(mode)选项:
"off" → 不使用沙箱,工具直接在宿主机执行(最方便,但最危险) "non-main" → 只对非主会话(sub-agent、多会话)开沙箱,主聊天仍直接跑(官方较推荐的折中默认值) "always" / "all" → 全部工具执行都走沙箱(最安全)
典型配置示例(安全起步推荐)
JSON
{ "agents": { "defaults": { "sandbox": { "enabled": true, "mode": "always", "docker": { "image": "openclaw/runtime:latest", // 或你自己 build 的镜像 "workspaceMount": "/home/user/workspace:/workspace:rw", // 谨慎给 rw "network": "restricted", // 限制网络 "capDrop": ["ALL"], // 去掉几乎所有权限 "browser": { "enabled": true, "autoStart": true } }, "tools": { "allow": ["read_file", "write_file", "edit_file", "browser_navigate"], "deny": ["exec_shell", "install_package", "rm_rf"] // 高危工具手动禁 } } } }}快速启用沙箱的步骤(Windows / macOS / Linux 通用)
确保已安装 Docker Desktop 并能正常运行 克隆 OpenClaw 源码(如果之前用 npm 一键装的没有源码) Bash
git clone https://github.com/openclaw/openclawcd openclaw/scripts构建沙箱镜像(一次就好) Linux/macOS: ./sandbox-setup.sh 或 bash sandbox-setup.sh Windows: .\sandbox-setup.ps1 编辑配置文件启用沙箱(见上面 json 示例) 重启 OpenClaw 服务
沙箱不是万能的,这些情况仍然有风险
沙箱逃逸(极少,但 Docker 本身有历史漏洞) Prompt 让 Agent 循环执行危险操作(需要工具白名单 + 人工确认机制) 你自己 mount 了宿主机重要目录到容器(/home、/etc、C:\ 等) 浏览器沙箱没开,但 Agent 用到了联网工具泄露了密钥
所以现在社区最常见的安全组合是:
Docker 沙箱 + 工具白名单 + 只读 workspace + 关键操作加人工确认(ACP 协议)
如果你正在用 OpenClaw 且还没开沙箱,强烈建议尽快打开,尤其是让它连微信/Telegram/企业微信的情况下。
有具体场景(比如想只读不写、或只给浏览器沙箱、或多 Agent 并发隔离)可以继续问,我可以给更细的配置。
