Exec 工具

在工作区中运行 shell 命令。通过 process 支持前台 + 后台执行。 如果禁用了 process，exec 会同步运行并忽略 yieldMs/background。 后台会话的作用域限定为每个代理；process 仅能看到来自同一代理的会话。

参数

• command（必需）
• workdir（默认为 cwd）
• env（键/值覆盖）
• yieldMs（默认 10000）：延迟后自动后台化
• background（布尔值）：立即后台化
• timeout（秒，默认 1800）：到期时终止
• pty（布尔值）：在可用时在伪终端中运行（仅 TTY 的 CLI、编码代理、终端 UI）
• host（sandbox | gateway | node）：执行位置
• security（deny | allowlist | full）：gateway/node 的执行模式
• ask（off | on-miss | always）：gateway/node 的审批提示
• node（字符串）：host=node 的节点 ID/名称
• elevated（布尔值）：请求提升模式（网关主机）；仅当 elevated 解析为 full 时才强制 security=full

注意事项：

• host 默认为 sandbox。
• 当沙箱关闭时（exec 已在主机上运行），elevated 会被忽略。
• gateway/node 审批由 ~/.openclaw/exec-approvals.json 控制。
• node 需要配对节点（伴侣应用或无头节点主机）。
• 如果有多个节点可用，请设置 exec.node 或 tools.exec.node 来选择一个。
• 在非 Windows 主机上，如果设置了 SHELL，exec 会使用它；如果 SHELL 是 fish，它会优先使用来自 PATH 的 bash（或 sh）以避免与 fish 不兼容的脚本，然后如果两者都不存在则回退到 SHELL。
• 主机执行（gateway/node）拒绝 env.PATH 和加载器覆盖（LD_*/DYLD_*）以防止二进制劫持或注入代码。
• 重要提示：沙箱默认关闭。如果沙箱关闭，host=sandbox 直接在网关主机上运行（无容器）且不需要审批。要求审批时，请使用 host=gateway 运行并配置 exec 审批（或启用沙箱）。

配置

• tools.exec.notifyOnExit（默认：true）：为 true 时，后台化的 exec 会话会排队系统事件并在退出时请求心跳。
• tools.exec.approvalRunningNoticeMs（默认：10000）：当需要审批的 exec 运行时间超过此值时发出单个"运行中"通知（0 禁用）。
• tools.exec.host（默认：sandbox）
• tools.exec.security（默认：沙箱为 deny，未设置时网关 + 节点为 allowlist）
• tools.exec.ask（默认：on-miss）
• tools.exec.node（默认：未设置）
• tools.exec.pathPrepend：要添加到 exec 运行的 PATH 前面的目录列表。
• tools.exec.safeBins：仅标准输入的安全二进制文件，无需显式允许列表条目即可运行。

示例：

{
  tools: {
    exec: {
      pathPrepend: ["~/bin", "/opt/oss/bin"],
    },
  },
}

PATH 处理

• host=gateway：将您的登录 shell PATH 合并到 exec 环境中。主机执行会拒绝 env.PATH 覆盖。守护进程本身仍然使用最小的 PATH 运行：
  • macOS：/opt/homebrew/bin、/usr/local/bin、/usr/bin、/bin
  • Linux：/usr/local/bin、/usr/bin、/bin
• host=sandbox：在容器内运行 sh -lc（登录 shell），因此 /etc/profile 可能会重置 PATH。 OpenClaw 在配置文件加载后通过内部环境变量追加 env.PATH（无 shell 插值）； tools.exec.pathPrepend 也适用于此处。
• host=node：只有您传递的非阻止环境覆盖会发送到节点。主机执行会拒绝 env.PATH 覆盖。无头节点主机仅在 PATH 添加到节点主机 PATH 前面（非替换）时接受它。macOS 节点完全丢弃 PATH 覆盖。

每个代理的节点绑定（在配置中使用代理列表索引）：

openclaw config get agents.list
openclaw config set agents.list[0].tools.exec.node "node-id-or-name"

控制 UI：节点选项卡包含一个小的"Exec 节点绑定"面板用于相同的设置。

会话覆盖（/exec）

使用 /exec 为 host、security、ask 和 node 设置每个会话的默认值。 发送不带参数的 /exec 以显示当前值。

示例：

/exec host=gateway security=allowlist ask=on-miss node=mac-1

授权模型

/exec 仅对授权发送者（通道允许列表/配对加上 commands.useAccessGroups）有效。 它仅更新会话状态且不写入配置。要完全禁用 exec，请通过工具策略拒绝（tools.deny: ["exec"] 或每个代理）。除非显式设置 security=full 和 ask=off，主机审批仍然适用。

Exec 审批（伴侣应用/节点主机）

沙箱代理可以在 exec 在网关或节点主机上运行之前要求每次请求的审批。 有关策略、允许列表和 UI 流程，请参阅 Exec 审批。

当需要审批时，exec 工具立即返回 status: "approval-pending" 和审批 ID。一旦批准（或拒绝/超时）， 网关发出系统事件（Exec finished / Exec denied）。如果命令在 tools.exec.approvalRunningNoticeMs 后仍在运行，则发出单个 Exec running 通知。

允许列表 + 安全二进制文件

允许列表执行仅匹配解析的二进制路径（不匹配基本名称）。当 security=allowlist 时，仅当每个管道段都在允许列表中或是安全二进制文件时，shell 命令才会自动允许。在允许列表模式下，拒绝链接（;、&&、||）和重定向。

示例

前台：

{ "tool": "exec", "command": "ls -la" }

后台 + 轮询：

{"tool":"exec","command":"npm run build","yieldMs":1000}
{"tool":"process","action":"poll","sessionId":"<id>"}

发送按键（tmux 风格）：

{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["Enter"]}
{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["C-c"]}
{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["Up","Up","Enter"]}

提交（仅发送 CR）：

{ "tool": "process", "action": "submit", "sessionId": "<id>" }

粘贴（默认带括号）：

{ "tool": "process", "action": "paste", "sessionId": "<id>", "text": "line1\nline2\n" }

apply_patch（实验性）

apply_patch 是 exec 的子工具，用于结构化的多文件编辑。 显式启用它：

{
  tools: {
    exec: {
      applyPatch: { enabled: true, allowModels: ["gpt-5.2"] },
    },
  },
}

注意事项：

• 仅适用于 OpenAI/OpenAI Codex 模型。
• 工具策略仍然适用；allow: ["exec"] 隐式允许 apply_patch。
• 配置位于 tools.exec.applyPatch 下。