Tools
Công cụ thực thi
Chạy các lệnh shell trong workspace. exec là một bề mặt shell có thể thay đổi trạng thái: các lệnh có thể tạo, sửa hoặc xóa tệp ở bất cứ nơi nào host đã chọn hoặc hệ thống tệp sandbox cho phép. Việc tắt các công cụ hệ thống tệp của OpenClaw như write, edit hoặc apply_patch không làm cho exec trở thành chỉ đọc.
Hỗ trợ thực thi foreground + background thông qua process. Nếu process không được cho phép, exec chạy đồng bộ và bỏ qua yieldMs/background.
Các phiên background được giới hạn theo từng agent; process chỉ thấy các phiên từ cùng agent.
Tham số
commandstringrequiredLệnh shell cần chạy.
workdirstringdefault: cwdThư mục làm việc cho lệnh.
envobjectCác ghi đè môi trường dạng khóa/giá trị được hợp nhất lên trên môi trường kế thừa.
yieldMsnumberdefault: 10000Tự động đưa lệnh xuống background sau độ trễ này (ms).
backgroundbooleandefault: falseĐưa lệnh xuống background ngay lập tức thay vì chờ yieldMs.
timeoutnumberdefault: tools.exec.timeoutSecGhi đè thời gian chờ exec đã cấu hình cho lần gọi này. Chỉ đặt timeout: 0 khi lệnh cần chạy mà không có thời gian chờ tiến trình exec.
ptybooleandefault: falseChạy trong pseudo-terminal khi có sẵn. Dùng cho CLI chỉ hỗ trợ TTY, coding agent và giao diện người dùng terminal.
host'auto' | 'sandbox' | 'gateway' | 'node'default: autoNơi thực thi. auto phân giải thành sandbox khi runtime sandbox đang hoạt động và thành gateway trong các trường hợp khác.
security'deny' | 'allowlist' | 'full'Bị bỏ qua đối với các lệnh gọi công cụ thông thường. Bảo mật gateway / node được kiểm soát bởi
tools.exec.security và tệp phê duyệt host; chế độ nâng quyền chỉ có thể
buộc security=full khi operator cấp quyền nâng quyền một cách rõ ràng.
ask'off' | 'on-miss' | 'always'Chế độ hỏi nền tảng đến từ tools.exec.ask và các phê duyệt host.
Đối với các lệnh gọi mô hình có nguồn gốc từ kênh, ask theo từng lệnh gọi bị bỏ qua khi
chế độ hỏi host hiệu lực là off; nếu không, nó chỉ có thể siết chặt sang một
chế độ nghiêm ngặt hơn. Các caller nội bộ/API đáng tin cậy tạo công cụ exec với
giá trị ask rõ ràng sẽ không thay đổi.
nodestringID/tên Node khi host=node.
elevatedbooleandefault: falseYêu cầu chế độ nâng quyền — thoát khỏi sandbox tới đường dẫn host đã cấu hình. security=full chỉ bị buộc khi elevated phân giải thành full.
Ghi chú:
hostmặc định làauto: sandbox khi runtime sandbox đang hoạt động cho phiên, nếu không thì gateway.hostchỉ chấp nhậnauto,sandbox,gatewayhoặcnode. Nó không phải là bộ chọn hostname; các giá trị giống hostname bị từ chối trước khi lệnh chạy.autolà chiến lược định tuyến mặc định, không phải wildcard.host=nodetheo từng lệnh gọi được cho phép từauto;host=gatewaytheo từng lệnh gọi chỉ được cho phép khi không có runtime sandbox nào đang hoạt động.tools.exec.modelà núm chính sách đã chuẩn hóa. Các giá trị làdeny,allowlist,ask,autovàfull.autochạy trực tiếp các khớp allowlist/safe-bin xác định và định tuyến mọi trường hợp phê duyệt exec còn lại qua trình tự động review gốc của OpenClaw trước khi hỏi con người.ask/ask=alwaysvẫn hỏi con người mọi lần.- Khi không có cấu hình bổ sung,
host=autovẫn "chỉ hoạt động": không có sandbox nghĩa là nó phân giải thànhgateway; sandbox đang chạy nghĩa là nó vẫn ở trong sandbox. elevatedthoát khỏi sandbox tới đường dẫn host đã cấu hình: mặc định làgateway, hoặcnodekhitools.exec.host=node(hoặc mặc định phiên làhost=node). Nó chỉ khả dụng khi quyền truy cập nâng quyền được bật cho phiên/provider hiện tại.- Các phê duyệt
gateway/nodeđược kiểm soát bởi tệp phê duyệt host. nodeyêu cầu một node đã ghép cặp (ứng dụng companion hoặc host node headless).- Nếu có nhiều node, đặt
exec.nodehoặctools.exec.nodeđể chọn một node. exec host=nodelà đường dẫn thực thi shell duy nhất cho node; wrapper cũnodes.runđã bị xóa.timeoutáp dụng cho thực thi foreground, background,yieldMs, gateway, sandbox và nodesystem.run. Nếu bỏ qua, OpenClaw dùngtools.exec.timeoutSec;timeout: 0rõ ràng sẽ tắt thời gian chờ tiến trình exec cho lần gọi đó.- Trên host không phải Windows, exec dùng
SHELLkhi được đặt; nếuSHELLlàfish, nó ưu tiênbash(hoặcsh) từPATHđể tránh các script không tương thích với fish, rồi quay vềSHELLnếu không có cái nào tồn tại. - Trên host Windows, exec ưu tiên khám phá PowerShell 7 (
pwsh) (Program Files, ProgramW6432, rồi PATH), sau đó quay về Windows PowerShell 5.1. - Trên host gateway không phải Windows, các lệnh exec bash và zsh dùng snapshot khởi động. OpenClaw thu thập các
alias/function có thể source và một tập môi trường an toàn nhỏ từ các tệp khởi động shell vào
$OPENCLAW_STATE_DIR/cache/shell-snapshots/, rồi source snapshot đó trước mỗi lệnh exec. Các biến trông giống bí mật bị loại trừ; exec sandbox và node không dùng snapshot này. ĐặtOPENCLAW_EXEC_SHELL_SNAPSHOT=0trong môi trường tiến trình Gateway để tắt đường dẫn snapshot này. - Thực thi host (
gateway/node) từ chốienv.PATHvà các ghi đè loader (LD_*/DYLD_*) để ngăn chiếm quyền binary hoặc mã được chèn. - OpenClaw đặt
OPENCLAW_SHELL=exectrong môi trường lệnh được spawn (bao gồm thực thi PTY và sandbox) để các quy tắc shell/profile có thể phát hiện ngữ cảnh công cụ exec. - Đối với các lần chạy có nguồn gốc từ kênh, OpenClaw cũng phơi bày payload JSON định danh sender/chat hẹp trong
OPENCLAW_CHANNEL_CONTEXTkhi kênh đã cung cấp các id đó. openclaw channels loginbị chặn khỏiexecvì đây là luồng xác thực kênh tương tác; hãy chạy nó trong terminal trên host gateway, hoặc dùng công cụ đăng nhập gốc của kênh từ chat khi có.- Quan trọng: sandboxing tắt theo mặc định. Nếu sandboxing tắt,
host=autongầm định phân giải thànhgateway.host=sandboxrõ ràng vẫn fail closed thay vì âm thầm chạy trên host gateway. Hãy bật sandboxing hoặc dùnghost=gatewaykèm phê duyệt. - Các kiểm tra preflight script (cho các lỗi cú pháp shell Python/Node phổ biến) chỉ kiểm tra các tệp bên trong
ranh giới
workdirhiệu lực. Nếu đường dẫn script phân giải ra ngoàiworkdir, preflight bị bỏ qua cho tệp đó. - Với công việc chạy lâu bắt đầu ngay bây giờ, hãy khởi động một lần và dựa vào
đánh thức hoàn tất tự động khi nó được bật và lệnh phát ra output hoặc thất bại.
Dùng
processcho log, trạng thái, input hoặc can thiệp; không mô phỏng lập lịch bằng vòng lặp sleep, vòng lặp timeout hoặc polling lặp lại. - Với công việc cần xảy ra sau hoặc theo lịch, hãy dùng Cron thay vì
các mẫu sleep/delay bằng
exec.
Cấu hình
tools.exec.notifyOnExit(mặc định: true): khi true, các phiên exec đã đưa xuống background sẽ đưa một sự kiện hệ thống vào hàng đợi và yêu cầu Heartbeat khi thoát.tools.exec.approvalRunningNoticeMs(mặc định: 10000): phát một thông báo "đang chạy" duy nhất khi exec bị chặn bởi phê duyệt chạy lâu hơn mức này (0 để tắt).tools.exec.timeoutSec(mặc định: 1800): thời gian chờ exec mặc định theo từng lệnh, tính bằng giây.timeouttheo từng lệnh gọi ghi đè nó;timeout: 0theo từng lệnh gọi tắt thời gian chờ tiến trình exec.tools.exec.host(mặc định:auto; phân giải thànhsandboxkhi runtime sandbox đang hoạt động, nếu không thìgateway)tools.exec.security(mặc định:denycho sandbox,fullcho gateway + node khi chưa đặt)tools.exec.ask(mặc định:off)- Exec host không cần phê duyệt là mặc định cho gateway + node. Nếu bạn muốn hành vi phê duyệt/allowlist, hãy siết chặt cả
tools.exec.*và tệp phê duyệt host; xem Phê duyệt exec. - YOLO đến từ mặc định chính sách host (
security=full,ask=off), không phải từhost=auto. Nếu bạn muốn buộc định tuyến gateway hoặc node, đặttools.exec.hosthoặc dùng/exec host=.... - Trong chế độ
security=fullcộng vớiask=off, exec host tuân theo trực tiếp chính sách đã cấu hình; không có lớp prefilter heuristic bổ sung để phát hiện làm rối lệnh hoặc lớp từ chối script-preflight. tools.exec.node(mặc định: chưa đặt)tools.exec.strictInlineEval(mặc định: false): khi true, các dạng eval interpreter inline nhưpython -c,node -e,ruby -e,perl -e,php -r,lua -evàosascript -eyêu cầu reviewer hoặc phê duyệt rõ ràng. Trongmode=auto, đường dẫn phê duyệt exec thông thường có thể cho phép trình tự động review gốc chấp nhận một lệnh một lần rõ ràng có rủi ro thấp; các lệnh gọisystem.runtrực tiếp trên node-host vẫn yêu cầu phê duyệt rõ ràng vì chúng không thể chuyển lệnh cho tuyến phê duyệt của con người. Nếu reviewer yêu cầu, yêu cầu sẽ chuyển tới con người.allow-alwaysvẫn có thể lưu lâu dài các lệnh gọi interpreter/script lành tính, nhưng các dạng inline-eval không trở thành quy tắc cho phép bền vững.tools.exec.commandHighlighting(mặc định: false): khi true, lời nhắc phê duyệt có thể tô sáng các đoạn lệnh do parser suy ra trong văn bản lệnh. Đặt thànhtruetoàn cục hoặc theo từng agent để bật tô sáng văn bản lệnh mà không thay đổi chính sách phê duyệt exec.tools.exec.pathPrepend: danh sách thư mục cần thêm vào đầuPATHcho các lần chạy exec (chỉ gateway + sandbox).tools.exec.safeBins: các binary an toàn chỉ dùng stdin có thể chạy mà không cần mục allowlist rõ ràng. Để biết chi tiết hành vi, xem Binary an toàn.tools.exec.safeBinTrustedDirs: các thư mục rõ ràng bổ sung được tin cậy cho kiểm tra đường dẫnsafeBins. Các mụcPATHkhông bao giờ được tự động tin cậy. Mặc định tích hợp là/binvà/usr/bin.tools.exec.safeBinProfiles: chính sách argv tùy chỉnh tùy chọn theo từng safe bin (minPositional,maxPositional,allowedValueFlags,deniedFlags).
Ví dụ:
{ tools: { exec: { pathPrepend: ["~/bin", "/opt/oss/bin"], }, },}Xử lý PATH
host=gateway: hợp nhấtPATHcủa login-shell của bạn vào môi trường exec. Các ghi đèenv.PATHbị từ chối đối với thực thi host. Bản thân daemon vẫn chạy vớiPATHtối thiểu:- macOS:
/opt/homebrew/bin,/usr/local/bin,/usr/bin,/bin - Linux:
/usr/local/bin,/usr/bin,/bin- Để ngăn cấu hình shell của người dùng (như
~/.zshenvhoặc/etc/zshenv) ghi đè các đường dẫn ưu tiên trong quá trình khởi động, các mụctools.exec.pathPrependđược thêm an toàn vào đầuPATHcuối cùng bên trong lệnh shell ngay trước khi thực thi.
- Để ngăn cấu hình shell của người dùng (như
- macOS:
host=sandbox: chạysh -lc(login shell) bên trong container, vì vậy/etc/profilecó thể đặt lạiPATH. OpenClaw thêmenv.PATHvào đầu sau khi source profile thông qua một biến env nội bộ (không nội suy shell);tools.exec.pathPrependcũng áp dụng ở đây.host=node: chỉ các ghi đè env không bị chặn mà bạn truyền vào mới được gửi tới node. Các ghi đèenv.PATHbị từ chối đối với thực thi host và bị host node bỏ qua. Nếu bạn cần thêm mục PATH trên một node, hãy cấu hình môi trường dịch vụ host node (systemd/launchd) hoặc cài công cụ vào các vị trí chuẩn.
Liên kết node theo từng agent (dùng chỉ mục danh sách agent trong cấu hình):
openclaw config get agents.listopenclaw config set 'agents.list[0].tools.exec.node' "node-id-or-name"Control UI: tab Nodes có một bảng nhỏ "Liên kết node exec" cho cùng các cài đặt.
Ghi đè phiên (/exec)
Dùng /exec để đặt mặc định theo từng phiên cho host, security, ask và node.
Gửi /exec không có đối số để hiển thị các giá trị hiện tại.
Ví dụ:
/exec host=auto security=allowlist ask=on-miss node=mac-1Mô hình ủy quyền
/exec chỉ được chấp nhận cho người gửi được ủy quyền (allowlist/ghép đôi kênh cộng với commands.useAccessGroups).
Nó chỉ cập nhật trạng thái phiên và không ghi cấu hình. Người gửi kênh bên ngoài được ủy quyền có thể
đặt các mặc định phiên này. Các client gateway/webchat nội bộ cần operator.admin để lưu cố định chúng.
Để tắt cứng exec, hãy từ chối nó qua chính sách công cụ (tools.deny: ["exec"] hoặc theo từng agent). Phê duyệt của host
vẫn áp dụng trừ khi bạn đặt rõ ràng security=full và ask=off.
Phê duyệt exec (ứng dụng đồng hành / Node host)
Agent trong sandbox có thể yêu cầu phê duyệt theo từng yêu cầu trước khi exec chạy trên gateway hoặc Node host.
Xem Phê duyệt exec để biết chính sách, allowlist và luồng UI.
Khi cần phê duyệt, công cụ exec trả về ngay lập tức với
status: "approval-pending" và một id phê duyệt. Sau khi được phê duyệt (hoặc bị từ chối / hết thời gian chờ),
Gateway chỉ phát ra sự kiện hệ thống về tiến trình và hoàn tất lệnh cho các lượt chạy đã được phê duyệt
(Exec running / Exec finished). Các phê duyệt bị từ chối hoặc hết thời gian chờ là trạng thái kết thúc và không
đánh thức phiên agent bằng sự kiện hệ thống từ chối.
Trên các kênh có thẻ/nút phê duyệt gốc, agent nên dựa vào
UI gốc đó trước và chỉ đưa vào lệnh /approve thủ công khi kết quả
công cụ nói rõ rằng phê duyệt qua chat không khả dụng hoặc phê duyệt thủ công là
đường dẫn duy nhất.
Allowlist + binary an toàn
Việc thực thi allowlist thủ công khớp các glob đường dẫn binary đã phân giải và các glob tên lệnh trần.
Tên trần chỉ khớp các lệnh được gọi qua PATH, vì vậy rg có thể khớp
/opt/homebrew/bin/rg khi lệnh là rg, nhưng không khớp ./rg hoặc /tmp/rg.
Khi security=allowlist, lệnh shell chỉ được tự động cho phép nếu mọi phân đoạn pipeline
đều nằm trong allowlist hoặc là binary an toàn. Việc nối lệnh (;, &&, ||) và chuyển hướng
bị từ chối ở chế độ allowlist trừ khi mọi phân đoạn cấp cao nhất thỏa mãn
allowlist (bao gồm binary an toàn). Chuyển hướng vẫn chưa được hỗ trợ.
Niềm tin lâu dài allow-always không bỏ qua quy tắc đó: một lệnh được nối vẫn yêu cầu mọi
phân đoạn cấp cao nhất phải khớp.
autoAllowSkills là một đường dẫn tiện lợi riêng trong phê duyệt exec. Nó không giống với
các mục allowlist đường dẫn thủ công. Để có niềm tin tường minh nghiêm ngặt, hãy giữ autoAllowSkills bị tắt.
Dùng hai cơ chế kiểm soát cho các công việc khác nhau:
tools.exec.safeBins: các bộ lọc luồng nhỏ, chỉ dùng stdin.tools.exec.safeBinTrustedDirs: các thư mục tin cậy bổ sung tường minh cho đường dẫn thực thi của binary an toàn.tools.exec.safeBinProfiles: chính sách argv tường minh cho binary an toàn tùy chỉnh.- allowlist: niềm tin tường minh cho đường dẫn thực thi.
Không xem safeBins là allowlist chung, và không thêm binary trình thông dịch/runtime (ví dụ python3, node, ruby, bash). Nếu bạn cần chúng, hãy dùng các mục allowlist tường minh và giữ bật lời nhắc phê duyệt.
openclaw security audit cảnh báo khi các mục safeBins là trình thông dịch/runtime thiếu profile tường minh, và openclaw doctor --fix có thể scaffold các mục safeBinProfiles tùy chỉnh còn thiếu.
openclaw security audit và openclaw doctor cũng cảnh báo khi bạn thêm tường minh các binary có hành vi rộng như jq trở lại vào safeBins.
Nếu bạn allowlist tường minh các trình thông dịch, hãy bật tools.exec.strictInlineEval để các dạng eval code nội tuyến vẫn yêu cầu reviewer hoặc phê duyệt tường minh.
Để biết đầy đủ chi tiết chính sách và ví dụ, xem Phê duyệt exec và Binary an toàn so với allowlist.
Ví dụ
Tiền cảnh:
{ "tool": "exec", "command": "ls -la" }Chạy nền + thăm dò:
{"tool":"exec","command":"npm run build","yieldMs":1000}{"tool":"process","action":"poll","sessionId":"<id>"}Thăm dò dùng để xem trạng thái theo yêu cầu, không phải vòng lặp chờ. Nếu đánh thức khi hoàn tất tự động được bật, lệnh có thể đánh thức phiên khi nó phát ra đầu ra hoặc thất bại.
Gửi phím (kiểu tmux):
{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["Enter"]}{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["C-c"]}{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["Up","Up","Enter"]}Submit (chỉ gửi CR):
{ "tool": "process", "action": "submit", "sessionId": "<id>" }Dán (mặc định dùng bracketed paste):
{ "tool": "process", "action": "paste", "sessionId": "<id>", "text": "line1\nline2\n" }apply_patch
apply_patch là công cụ con của exec cho các chỉnh sửa có cấu trúc trên nhiều tệp.
Nó được bật mặc định cho các mô hình OpenAI và OpenAI Codex. Chỉ dùng cấu hình
khi bạn muốn tắt nó hoặc giới hạn nó cho các mô hình cụ thể:
{ tools: { exec: { applyPatch: { workspaceOnly: true, allowModels: ["gpt-5.5"] }, }, },}Ghi chú:
- Chỉ khả dụng cho các mô hình OpenAI/OpenAI Codex.
- Chính sách công cụ vẫn áp dụng;
allow: ["write"]ngầm cho phépapply_patch. deny: ["write"]không từ chốiapply_patch; hãy từ chốiapply_patchtường minh hoặc dùngdeny: ["group:fs"]khi các thao tác ghi bằng patch cũng cần bị chặn.- Cấu hình nằm dưới
tools.exec.applyPatch. tools.exec.applyPatch.enabledmặc định làtrue; đặt thànhfalseđể tắt công cụ cho các mô hình OpenAI.tools.exec.applyPatch.workspaceOnlymặc định làtrue(nằm trong workspace). Chỉ đặt thànhfalsenếu bạn cố ý muốnapply_patchghi/xóa bên ngoài thư mục workspace.
Liên quan
- Phê duyệt exec — cổng phê duyệt cho lệnh shell
- Sandboxing — chạy lệnh trong môi trường sandbox
- Tiến trình nền — exec chạy lâu và công cụ process
- Bảo mật — chính sách công cụ và quyền truy cập nâng cao