微信扫码
添加专属顾问
OpenClaw如何通过容器化沙箱解决浏览器并发与安全问题?揭秘其核心技术实现与调试方法。 核心内容: 1. OpenClaw沙箱浏览器的三大核心能力:隔离、并发与资源回收 2. 沙箱权限配置的关键细节与安全防护机制 3. 从零部署到源码调试的完整实践指南
本文介绍 OpenClaw 如何构建安全沙箱浏览器环境。在多 Agent 并发时让浏览器也支持并发。通过容器化 Sandbox,可以实现浏览器隔离、并发任务支持以及资源回收等能力。同时分析沙箱工具权限配置的关键细节,并介绍 OpenClaw 源码调试方法。
前言: OpenClaw 到底是真正有产能性价比的 AI 助手,还是只是个 皇帝的新衣 被一众相关利益者吹嘘炒作?虽然我已经研究了两个多月,还不知道答案。不过,作为一个失业码农,我只想研究一下相关的技术和应用。所以本文没有 “功能炸裂、不学就被淘汰、震惊、天花板、刷新了我xyz、省下多少 $$ ” 这类的故事。
以 OpenClaw 为代表的这类个人 AI Agent,如果要真实完成任务,就必须给予其一定的权限和工具。但由于 LLM 的不稳定性以及 Prompt 注入漏洞,这些能力又必须被严格约束。无论是 Guardrail 还是其它防御手段,都无法保证绝对安全。
在这种情况下,容器化 Sandbox 就成为最后一道入侵防线和风险防火墙。
OpenClaw 提供两类 tools 的 sandbox:
使用容器化 Sandbox,除了作为 入侵防线和风险防火墙 外,还能带来一些额外好处:
支持浏览器并发操作
每个 Session 使用独立容器,资源完全隔离。例如,每个 session 使用自己的 browser sandbox 实例,从而避免并发任务之间的浏览器操作互相干扰。
Session 资源使用限制
Session 资源统一回收
openclaw agents add worker --workspace ~/.openclaw/workspace/worker
openclaw agents set-identity --agent worker --name "worker"
每个 Agent 都可以拥有独立的沙箱配置,其配置位于 ~/.openclaw/openclaw.json 中的 agents.list[].sandbox。
agents:
list:
{
"id":"worker",
"name":"worker",
"workspace":"~/.openclaw/workspace/worker",
"agentDir":"~/.openclaw/agents/worker/agent",
"identity":{
"name":"worker"
},
"subagents":{
"allowAgents":[
"main",
"worker"
]
},
"sandbox":{
"mode":"all",
"workspaceAccess":"rw",
"scope":"session",
"docker":{
"image":"openclaw-sandbox-common:bookworm-slim",
"containerPrefix":"oc-sbx-worker",
"workdir":"/workspace",
"readOnlyRoot":true,
"tmpfs":[
"/tmp",
"/var/tmp",
"/run"
],
"network":"bridge",
"user":"1000:1000",
"capDrop":[
"ALL"
],
"env":{
"LANG":"C.UTF-8"
},
"memory":"8g",
"cpus":2
},
"browser":{
"enabled":true,
"image":"openclaw-sandbox-browser:bookworm-slim",
"containerPrefix":"oc-sbx-browser-worker",
"network":"openclaw-sandbox-browser",
"headless":false,
"enableNoVnc":true,
"allowHostControl":false,
"autoStart":true,
"autoStartTimeoutMs":12000
},
"prune":{
"idleHours":1,
"maxAgeDays":1
}
},
"tools":{
"profile":"full",
"allow":[
"group:messaging",
"group:runtime",
"group:fs",
"group:sessions",
"group:web",
"group:ui",
"group:automation",
"group:nodes",
"group:openclaw"
],
"deny":[],
"elevated":{
"enabled":true,
"allowFrom":{
"webchat":[
"*"
]
}
}
}
},
tools:
profile:full
allow:
-group:messaging
-group:runtime
-group:fs
-group:sessions
-group:web
-group:ui
-group:automation
-group:nodes
-group:openclaw
deny:[]
sessions:
visibility:all
sandbox:
tools:
allow:
-group:messaging
-group:runtime
-group:fs
-group:sessions
-group:web
-group:ui
-group:automation
-group:nodes
-group:openclaw
deny:[]
如果你好奇 deny: [] 的作用,那就对了,请继续往下看。
这里是本文的重点和难点。我在沙箱工具权限上花了整整两天时间,因为沙箱模式下的 Agent 一直抱怨没有 browser 工具。
OpenClaw 文档中虽然说明了 sandbox browser 的配置,但并没有提供一个完整的配置教程。网上也几乎找不到成功配置的案例。最后我只能通过 Debug OpenClaw 源代码来定位问题。
在 OpenAI Codex 的源码解读以及 VSCode Debug 的帮助下,我终于找到了问题所在。具体过程会在后面的 “Debug” 一节中说明。这里先直接给出结论:
需要在 tools 的权限配置中增加
deny: []
在 Debug 了很久之后,源码中的src/agents/sandbox/tool-policy.ts 里的 DEFAULT_TOOL_DENY 最终给了我答案。
你也许会说:文档里不是已经写了吗?
确实写了,但 OpenClaw 的文档相对碎片化,没有一个系统的教程示例可以直接参考。因此如果没有完整理解权限体系,很容易忽略这个细节。
题外话:这个空配置的重要性,让我想起“空性”(Śūnyatā)。 在佛教(尤其是禅宗和大乘佛教)中,“空”并不代表什么都没有,而是指一切事物都没有固定、独立、不变的本质(自性)。
参考: https://docs.openclaw.ai/gateway/sandboxing#images-%2B-setup
git clone https://github.com/openclaw/openclaw
cd openclaw
# build agent runtime docker image: openclaw-sandbox-common:bookworm-slim
scripts/sandbox-common-setup.sh
# build agent browser docker image: openclaw-sandbox-browser:bookworm-slim
scripts/sandbox-browser-setup.sh
下面示例:
Now I want to summarize following websites:
- https://news.ycombinator.com/
- https://lobste.rs/
You can use `sessions_spawn` tool to submit task to a worker. With parameters:
- `agentId`=worker
- `label`=$(a_key_word_of_the_website_domain_name)
The `task` parameter you submit should use following template:
> 1. Call browser `navigate` tool with targetUrl=$(the_website_url) , don't call browser `open` tool. Don't use `web fetch` tool or any other shell command if the browser tool fail. Then summarize the webpage content and response it with the screen shoot of your browser.
Try your best to concurrent the tasks.
中文版本:
现在,我希望你对以下网站进行摘要总结:
- https://news.ycombinator.com/
- https://lobste.rs/
你可以使用 `sessions_spawn` 工具将任务提交给一个工作进程(worker)。提交时需包含以下参数:
- `agentId`=worker
- `label`=$(网站域名中的一个关键词)
你提交的 `task` 参数应采用如下模板:
> 1. 调用浏览器的 `navigate` 工具,并指定 `targetUrl=$(网站URL)`;切勿调用浏览器的 `open` 工具。如果浏览器工具执行失败,请勿转而使用 `web fetch` 工具或任何其他 Shell 命令。随后,请对网页内容进行摘要总结,并将总结结果连同浏览器的截图一并作为响应输出。
请尽可能尝试并发执行这些任务。
看,码农写的 prompt 都不像 prompt,更像个 pseudocode :)
运行结果:
在 VSCode 中调试 OpenClaw 成了排查配置问题的最后手段。很多有经验的开发者都知道:再完善的文档,也比不上直接阅读源代码。
作为一个后端 Java 开发者,调试 TypeScript 项目其实并不容易入手。好在 OpenAI Codex 最终为我 指明了方向。
具体过程我准备在另一篇文章中详细说明。这里先给出 VSCode 调试 OpenClaw 的配置示例。
.vscode/launch.json
{
"version": "0.2.0",
"configurations": [
{
"name": "OpenClaw: Gateway dev",
"type": "node",
"request": "launch",
"cwd": "${workspaceFolder}",
"program": "${workspaceFolder}/scripts/run-node.mjs",
"args": ["gateway", "--port", "18789", "--force"],
"console": "integratedTerminal",
"outFiles": ["${workspaceFolder}/dist/**/*.js"],
"skipFiles": ["<node_internals>/**"]
},
53AI,企业落地大模型首选服务商
产品:场景落地咨询+大模型应用平台+行业解决方案
承诺:免费POC验证,效果达标后再合作。零风险落地应用大模型,已交付160+中大型企业
2026-06-30
运维界的 OpenClaw 来了!
2026-06-30
刚刚,OpenClaw和Cursor杀入手机!Agent从此塞进口袋
2026-06-21
openclaw深度实践(四种场景:企业提效参考)
2026-06-21
OpenClaw不仅仅是聊天框,还是Agent后台引擎,通过API接入现有平台
2026-06-18
OpenClaw MetaSKILLs 系统深度解析:AI Agent 正在学会「自己给自己写技能」
2026-06-17
OpenClaw 6.8 震撼发布:不堆噱头,彻底治愈 Agent 的“宕机失忆症”
2026-06-01
OpenClaw 5月28日更新:更加提升稳定性
2026-05-31
Claw Team 在 SRE 场景下的实践
2026-04-09
2026-04-15
2026-05-03
2026-04-09
2026-04-13
2026-04-18
2026-04-04
2026-04-08
2026-05-29
2026-04-08
2026-04-09
2026-04-07
2026-04-02
2026-03-30
2026-03-30
2026-03-26
2026-03-24
2026-03-24
欢迎您使用【53AI 官方网站】(以下简称“本网站”或“我们”)。本《会员服务协议》(以下简称“本协议”)是您(以下简称“会员”或“用户”)与【深圳市博思协创网络科技有限公司】之间关于注册、登录及使用本网站会员服务所订立的法律协议。
在您注册或登录前,请务必审慎阅读、充分理解各条款内容,特别是免除或限制责任的条款、知识产权条款、争议解决条款等。此类条款将以加粗形式提示您注意。 当您通过微信公众号授权、手机验证码验证或其他方式成功登录本网站时,即视为您已完全理解并同意接受本协议的全部内容。
一、 定义
本网站:指由【深圳市博思协创网络科技有限公司】运营的,域名为【53ai.com】的网站及相关移动端页面。
会员服务:指本网站向注册会员提供的知识库文章查阅、内容检索及其他相关增值服务。
知识库内容:指本网站发布的包括但不限于文字、图表、数据、研究报告、行业分析等数字化内容资源。
二、 账号注册与登录
登录方式:本网站支持以下登录方式,您可根据实际情况选择:
微信公众号授权登录:您同意将您的微信OpenID信息授权给本网站,用于创建或关联会员账号。
手机验证码登录:您需提供真实有效的手机号码,并通过短信验证码完成身份验证与登录/注册。
账号安全:您的账号仅限您本人使用,禁止赠与、借用、租用、转让或售卖。因您保管不善导致的账号被盗、密码泄露等损失,由您自行承担。
实名认证:根据相关法律法规要求,我们可能要求您在特定功能下完成实名认证。如您拒绝提供,可能无法使用部分或全部服务。
未成年人保护:若您未满18周岁,请在法定监护人的陪同下阅读本协议,并在征得监护人同意后使用本服务。
三、 服务内容与规范
知识库查阅权限:会员登录后,有权按照其会员等级对应的权限范围,在线浏览、检索本网站知识库中的相关文章及内容。
服务变更:我们有权根据业务发展需要,调整、变更或终止部分服务内容,并将以网站公告、公众号消息等方式提前通知。
禁止行为:您在使用服务时不得实施以下行为:
利用技术手段批量爬取、下载、转存知识库内容;
将知识库内容用于商业目的或未经授权地向第三方传播;
干扰本网站正常运行或侵犯其他用户合法权益;
发布违法违规信息或从事违反公序良俗的活动。
四、 知识产权声明
权利归属:本网站知识库中的排版设计、软件代码等内容的知识产权均归【公司全称】或原权利人所有,受《中华人民共和国著作权法》等法律保护。
有限许可:本网站授予会员一项非独占、不可转让、不可转授权的普通许可,仅限于个人学习、研究之目的在线查阅知识库内容。
侵权追责:未经书面许可,任何单位或个人不得以任何形式复制、转载、摘编、镜像、汇编或以其他方式使用上述内容。一经发现,我们保留追究其法律责任的权利。
五、 个人信息保护
我们重视对您个人信息的保护。关于我们如何收集、使用、存储和保护您的个人信息,请单独阅读 《隐私政策》。
您通过微信公众号授权或手机号验证所提供的信息,我们将严格按照《个人信息保护法》的规定处理,仅用于身份识别、服务提供及安全验证等必要用途。
您可以随时通过网站设置或联系客服行使查阅、更正、删除个人信息及撤回授权同意的权利。
六、 免责声明
内容准确性:知识库内容仅供参考,不构成专业建议。我们不对其完整性、准确性、时效性作任何明示或暗示的保证,您应自行判断并承担使用风险。
不可抗力:因自然灾害、政策法规变化、网络故障、第三方平台接口异常(如微信接口维护、运营商短信通道故障)等不可抗力导致的服务中断或延迟,我们不承担违约责任。
第三方链接:本网站可能包含指向第三方网站的链接,该等网站的内容和服务不受我们控制,请您自行甄别风险。
七、 违约责任
如您违反本协议约定,我们有权视情节采取警告、限制功能、暂停服务、注销账号等措施,并保留要求赔偿损失的权利。
如因您的违约行为导致我们遭受行政处罚、第三方索赔或商誉损失,您应承担全部赔偿责任(包括但不限于罚款、赔偿金、律师费、公证费等)。
八、 法律适用与争议解决
本协议的订立、执行和解释均适用中华人民共和国大陆地区法律。
因本协议产生的或与本协议有关的任何争议,双方应友好协商解决;协商不成的,任何一方均可向【公司所在地】有管辖权的人民法院提起诉讼。
九、 其他
本协议构成双方就本服务达成的完整协议,取代此前任何口头或书面约定。
本协议任一条款被认定为无效或不可执行的,不影响其他条款的效力。
我们对本协议享有最终解释权,并在法律允许的范围内保留随时修改的权利。修改后的协议一经公布即生效,继续使用服务即视为同意修订内容。