Tool d'exécution
Exécutez des commandes shell dans l’espace de travail. execOpenClaw est une surface shell mutante : les commandes peuvent créer, modifier ou supprimer des fichiers partout où le système de fichiers de l’hôte ou du bac à sable sélectionné le permet. La désactivation des outils de système de fichiers d’OpenClaw tels que write, edit ou apply_patch ne rend pas exec en lecture seule.
Prend en charge l’exécution en premier plan et en arrière-plan via process. Si process n’est pas autorisé, exec s’exécute de manière synchrone et ignore yieldMs/background.
Les sessions d’arrière-plan sont délimitées par agent ; process ne voit que les sessions du même agent.
Paramètres
Section intitulée « Paramètres »Notes :
hostpar défaut estauto: bac à sable si le runtime du bac à sable est actif pour la session, sinon passerelle.hostn’accepte queauto,sandbox,gatewayounode. Ce n’est pas un sélecteur de nom d’hôte ; les valeurs ressemblant à des noms d’hôte sont rejetées avant l’exécution de la commande.autoest la stratégie de routage par défaut, pas un caractère générique.host=nodepar appel est autorisé depuisauto;host=gatewaypar appel n’est autorisé que lorsqu’aucun runtime de bac à sable n’est actif.tools.exec.modeest le paramètre de stratégie normalisé. Les valeurs sontdeny,allowlist,ask,autoetfull.autoexécute directement les correspondances déterministes de liste blanche/binaire sécurisé et achemine chaque cas restant d’approbation d’exécution via l’auto-réviseur natif d’OpenClaw avant de demander à un humain.ask/ask=alwaysdemande encore à un humain à chaque fois.- Sans configuration supplémentaire,
host=autofonctionne toujours “tel quel” : l’absence de bac à sable (sandbox) signifie qu’il est résolu engateway; un bac à sable actif signifie qu’il reste dans le bac à sable. elevateds’échappe du bac à sable vers le chemin d’hôte configuré :gatewaypar défaut, ounodelorsquetools.exec.host=node(ou que la session par défaut esthost=node). Il n’est disponible que lorsque l’accès élevé est activé pour la session/provider actuelle.- Les approbations
gateway/nodesont contrôlées par~/.openclaw/exec-approvals.json. nodenécessite un nœud jumelé (application compagnon ou hôte de nœud sans interface).- Si plusieurs nœuds sont disponibles, définissez
exec.nodeoutools.exec.nodepour en sélectionner un. exec host=nodeest le seul chemin d’exécution de shell pour les nœuds ; le wrapper obsolètenodes.runa été supprimé.timeouts’applique à l’exécutionsystem.runau premier plan, en arrière-plan,yieldMs, via la passerelle, dans le bac à sable et sur le nœud. Si omis, OpenClaw utilisetools.exec.timeoutSec;timeout: 0explicite désactive le délai d’expiration du processus d’exécution pour cet appel.- Sur les hôtes non-Windows, exec utilise
SHELLlorsqu’il est défini ; siSHELLestfish, il préfèrebash(oush) depuisPATHpour éviter les scripts incompatibles avec fish, puis revient àSHELLsi aucun n’existe. - Sur les hôtes Windows, exec privilégie la découverte de PowerShell 7 (
pwsh) (Program Files, ProgramW6432, puis PATH), puis revient à Windows PowerShell 5.1. - Sur les hôtes de passerelle non-Windows, les commandes exec bash et zsh utilisent un instantané de démarrage. OpenClaw capture les alias/fonctions sourçables et un petit ensemble d’environnement sécurisé à partir des fichiers de démarrage du shell dans
$OPENCLAW_STATE_DIR/cache/shell-snapshots/, puis source cet instantané avant chaque commande exec. Les variables ressemblant à des secrets sont exclues ; l’exécution dans le bac à sable et le nœud n’utilise pas cet instantané. DéfinissezOPENCLAW_EXEC_SHELL_SNAPSHOT=0dans l’environnement de processus du Gateway pour désactiver ce chemin d’instantané. - L’exécution sur l’hôte (
gateway/node) rejetteenv.PATHet les remplacements du chargeur (LD_*/DYLD_*) pour empêcher le détournement de binaire ou l’injection de code. - OpenClaw définit
OPENCLAW_SHELL=execdans l’environnement de la commande générée (y compris l’exécution PTY et bac à sable) afin que les règles de shell/profil puissent détecter le contexte de l’outil exec. openclaw channels loginest bloqué depuisexeccar il s’agit d’un flux d’authentification de canal interactif ; exécutez-le dans un terminal sur l’hôte de passerelle, ou utilisez l’outil de connexion natif du canal depuis le chat lorsqu’il en existe un.- Important : la mise en bac à sable est désactivée par défaut. Si la mise en bac à sable est désactivée,
host=autoimplicite est résolu engateway.host=sandboxexplicite échoue toujours de manière fermée au lieu de s’exécuter silencieusement sur l’hôte de passerelle. Activez la mise en bac à sable ou utilisezhost=gatewayavec des approbations. - Les vérifications préalables de script (pour les erreurs courantes de syntaxe de shell Python/Node) n’inspectent que les fichiers à l’intérieur de la limite effective
workdir. Si un chemin de script est résolu à l’extérieur deworkdir, la vérification préalable est ignorée pour ce fichier. - Pour les travaux de longue durée qui commencent maintenant, lancez-les une seule fois et comptez sur le réveil automatique à l’achèvement lorsqu’il est activé et que la commande émet une sortie ou échoue. Utilisez
processpour les journaux, le statut, la saisie ou l’intervention ; n’émulez pas la planification avec des boucles de sleep, des boucles de timeout ou des sondages répétés. - Pour le travail qui doit se produire plus tard ou selon une planification, utilisez cron au lieu des modèles de sleep/délai
exec.
tools.exec.notifyOnExit(par défaut : true) : lorsque true, les sessions d’exécution en arrière-plan mettent en file d’attente un événement système et demandent un signal de présence à la sortie.tools.exec.approvalRunningNoticeMs(par défaut : 10000) : émet une seule notification « running » lorsqu’une exécution soumise à approbation dure plus longtemps que cette durée (0 désactive).tools.exec.timeoutSec(par défaut : 1800) : délai d’expiration d’exécution par commande en secondes.timeoutpar appel le remplace ;timeout: 0par appel désactive le délai d’expiration du processus d’exécution.tools.exec.host(par défaut :auto; résout ensandboxlorsque le runtime sandbox est actif,gatewaysinon)tools.exec.security(par défaut :denypour sandbox,fullpour passerelle + nœud si non défini)tools.exec.ask(par défaut :off)- L’exécution hôte sans approbation est le paramètre par défaut pour la passerelle et le nœud. Si vous souhaitez le comportement d’approbations/liste blanche, serrez à la fois
tools.exec.*et~/.openclaw/exec-approvals.jsonde l’hôte ; voir Exec approvals. - YOLO provient des paramètres par défaut de la stratégie hôte (
security=full,ask=off), et non dehost=auto. Si vous souhaitez forcer le routage via la passerelle ou le nœud, définisseztools.exec.hostou utilisez/exec host=.... - En mode
security=fullplusask=off, l’exécution hôte suit directement la stratégie configurée ; il n’y a pas de couche supplémentaire de préfiltrage heuristique d’obfuscation de commande ou de rejet préalable de script. tools.exec.node(par défaut : non défini)tools.exec.strictInlineEval(par défaut : false) : lorsque true, les formulaires d’évaluation de l’interpréteur en ligne tels quepython -c,node -e,ruby -e,perl -e,php -r,lua -eetosascript -enécessitent une approbation du réviseur ou explicite. Dansmode=auto, le chemin d’approbation exec normal peut laisser l’auto-réviseur natif autoriser une commande ponctuelle à faible risque évident ; les appels directssystem.rundu nœud hôte nécessitent toujours une approbation explicite car ils ne peuvent pas transmettre la commande à un circuit d’approbation humaine. Si le réviseur le demande, la demande est transmise à un humain.allow-alwayspeut toujours rendre persistantes les invocations bénignes d’interpréteur/de script, mais les formulaires d’évaluation en ligne ne deviennent pas des règles d’autorisation durables.tools.exec.commandHighlighting(par défaut : false) : lorsque true, les invites d’approbation peuvent mettre en surbrillance les étendues de commande dérivées de l’analyseur dans le texte de commande. Définissez surtrueglobalement ou par agent pour activer la mise en surbrillance du texte de commande sans modifier la politique d’approbation exec.tools.exec.pathPrepend: liste des répertoires à ajouter au début dePATHpour les exécutions exec (passerelle + sandbox uniquement).tools.exec.safeBins: fichiers binaires sécurisés stdin uniquement qui peuvent s’exécuter sans entrées de liste d’autorisation explicites. Pour plus de détails sur le comportement, consultez Safe bins.tools.exec.safeBinTrustedDirs: répertoires explicites supplémentaires approuvés pour les vérifications de cheminsafeBins. Les entréesPATHne sont jamais automatiquement approuvées. Les valeurs par défaut intégrées sont/binet/usr/bin.tools.exec.safeBinProfiles: stratégie argv personnalisée optionnelle par fichier binaire sécurisé (minPositional,maxPositional,allowedValueFlags,deniedFlags).
Exemple :
{ tools: { exec: { pathPrepend: ["~/bin", "/opt/oss/bin"], }, },}Gestion du PATH
Section intitulée « Gestion du PATH »host=gateway: fusionne votrePATHde shell de connexion dans l’environnement exec. Les remplacements deenv.PATHsont rejetés pour l’exécution sur l’hôte. Le démon lui-même s’exécute toujours avec unPATHminimal :- macOS : macOS
/opt/homebrew/bin,/usr/local/bin,/usr/bin,/bin - Linux : Linux
/usr/local/bin,/usr/bin,/bin- Pour empêcher la configuration du shell utilisateur (comme
~/.zshenvou/etc/zshenv) de remplacer les chemins prioritaires lors du démarrage, les entréestools.exec.pathPrependsont ajoutées de manière sécurisée auPATHfinal à l’intérieur de la commande shell juste avant l’exécution.
- Pour empêcher la configuration du shell utilisateur (comme
- macOS : macOS
host=sandbox: exécutesh -lc(shell de connexion) à l’intérieur du conteneur, donc/etc/profilepeut réinitialiserPATHOpenClaw. OpenClaw préfixeenv.PATHaprès le chargement du profil via une variable d’environnement interne (pas d’interpolation de shell) ;tools.exec.pathPrepends’applique ici aussi.host=node: seuls les remplacements d’environnement non bloqués que vous envoyez sont transmis au nœud. Les remplacements deenv.PATHsont rejetés pour l’exécution sur l’hôte et ignorés par les hôtes de nœud. Si vous avez besoin d’entrées PATH supplémentaires sur un nœud, configurez l’environnement du service hôte de nœud (systemd/launchd) ou installez les outils dans des emplacements standard.
Liaison de nœud par agent (utilisez l’index de la liste des agents dans la configuration) :
openclaw config get agents.listopenclaw config set 'agents.list[0].tools.exec.node' "node-id-or-name"Interface de contrôle : l’onglet Nœuds inclut un petit panneau “Liaison de nœud Exec” pour les mêmes paramètres.
Remplacements de session (/exec)
Section intitulée « Remplacements de session (/exec) »Utilisez /exec pour définir des valeurs par défaut par session pour host, security, ask et node.
Envoyez /exec sans arguments pour afficher les valeurs actuelles.
Exemple :
/exec host=auto security=allowlist ask=on-miss node=mac-1Modèle d’autorisation
Section intitulée « Modèle d’autorisation »/exec n’est honoré que pour les expéditeurs autorisés (listes d’autorisation/appariement de channel plus commands.useAccessGroups).
Il met à jour uniquement l’état de session et n’écrit pas la configuration. Les expéditeurs de channel externes autorisés peuvent
définir ces valeurs par défaut de session. Les clients internes de la gateway/webchat ont besoin de operator.admin pour les rendre persistantes.
Pour désactiver définitivement exec, refusez-le via la stratégie de tool (tools.deny: ["exec"] ou par agent). Les approbations de l’hôte
s’appliquent toujours, sauf si vous définissez explicitement security=full et ask=off.
Approbations Exec (application compagnon / hôte de nœud)
Section intitulée « Approbations Exec (application compagnon / hôte de nœud) »Les agents en bac à sable (Sandboxed) peuvent exiger une approbation par requête avant que exec ne s’exécute sur la passerelle ou l’hôte de nœud.
Voir Exec approvals pour la stratégie, la liste d’autorisation et le flux de l’interface utilisateur.
Lorsque des approbations sont requises, l’outil exec renvoie immédiatement
status: "approval-pending" et un identifiant d’approbation. Une fois approuvée (ou refusée / expirée),
le Gateway émet des événements système de progression et d’exécution de commande uniquement pour les exécutions approuvées
(Exec running / Exec finished). Les approbations refusées ou expirées sont finales et ne réveillent
pas la session de l’agent avec un événement système de refus.
Sur les canaux avec des cartes/boutons d’approbation natifs, l’agent doit s’appuyer d’abord sur cette
interface utilisateur native et inclure uniquement une commande manuelle /approve lorsque le résultat
de l’outil indique explicitement que les approbations par chat sont indisponibles ou que l’approbation manuelle est le
seul chemin possible.
Liste d’autorisation + bins sûrs
Section intitulée « Liste d’autorisation + bins sûrs »L’application manuelle de la liste d’autorisation correspond aux globs de chemins binaires résolus et aux globs de noms de commande nus. Les noms nus ne correspondent qu’aux commandes invoquées via PATH, donc rg peut correspondre à /opt/homebrew/bin/rg lorsque la commande est rg, mais pas à ./rg ou /tmp/rg. Lorsque security=allowlist, les commandes shell sont automatiquement autorisées uniquement si chaque segment de pipeline est sur la liste d’autorisation ou un binaire sécurisé. Les chaînes (;, &&, ||) et les redirections sont rejetées en mode liste d’autorisation, sauf si chaque segment de niveau supérieur satisfait à la liste d’autorisation (y compris les bins sûrs). Les redirections restent non prises en charge. La confiance durable allow-always ne contourne pas cette règle : une commande chaînée exige toujours que chaque segment de niveau supérieur corresponde.
autoAllowSkills est un chemin de commodité distinct dans les approbations d’exécution. Ce n’est pas la même chose que les entrées manuelles de la liste d’autorisation de chemins. Pour une confiance explicite stricte, gardez autoAllowSkills désactivé.
Utilisez les deux contrôles pour des tâches différentes :
tools.exec.safeBins: petits filtres de flux stdin uniquement.tools.exec.safeBinTrustedDirs: rép supplémentaires de confiance explicite pour les chemins d’exécutables de bins sûrs.tools.exec.safeBinProfiles: stratégie argv explicite pour les bins sûrs personnalisés.- allowlist : confiance explicite pour les chemins d’exécutables.
Ne traitez pas safeBins comme une liste d’autorisation générique, et n’ajoutez pas de binaires d’interpréteur/d’exécution (par exemple python3, node, ruby, bash). Si vous en avez besoin, utilisez des entrées de liste d’autorisation explicites et gardez les invites d’approbation activées.
openclaw security audit avertit lorsque les entrées safeBins d’interpréteur/d’exécution manquent de profils explicites, et openclaw doctor --fix peut générer des entrées safeBinProfiles personnalisées manquantes.
openclaw security audit et openclaw doctor avertissent également lorsque vous ajoutez explicitement des binaires à comportement étendu tels que jq à safeBins.
Si vous autorisez explicitement les interpréteurs, activez tools.exec.strictInlineEval afin que les formulaires d’évaluation de code en ligne nécessitent toujours un examen ou une approbation explicite.
Pour les détails complets de la politique et des exemples, consultez Approbations Exec et Bins sûrs versus liste d’autorisation.
Exemples
Section intitulée « Exemples »Premier plan :
{ "tool": "exec", "command": "ls -la" }Arrière-plan + interrogation :
{"tool":"exec","command":"npm run build","yieldMs":1000}{"tool":"process","action":"poll","sessionId":"<id>"}L’interrogation est destinée au statut à la demande, et non aux boucles d’attente. Si le réveil automatique à l’achèvement est activé, la commande peut réveiller la session lorsqu’elle émet une sortie ou échoue.
Envoyer des touches (style tmux) :
{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["Enter"]}{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["C-c"]}{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["Up","Up","Enter"]}Soumettre (envoyer CR uniquement) :
{ "tool": "process", "action": "submit", "sessionId": "<id>" }Coller (entre crochets par défaut) :
{ "tool": "process", "action": "paste", "sessionId": "<id>", "text": "line1\nline2\n" }apply_patch
Section intitulée « apply_patch »apply_patch est un sous-outil de exec pour les modifications multi-fichiers structurées.
Il est activé par défaut pour les modèles OpenAI et OpenAI Codex. Utilisez la configuration uniquement lorsque vous souhaitez le désactiver ou le restreindre à des modèles spécifiques :
{ tools: { exec: { applyPatch: { workspaceOnly: true, allowModels: ["gpt-5.5"] }, }, },}Notes :
- Disponible uniquement pour les modèles OpenAI/OpenAI Codex.
- La stratégie d’outil s’applique toujours ;
allow: ["write"]autorise implicitementapply_patch. deny: ["write"]ne refuse pasapply_patch; refusezapply_patchexplicitement ou utilisezdeny: ["group:fs"]lorsque les écritures de correctifs doivent également être bloquées.- La configuration se trouve sous
tools.exec.applyPatch. tools.exec.applyPatch.enabledest défini par défaut surtrue; définissez-le surfalsepour désactiver le OpenAI pour les modèles OpenAI.tools.exec.applyPatch.workspaceOnlyest défini par défaut surtrue(limité à l’espace de travail). Définissez-le surfalseuniquement si vous souhaitez intentionnellement queapply_patchécrive ou supprime en dehors du répertoire de l’espace de travail.
Connexes
Section intitulée « Connexes »- Exec Approvals — portails d’approbation pour les commandes shell
- Sandboxing — exécution de commandes dans des environnements sandboxed
- Background Process — outil d’exécution et de processus longue durée
- Security — stratégie d’outil et accès élevé