OpenClaw Exec 工具指南：Shell 命令执行、沙箱安全与审批机制 2026

Exec 工具让 AI Agent 能够在工作区执行 Shell 命令，支持前台/后台运行、PTY 终端、远程节点执行，并内置完整的安全审批机制。

核心参数

参数	说明	默认值
`command`	要执行的命令（必填）	—
`workdir`	工作目录	cwd
`env`	环境变量覆盖（键值对）	—
`yieldMs`	自动转后台的等待时间（毫秒）	10000
`background`	立即后台运行	false
`timeout`	超时秒数（超时后杀进程）	1800
`pty`	在伪终端（PTY）中运行	false
`host`	执行位置（sandbox/gateway/node）	sandbox
`security`	安全模式（deny/allowlist/full）	—
`ask`	审批提示模式（off/on-miss/always）	on-miss
`node`	节点 ID/名称（host=node 时）	—
`elevated`	请求提升权限	false

三种执行位置

host=sandbox（默认）

在 Docker 沙箱中执行，与宿主机完全隔离：

json

{
  "tool": "exec",
  "command": "npm run build",
  "host": "sandbox"
}

⚠️ 沙箱默认关闭。未启用沙箱时，host=sandbox 不会静默降级到 gateway，而是直接报错。请明确启用沙箱或改用 host=gateway。

host=gateway

在 Gateway 宿主机上执行，受审批机制管控：

bash

/exec host=gateway security=allowlist ask=on-miss

host=node

在已配对的远程节点上执行：

bash

/exec host=node security=allowlist node=mac-1

前台与后台执行

前台执行（等待完成）：

json

{"tool": "exec", "command": "ls -la"}

后台执行（立即返回 session ID）：

json

{"tool": "exec", "command": "npm run build", "yieldMs": 1000}

轮询后台进程：

json

{"tool": "process", "action": "poll", "sessionId": "<id>"}

发送按键（tmux 风格）：

json

{"tool": "process", "action": "send-keys", "sessionId": "<id>", "keys": ["Enter"]}
{"tool": "process", "action": "send-keys", "sessionId": "<id>", "keys": ["C-c"]}

粘贴文本（带括号保护）：

json

{"tool": "process", "action": "paste", "sessionId": "<id>", "text": "line1\nline2\n"}

PTY 模式

需要终端 UI 的命令（如 vim、coding agents）用 pty: true：

json

{"tool": "exec", "command": "htop", "pty": true}

PATH 处理规则

host=gateway：合并你的 login-shell PATH，但拒绝 env.PATH 覆盖
host=sandbox：通过 sh -lc 运行，支持 tools.exec.pathPrepend 配置
host=node：同样拒绝 env.PATH 覆盖，需要通过 systemd/launchd 环境配置

预置额外 PATH（适用于 gateway 和 sandbox）：

json

{
  "tools": {
    "exec": {
      "pathPrepend": ["~/bin", "/opt/oss/bin"]
    }
  }
}

安全与审批机制

三种安全模式

模式	说明
`deny`	拒绝所有执行
`allowlist`	仅允许明确许可的二进制路径
`full`	允许所有命令（高危！）

Allowlist 管理

bash

# 添加到 allowlist
openclaw approvals allowlist add "/usr/bin/git"
openclaw approvals allowlist add --node mac-1 "/usr/bin/uname"

# 查看当前 allowlist
openclaw approvals allowlist list

Safe Bins（stdin 安全过滤器）

Safe Bins 是专门为 stdin 流过滤工具设计的白名单（如 grep、jq、awk）：

json

{
  "tools": {
    "exec": {
      "safeBins": ["grep", "jq", "awk", "sed"],
      "safeBinTrustedDirs": ["/usr/local/bin"]
    }
  }
}

⚠️ 不要把解释器（python3、node、bash）加入 safeBins，这会绕过安全检查。

Telegram 审批工作流

启用 Telegram 作为审批客户端：

json

{
  "channels": {
    "telegram": {
      "execApprovals": {
        "enabled": true,
        "approvers": ["123456789"],
        "target": "dm"
      }
    }
  }
}

审批流程：

Agent 执行需要审批的命令 → 状态变为 approval-pending
通过 Telegram 收到审批请求
点击批准/拒绝
Gateway 发送 Exec finished / Exec denied 系统事件

会话级覆盖（/exec）

临时修改当前 Session 的执行配置：

bash

# 切换到 gateway 执行，allowlist 模式
/exec host=gateway security=allowlist ask=on-miss node=mac-1

# 查看当前配置
/exec

注意：/exec 只对授权发送者有效，只修改 session 状态，不写入配置文件。

apply_patch（实验性）

apply_patch 是 exec 的子工具，用于结构化多文件编辑（仅限 OpenAI/Codex 模型）：

json

{
  "tools": {
    "exec": {
      "applyPatch": {
        "enabled": true,
        "workspaceOnly": true,
        "allowModels": ["gpt-5.2"]
      }
    }
  }
}

完整配置示例

json

{
  "tools": {
    "exec": {
      "host": "gateway",
      "security": "allowlist",
      "ask": "on-miss",
      "node": "mac-1",
      "pathPrepend": ["~/bin"],
      "notifyOnExit": true,
      "approvalRunningNoticeMs": 10000,
      "safeBins": ["grep", "jq"],
      "safeBinTrustedDirs": ["/usr/local/bin"]
    }
  }
}

原文：Exec Tool - OpenClaw | 来源：OpenClaw 官方文档

OpenClaw Exec 工具完全指南：Shell 命令执行、沙箱安全与审批机制

核心参数

三种执行位置

host=sandbox（默认）

host=gateway

host=node

前台与后台执行

PTY 模式

PATH 处理规则

安全与审批机制

三种安全模式

Allowlist 管理

Safe Bins（stdin 安全过滤器）

Telegram 审批工作流

会话级覆盖（/exec）

apply_patch（实验性）

完整配置示例

相关文章推荐

核心参数#

三种执行位置#

host=sandbox（默认）#

host=gateway#

host=node#

前台与后台执行#

PTY 模式#

PATH 处理规则#

安全与审批机制#

三种安全模式#

Allowlist 管理#

Safe Bins（stdin 安全过滤器）#

Telegram 审批工作流#

会话级覆盖（/exec）#

apply_patch（实验性）#

完整配置示例#

相关文章推荐

核心参数

三种执行位置

host=sandbox（默认）

host=gateway

host=node

前台与后台执行

PTY 模式

PATH 处理规则

安全与审批机制

三种安全模式

Allowlist 管理

Safe Bins（stdin 安全过滤器）

Telegram 审批工作流

会话级覆盖（/exec）

apply_patch（实验性）

完整配置示例