14 KiB
| read_when | summary | title | x-i18n | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Uso del tool exec, modalità stdin e supporto TTY | Tool exec |
|
Tool exec
Esegui comandi shell nel workspace. Supporta esecuzione in foreground + background tramite process.
Se process non è consentito, exec viene eseguito in modo sincrono e ignora yieldMs/background.
Le sessioni in background hanno ambito per agent; process vede solo le sessioni dello stesso agent.
Parametri
command(obbligatorio)workdir(predefinito: cwd)env(override chiave/valore)yieldMs(predefinito 10000): passa automaticamente in background dopo il ritardobackground(bool): passa immediatamente in backgroundtimeout(secondi, predefinito 1800): termina alla scadenzapty(bool): esegui in uno pseudo-terminal quando disponibile (CLI solo TTY, agent di coding, UI terminali)host(auto | sandbox | gateway | node): dove eseguiresecurity(deny | allowlist | full): modalità di enforcement pergateway/nodeask(off | on-miss | always): prompt di approvazione pergateway/nodenode(string): id/nome del node perhost=nodeelevated(bool): richiede modalità elevata (esce dalla sandbox verso il percorso host configurato);security=fullviene forzato solo quando elevated si risolve infull
Note:
hostha come valore predefinitoauto: sandbox quando il runtime sandbox è attivo per la sessione, altrimenti gateway.autoè la strategia di instradamento predefinita, non un wildcard.host=nodeper chiamata è consentito daauto;host=gatewayper chiamata è consentito solo quando non è attivo alcun runtime sandbox.- Senza configurazione aggiuntiva,
host=autocontinua a “funzionare e basta”: senza sandbox si risolve ingateway; con una sandbox attiva resta nella sandbox. elevatedesce dalla sandbox verso il percorso host configurato:gatewayper impostazione predefinita, oppurenodequandotools.exec.host=node(o quando il valore predefinito della sessione èhost=node). È disponibile solo quando l'accesso elevato è abilitato per la sessione/provider corrente.- Le approvazioni
gateway/nodesono controllate da~/.openclaw/exec-approvals.json. noderichiede un node associato (app companion o host node headless).- Se sono disponibili più node, imposta
exec.nodeotools.exec.nodeper selezionarne uno. exec host=nodeè l'unico percorso di esecuzione shell per i node; il wrapper legacynodes.runè stato rimosso.- Sugli host non Windows, exec usa
SHELLse impostata; seSHELLèfish, preferiscebash(osh) daPATHper evitare script incompatibili con fish, poi torna aSHELLse nessuno dei due esiste. - Sugli host Windows, exec preferisce individuare PowerShell 7 (
pwsh) (Program Files, ProgramW6432, poi PATH), poi torna a Windows PowerShell 5.1. - L'esecuzione host (
gateway/node) rifiutaenv.PATHe gli override del loader (LD_*/DYLD_*) per impedire dirottamento di binari o codice iniettato. - OpenClaw imposta
OPENCLAW_SHELL=execnell'ambiente del comando avviato (inclusi PTY ed esecuzione sandbox) così le regole di shell/profile possono rilevare il contesto del tool exec. - Importante: il sandboxing è disattivato per impostazione predefinita. Se il sandboxing è disattivato,
host=autoimplicito si risolve ingateway.host=sandboxesplicito continua però a fallire in modo chiuso invece di eseguire silenziosamente sull'host gateway. Abilita il sandboxing oppure usahost=gatewaycon approvazioni. - I controlli preflight degli script (per comuni errori di sintassi shell Python/Node) ispezionano solo i file dentro il
confine effettivo di
workdir. Se un percorso script viene risolto fuori daworkdir, il preflight viene saltato per quel file. - Per lavori di lunga durata che iniziano ora, avviali una sola volta e affidati al risveglio
automatico al completamento quando è abilitato e il comando produce output o fallisce.
Usa
processper log, stato, input o intervento; non emulare la schedulazione con loop di sleep, loop di timeout o polling ripetuto. - Per lavori che devono avvenire più tardi o secondo una pianificazione, usa Cron invece di
pattern
execbasati su sleep/delay.
Configurazione
tools.exec.notifyOnExit(predefinito: true): quando true, le sessioni exec passate in background accodano un evento di sistema e richiedono un Heartbeat all'uscita.tools.exec.approvalRunningNoticeMs(predefinito: 10000): emette un singolo avviso “running” quando un exec con gating di approvazione dura più di questo tempo (0 disabilita).tools.exec.host(predefinito:auto; si risolve insandboxquando il runtime sandbox è attivo, altrimentigateway)tools.exec.security(predefinito:denyper sandbox,fullper gateway + node quando non impostato)tools.exec.ask(predefinito:off)- L'exec host senza approvazione è il valore predefinito per gateway + node. Se vuoi comportamento con approvazioni/allowlist, restringi sia
tools.exec.*sia la policy host~/.openclaw/exec-approvals.json; vedi Exec approvals. - YOLO deriva dai valori predefiniti della policy host (
security=full,ask=off), non dahost=auto. Se vuoi forzare l'instradamento verso gateway o node, impostatools.exec.hostoppure usa/exec host=.... - In modalità
security=fullpiùask=off, l'exec host segue direttamente la policy configurata; non esiste un ulteriore livello euristico di prefilter per offuscamento dei comandi o di rifiuto del preflight degli script. tools.exec.node(predefinito: non impostato)tools.exec.strictInlineEval(predefinito: false): quando true, le forme inline di eval dell'interprete comepython -c,node -e,ruby -e,perl -e,php -r,lua -eeosascript -erichiedono sempre approvazione esplicita.allow-alwayspuò ancora mantenere invocazioni innocue di interprete/script, ma le forme inline-eval continuano a richiedere prompt ogni volta.tools.exec.pathPrepend: elenco di directory da anteporre aPATHper le esecuzioni exec (solo gateway + sandbox).tools.exec.safeBins: binari sicuri solo-stdin che possono essere eseguiti senza voci esplicite nella allowlist. Per i dettagli di comportamento, vedi Safe bins.tools.exec.safeBinTrustedDirs: directory esplicite aggiuntive considerate attendibili per i controlli del percorso eseguibile deisafeBins. Le vociPATHnon sono mai considerate attendibili automaticamente. I valori predefiniti integrati sono/bine/usr/bin.tools.exec.safeBinProfiles: policy argv personalizzata facoltativa per safe bin (minPositional,maxPositional,allowedValueFlags,deniedFlags).
Esempio:
{
tools: {
exec: {
pathPrepend: ["~/bin", "/opt/oss/bin"],
},
},
}
Gestione di PATH
host=gateway: unisce il tuoPATHdella login shell nell'ambiente exec. Gli override dienv.PATHvengono rifiutati per l'esecuzione host. Il daemon stesso continua però a essere eseguito con unPATHminimo:- macOS:
/opt/homebrew/bin,/usr/local/bin,/usr/bin,/bin - Linux:
/usr/local/bin,/usr/bin,/bin
- macOS:
host=sandbox: eseguesh -lc(login shell) dentro il container, quindi/etc/profilepuò reimpostarePATH. OpenClaw anteponeenv.PATHdopo il sourcing del profilo tramite una variabile env interna (senza interpolazione della shell); anchetools.exec.pathPrependsi applica qui.host=node: solo gli override env non bloccati che passi vengono inviati al node. Gli overrideenv.PATHvengono rifiutati per l'esecuzione host e ignorati dagli host node. Se hai bisogno di ulteriori voci PATH su un node, configura l'ambiente del servizio host node (systemd/launchd) oppure installa i tool in posizioni standard.
Binding per-agent del node (usa l'indice dell'elenco agent nella configurazione):
openclaw config get agents.list
openclaw config set agents.list[0].tools.exec.node "node-id-or-name"
UI di controllo: la scheda Nodes include un piccolo pannello “Exec node binding” per le stesse impostazioni.
Override di sessione (/exec)
Usa /exec per impostare valori predefiniti per-sessione per host, security, ask e node.
Invia /exec senza argomenti per mostrare i valori correnti.
Esempio:
/exec host=auto security=allowlist ask=on-miss node=mac-1
Modello di autorizzazione
/exec viene rispettato solo per mittenti autorizzati (allowlist/pairing del canale più commands.useAccessGroups).
Aggiorna solo lo stato della sessione e non scrive la configurazione. Per disabilitare in modo rigido exec, negalo tramite
policy del tool (tools.deny: ["exec"] o per-agent). Le approvazioni host continuano ad applicarsi a meno che tu non imposti esplicitamente
security=full e ask=off.
Exec approvals (app companion / host node)
Gli agent in sandbox possono richiedere approvazione per richiesta prima che exec venga eseguito sull'host gateway o node.
Vedi Exec approvals per policy, allowlist e flusso UI.
Quando sono richieste approvazioni, il tool exec restituisce immediatamente
status: "approval-pending" e un ID di approvazione. Una volta approvato (o negato / scaduto),
il Gateway emette eventi di sistema (Exec finished / Exec denied). Se il comando è ancora
in esecuzione dopo tools.exec.approvalRunningNoticeMs, viene emesso un singolo avviso Exec running.
Nei canali con card/pulsanti di approvazione nativi, l'agent dovrebbe affidarsi prima a quella
UI nativa e includere un comando manuale /approve solo quando il risultato
del tool dice esplicitamente che le approvazioni via chat non sono disponibili o che l'approvazione manuale è l'unico
percorso possibile.
Allowlist + safe bins
L'enforcement manuale della allowlist corrisponde solo ai percorsi binari risolti (nessuna corrispondenza per basename). Quando
security=allowlist, i comandi shell vengono auto-consentiti solo se ogni segmento della pipeline è
presente nella allowlist o è un safe bin. Concatenamenti (;, &&, ||) e redirection vengono rifiutati in
modalità allowlist a meno che ogni segmento di primo livello soddisfi la allowlist (inclusi i safe bin).
Le redirection restano non supportate.
La fiducia duratura allow-always non aggira questa regola: un comando concatenato continua a richiedere che ogni
segmento di primo livello corrisponda.
autoAllowSkills è un percorso di convenience separato nelle exec approvals. Non è la stessa cosa delle
voci manuali di allowlist dei percorsi. Per fiducia esplicita rigorosa, mantieni autoAllowSkills disabilitato.
Usa i due controlli per lavori diversi:
tools.exec.safeBins: piccoli filtri stream solo-stdin.tools.exec.safeBinTrustedDirs: directory esplicite aggiuntive attendibili per i percorsi eseguibili dei safe bin.tools.exec.safeBinProfiles: policy argv esplicita per safe bin personalizzati.- allowlist: fiducia esplicita per i percorsi eseguibili.
Non trattare safeBins come una allowlist generica e non aggiungere binari di interpreti/runtime (ad esempio python3, node, ruby, bash). Se ne hai bisogno, usa voci esplicite di allowlist e mantieni abilitati i prompt di approvazione.
openclaw security audit avvisa quando nelle voci safeBins di interpreti/runtime mancano profili espliciti, e openclaw doctor --fix può creare le voci personalizzate mancanti di safeBinProfiles.
openclaw security audit e openclaw doctor avvisano anche quando aggiungi esplicitamente di nuovo binari dal comportamento ampio come jq in safeBins.
Se inserisci esplicitamente interpreti nella allowlist, abilita tools.exec.strictInlineEval così le forme inline di code-eval continuano a richiedere una nuova approvazione.
Per dettagli completi su policy ed esempi, vedi Exec approvals e Safe bins versus allowlist.
Esempi
Foreground:
{ "tool": "exec", "command": "ls -la" }
Background + poll:
{"tool":"exec","command":"npm run build","yieldMs":1000}
{"tool":"process","action":"poll","sessionId":"<id>"}
Il polling serve per lo stato on-demand, non per loop di attesa. Se il risveglio automatico al completamento è abilitato, il comando può risvegliare la sessione quando produce output o fallisce.
Invio tasti (stile tmux):
{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["Enter"]}
{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["C-c"]}
{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["Up","Up","Enter"]}
Invio (manda solo CR):
{ "tool": "process", "action": "submit", "sessionId": "<id>" }
Incolla (tra bracket per impostazione predefinita):
{ "tool": "process", "action": "paste", "sessionId": "<id>", "text": "line1\nline2\n" }
apply_patch
apply_patch è un subtool di exec per modifiche strutturate multi-file.
È abilitato per impostazione predefinita per i modelli OpenAI e OpenAI Codex. Usa la configurazione solo
quando vuoi disabilitarlo o limitarlo a modelli specifici:
{
tools: {
exec: {
applyPatch: { workspaceOnly: true, allowModels: ["gpt-5.4"] },
},
},
}
Note:
- Disponibile solo per i modelli OpenAI/OpenAI Codex.
- La policy del tool continua ad applicarsi;
allow: ["write"]consente implicitamenteapply_patch. - La configurazione si trova sotto
tools.exec.applyPatch. tools.exec.applyPatch.enabledha come valore predefinitotrue; impostalo sufalseper disabilitare il tool per i modelli OpenAI.tools.exec.applyPatch.workspaceOnlyha come valore predefinitotrue(contenuto nel workspace). Impostalo sufalsesolo se vuoi intenzionalmente cheapply_patchscriva/elimini fuori dalla directory del workspace.
Correlati
- Exec Approvals — gate di approvazione per i comandi shell
- Sandboxing — esecuzione di comandi in ambienti sandbox
- Background Process — esecuzioni exec di lunga durata e tool process
- Security — policy dei tool e accesso elevato