Agent coordination
Sandbox e ferramentas multiagente
Cada agente em uma configuração multiagente pode substituir a política global de sandbox e ferramentas. Esta página aborda a configuração por agente, as regras de precedência e exemplos.
Backends e modos — referência completa de sandbox.
Depure "por que isso está bloqueado?"
Execução elevada para remetentes confiáveis.
Exemplos de configuração
Exemplo 1: Agente pessoal + agente familiar restrito
{ "agents": { "list": [ { "id": "main", "default": true, "name": "Personal Assistant", "workspace": "~/.openclaw/workspace", "sandbox": { "mode": "off" } }, { "id": "family", "name": "Family Bot", "workspace": "~/.openclaw/workspace-family", "sandbox": { "mode": "all", "scope": "agent" }, "tools": { "allow": ["read", "message"], "deny": ["exec", "write", "edit", "apply_patch", "process", "browser"], "message": { "crossContext": { "allowWithinProvider": false, "allowAcrossProviders": false } } } } ] }, "bindings": [ { "agentId": "family", "match": { "provider": "whatsapp", "accountId": "*", "peer": { "kind": "group", "id": "120363424282127706@g.us" } } } ]}Resultado:
- Agente
main: é executado no host, com acesso completo às ferramentas. - Agente
family: é executado no Docker (um contêiner por agente), somente comreade envio de mensagens na conversa atual.
Exemplo 2: Agente de trabalho com sandbox compartilhada
{ "agents": { "list": [ { "id": "personal", "workspace": "~/.openclaw/workspace-personal", "sandbox": { "mode": "off" } }, { "id": "work", "workspace": "~/.openclaw/workspace-work", "sandbox": { "mode": "all", "scope": "shared", "workspaceRoot": "/tmp/work-sandboxes" }, "tools": { "allow": ["read", "write", "apply_patch", "exec"], "deny": ["browser", "gateway", "discord"] } } ] }}Exemplo 2b: Perfil global de programação + agente somente para mensagens
{ "tools": { "profile": "coding" }, "agents": { "list": [ { "id": "support", "tools": { "profile": "messaging", "allow": ["slack"] } } ] }}Resultado:
- Os agentes padrão recebem ferramentas de programação.
- O agente
supporté somente para mensagens (+ ferramenta do Slack).
Exemplo 3: Modos de sandbox diferentes por agente
{ "agents": { "defaults": { "sandbox": { "mode": "non-main", "scope": "session" } }, "list": [ { "id": "main", "workspace": "~/.openclaw/workspace", "sandbox": { "mode": "off" } }, { "id": "public", "workspace": "~/.openclaw/workspace-public", "sandbox": { "mode": "all", "scope": "agent" }, "tools": { "allow": ["read"], "deny": ["exec", "write", "edit", "apply_patch"] } } ] }}Precedência da configuração
Quando existem configurações globais (agents.defaults.*) e específicas do agente (agents.list[].*):
Configuração da sandbox
As configurações específicas do agente substituem as globais:
agents.list[].sandbox.mode > agents.defaults.sandbox.modeagents.list[].sandbox.scope > agents.defaults.sandbox.scopeagents.list[].sandbox.workspaceRoot > agents.defaults.sandbox.workspaceRootagents.list[].sandbox.workspaceAccess > agents.defaults.sandbox.workspaceAccessagents.list[].sandbox.docker.* > agents.defaults.sandbox.docker.*agents.list[].sandbox.browser.* > agents.defaults.sandbox.browser.*agents.list[].sandbox.prune.* > agents.defaults.sandbox.prune.*Restrições de ferramentas
A ordem de filtragem é:
Perfil de ferramentas
tools.profile ou agents.list[].tools.profile.
Perfil de ferramentas do provedor
tools.byProvider[provider].profile ou agents.list[].tools.byProvider[provider].profile.
Política global de ferramentas
tools.allow / tools.deny.
Política de ferramentas do provedor
tools.byProvider[provider].allow/deny.
Política de ferramentas específica do agente
agents.list[].tools.allow/deny.
Política de provedor do agente
agents.list[].tools.byProvider[provider].allow/deny.
Política de ferramentas da sandbox
tools.sandbox.tools ou agents.list[].tools.sandbox.tools.
Política de ferramentas de subagentes
tools.subagents.tools, se aplicável.
Regras de precedência
- Cada nível pode restringir ainda mais as ferramentas, mas não pode conceder novamente ferramentas negadas em níveis anteriores.
- Se
agents.list[].tools.sandbox.toolsestiver definido, ele substituirátools.sandbox.toolspara esse agente. - Se
agents.list[].tools.profileestiver definido, ele substituirátools.profilepara esse agente. - As chaves de ferramentas do provedor aceitam
provider(por exemplo,google-antigravity) ouprovider/model(por exemplo,openai/gpt-5.4).
Comportamento de uma lista de permissões vazia
Se qualquer lista de permissões explícita nessa cadeia deixar a execução sem ferramentas que possam ser chamadas, o OpenClaw interromperá o processo antes de enviar o prompt ao modelo. Isso é intencional: um agente configurado com uma ferramenta ausente, como agents.list[].tools.allow: ["query_db"], deve falhar de forma explícita até que o Plugin que registra query_db seja habilitado, em vez de continuar como um agente somente de texto.
As políticas de ferramentas aceitam abreviações group:* que se expandem para várias ferramentas. Consulte Grupos de ferramentas para ver a lista completa.
As substituições de modo elevado por agente (agents.list[].tools.elevated) podem restringir ainda mais a execução elevada para agentes específicos. Consulte Modo elevado para obter detalhes.
Migração de um único agente
Antes (um único agente)
{ "agents": { "defaults": { "workspace": "~/.openclaw/workspace", "sandbox": { "mode": "non-main" } } }, "tools": { "sandbox": { "tools": { "allow": ["read", "write", "apply_patch", "exec"], "deny": [] } } }}Depois (multiagente)
{ "agents": { "list": [ { "id": "main", "default": true, "workspace": "~/.openclaw/workspace", "sandbox": { "mode": "off" } } ] }}Exemplos de restrição de ferramentas
Agente somente leitura
{ "tools": { "allow": ["read"], "deny": ["exec", "write", "edit", "apply_patch", "process"] }}Execução de shell com ferramentas do sistema de arquivos desabilitadas
{ "tools": { "allow": ["read", "exec", "process"], "deny": ["write", "edit", "apply_patch", "browser", "gateway"] }}Somente comunicação
{ "tools": { "sessions": { "visibility": "tree" }, "allow": ["sessions_list", "sessions_send", "sessions_history", "session_status"], "deny": ["exec", "write", "edit", "apply_patch", "read", "browser"] }}sessions_history neste perfil ainda retorna uma visualização de recuperação limitada e sanitizada, em vez de um despejo bruto da transcrição. A recuperação do assistente remove tags de raciocínio, estruturas auxiliares <relevant-memories>, cargas XML de chamadas de ferramentas em texto simples (incluindo <tool_call>...</tool_call>, <function_call>...</function_call>, <tool_calls>...</tool_calls>, <function_calls>...</function_calls> e blocos truncados de chamadas de ferramentas), estruturas auxiliares degradadas de chamadas de ferramentas, tokens de controle de modelo ASCII/de largura completa que tenham vazado e XML malformado de chamadas de ferramentas do MiniMax antes da ocultação/truncamento.
Armadilha comum: "non-main"
Testes
Depois de configurar a sandbox e as ferramentas multiagente:
Verificar a resolução dos agentes
openclaw agents list --bindingsVerificar os contêineres da sandbox
docker ps --filter "name=openclaw-sbx-"Testar as restrições de ferramentas
- Envie uma mensagem que exija ferramentas restritas.
- Verifique se o agente não consegue usar as ferramentas negadas.
Monitorar os logs
openclaw logs --follow | grep -E "routing|sandbox|tools"Solução de problemas
O agente não é executado em sandbox apesar de `mode: 'all'`
- Verifique se há um
agents.defaults.sandbox.modeglobal que o substitui. - A configuração específica do agente tem precedência, portanto defina
agents.list[].sandbox.mode: "all".
Ferramentas ainda disponíveis apesar da lista de negação
- Confira a ordem completa de filtragem: perfil → perfil do provedor → política global → política do provedor → política do agente → política do provedor do agente → sandbox → subagente.
- Cada nível só pode restringir ainda mais, não conceder novamente.
- Consulte Sandbox vs. política de ferramentas vs. modo elevado para uma depuração passo a passo.
Contêiner não isolado por agente
- O
scopepadrão é"agent"(um contêiner por ID de agente). - Defina
scope: "session"para ter um contêiner por sessão ouscope: "shared"para reutilizar um contêiner entre agentes.
Relacionados
- Modo elevado
- Roteamento multiagente
- Configuração do sandbox
- Sandbox vs. política de ferramentas vs. modo elevado — depuração de "por que isto está bloqueado?"
- Sandbox — referência completa do sandbox (modos, escopos, backends, imagens)
- Gerenciamento de sessões