Tools
Herramienta de ejecución
Ejecuta comandos de shell en el espacio de trabajo. exec es una superficie de shell mutante: los comandos pueden crear, editar o eliminar archivos donde lo permita el sistema de archivos del host o sandbox seleccionado. Deshabilitar herramientas de sistema de archivos de OpenClaw como write, edit o apply_patch no convierte a exec en solo lectura.
Admite ejecución en primer plano y en segundo plano mediante process. Si process no está permitido, exec se ejecuta de forma síncrona e ignora yieldMs/background.
Las sesiones en segundo plano tienen alcance por agente; process solo ve sesiones del mismo agente.
Parámetros
commandstringrequiredComando de shell que se debe ejecutar.
workdirstringdefault: cwdDirectorio de trabajo para el comando.
envobjectSobrescrituras de entorno de clave/valor fusionadas sobre el entorno heredado.
yieldMsnumberdefault: 10000Pasa automáticamente el comando a segundo plano después de este retraso (ms).
backgroundbooleandefault: falsePasa el comando a segundo plano inmediatamente en lugar de esperar a yieldMs.
timeoutnumberdefault: tools.exec.timeoutSecSobrescribe el tiempo de espera de exec configurado para esta llamada. Establece timeout: 0 solo cuando el comando deba ejecutarse sin el tiempo de espera del proceso exec.
ptybooleandefault: falseEjecuta en una pseudoterminal cuando esté disponible. Úsalo para CLI que solo funcionan con TTY, agentes de código e interfaces de usuario de terminal.
host'auto' | 'sandbox' | 'gateway' | 'node'default: autoDónde ejecutar. auto se resuelve como sandbox cuando hay un runtime de sandbox activo y como gateway en caso contrario.
security'deny' | 'allowlist' | 'full'Se ignora para las llamadas normales a herramientas. La seguridad de gateway / node se controla mediante
tools.exec.security y el archivo de aprobaciones del host; el modo elevado puede
forzar security=full solo cuando el operador concede explícitamente acceso elevado.
ask'off' | 'on-miss' | 'always'El modo de solicitud base proviene de tools.exec.ask y de las aprobaciones del host.
Para llamadas de modelo originadas en canales, el ask por llamada se ignora cuando el
ask efectivo del host es off; de lo contrario, solo puede endurecerse a un modo más
estricto. Los llamadores internos/API de confianza que construyen herramientas exec con un
valor ask explícito no cambian.
nodestringId/nombre del Node cuando host=node.
elevatedbooleandefault: falseSolicita modo elevado: escapa del sandbox hacia la ruta de host configurada. security=full se fuerza solo cuando elevated se resuelve como full.
Notas:
hosttieneautocomo valor predeterminado: sandbox cuando el runtime de sandbox está activo para la sesión; de lo contrario, gateway.hostsolo aceptaauto,sandbox,gatewayonode. No es un selector de nombre de host; los valores con aspecto de nombre de host se rechazan antes de que se ejecute el comando.autoes la estrategia de enrutamiento predeterminada, no un comodín. Se permitehost=nodepor llamada desdeauto;host=gatewaypor llamada solo se permite cuando no hay un runtime de sandbox activo.tools.exec.modees el control de política normalizado. Los valores sondeny,allowlist,ask,autoyfull.autoejecuta directamente las coincidencias deterministas de allowlist/safe-bin y enruta todos los demás casos de aprobación de exec a través del revisor automático nativo de OpenClaw antes de preguntar a un humano.ask/ask=alwayssigue preguntando a un humano cada vez.- Sin configuración adicional,
host=autosigue "funcionando sin más": sin sandbox se resuelve comogateway; con un sandbox activo permanece en el sandbox. elevatedescapa del sandbox hacia la ruta de host configurada:gatewayde forma predeterminada, onodecuandotools.exec.host=node(o el valor predeterminado de la sesión eshost=node). Solo está disponible cuando el acceso elevado está habilitado para la sesión/proveedor actual.- Las aprobaciones de
gateway/nodese controlan mediante el archivo de aprobaciones del host. noderequiere un nodo emparejado (aplicación complementaria o host de nodo sin interfaz).- Si hay varios nodos disponibles, establece
exec.nodeotools.exec.nodepara seleccionar uno. exec host=nodees la única ruta de ejecución de shell para nodos; se eliminó el contenedor heredadonodes.run.timeoutse aplica a la ejecución en primer plano, en segundo plano, conyieldMs, gateway, sandbox ysystem.runde node. Si se omite, OpenClaw usatools.exec.timeoutSec;timeout: 0explícito deshabilita el tiempo de espera del proceso exec para esa llamada.- En hosts que no son Windows, exec usa
SHELLcuando está definido; siSHELLesfish, prefierebash(osh) desdePATHpara evitar scripts incompatibles con fish, y luego recurre aSHELLsi no existe ninguno. - En hosts Windows, exec prefiere el descubrimiento de PowerShell 7 (
pwsh) (Program Files, ProgramW6432 y luego PATH), y luego recurre a Windows PowerShell 5.1. - En hosts gateway que no son Windows, los comandos exec de bash y zsh usan una instantánea de inicio. OpenClaw captura
aliases/funciones que se pueden cargar con source y un pequeño conjunto de entorno seguro desde los archivos de inicio de shell en
$OPENCLAW_STATE_DIR/cache/shell-snapshots/, y luego carga esa instantánea antes de cada comando exec. Se excluyen las variables que parecen secretos; exec de sandbox y node no usa esta instantánea. EstableceOPENCLAW_EXEC_SHELL_SNAPSHOT=0en el entorno del proceso Gateway para deshabilitar esta ruta de instantánea. - La ejecución en host (
gateway/node) rechazaenv.PATHy sobrescrituras del cargador (LD_*/DYLD_*) para evitar secuestro de binarios o código inyectado. - OpenClaw establece
OPENCLAW_SHELL=execen el entorno del comando generado (incluidas la ejecución con PTY y sandbox) para que las reglas de shell/perfil puedan detectar el contexto de la herramienta exec. - Para ejecuciones originadas en canales, OpenClaw también expone una carga JSON limitada de identidad de remitente/chat en
OPENCLAW_CHANNEL_CONTEXTcuando el canal proporcionó esos ids. openclaw channels loginestá bloqueado desdeexecporque es un flujo interactivo de autenticación de canal; ejecútalo en una terminal en el host gateway, o usa la herramienta de inicio de sesión nativa del canal desde el chat cuando exista.- Importante: el sandbox está desactivado de forma predeterminada. Si el sandbox está desactivado,
host=autoimplícito se resuelve comogateway.host=sandboxexplícito sigue fallando de forma cerrada en lugar de ejecutarse silenciosamente en el host gateway. Habilita el sandbox o usahost=gatewaycon aprobaciones. - Las comprobaciones previas de scripts (para errores comunes de sintaxis de shell de Python/Node) solo inspeccionan archivos dentro del
límite efectivo de
workdir. Si una ruta de script se resuelve fuera deworkdir, se omite la comprobación previa para ese archivo. - Para trabajos de larga duración que comienzan ahora, inícialos una vez y confía en el
despertar automático al completarse cuando esté habilitado y el comando emita salida o falle.
Usa
processpara logs, estado, entrada o intervención; no emules planificación con bucles de sleep, bucles de timeout o sondeos repetidos. - Para trabajos que deban ocurrir más tarde o según una programación, usa Cron en lugar de
patrones de sleep/delay con
exec.
Configuración
tools.exec.notifyOnExit(valor predeterminado: true): cuando es true, las sesiones exec en segundo plano encolan un evento de sistema y solicitan un Heartbeat al salir.tools.exec.approvalRunningNoticeMs(valor predeterminado: 10000): emite un único aviso de "en ejecución" cuando un exec sujeto a aprobación se ejecuta durante más tiempo que esto (0 lo deshabilita).tools.exec.timeoutSec(valor predeterminado: 1800): tiempo de espera exec predeterminado por comando en segundos.timeoutpor llamada lo sobrescribe;timeout: 0por llamada deshabilita el tiempo de espera del proceso exec.tools.exec.host(valor predeterminado:auto; se resuelve comosandboxcuando el runtime de sandbox está activo,gatewayen caso contrario)tools.exec.security(valor predeterminado:denypara sandbox,fullpara gateway + node cuando no está definido)tools.exec.ask(valor predeterminado:off)- Exec en host sin aprobación es el valor predeterminado para gateway + node. Si quieres comportamiento de aprobaciones/allowlist, endurece tanto
tools.exec.*como el archivo de aprobaciones del host; consulta Aprobaciones de exec. - YOLO proviene de los valores predeterminados de la política del host (
security=full,ask=off), no dehost=auto. Si quieres forzar el enrutamiento a gateway o node, establecetools.exec.hosto usa/exec host=.... - En modo
security=fullmásask=off, exec de host sigue directamente la política configurada; no hay una capa adicional de prefiltro heurístico de ofuscación de comandos ni de rechazo por comprobación previa de scripts. tools.exec.node(valor predeterminado: sin definir)tools.exec.strictInlineEval(valor predeterminado: false): cuando es true, las formas eval de intérprete en línea comopython -c,node -e,ruby -e,perl -e,php -r,lua -eyosascript -erequieren revisor o aprobación explícita. Enmode=auto, la ruta normal de aprobación de exec puede permitir que el revisor automático nativo autorice un comando puntual claramente de bajo riesgo; las llamadas directassystem.runde host node siguen requiriendo una aprobación explícita porque no pueden entregar el comando a una ruta de aprobación humana. Si el revisor pregunta, la solicitud va a un humano.allow-alwaysaún puede conservar invocaciones benignas de intérprete/script, pero las formas inline-eval no se convierten en reglas allow duraderas.tools.exec.commandHighlighting(valor predeterminado: false): cuando es true, las solicitudes de aprobación pueden resaltar fragmentos de comandos derivados del parser en el texto del comando. Establécelo entrueglobalmente o por agente para habilitar el resaltado del texto del comando sin cambiar la política de aprobación de exec.tools.exec.pathPrepend: lista de directorios que se anteponen aPATHpara ejecuciones exec (solo gateway + sandbox).tools.exec.safeBins: binarios seguros solo por stdin que pueden ejecutarse sin entradas explícitas de allowlist. Para detalles de comportamiento, consulta Binarios seguros.tools.exec.safeBinTrustedDirs: directorios explícitos adicionales de confianza para comprobaciones de ruta desafeBins. Las entradas dePATHnunca son de confianza automáticamente. Los valores predeterminados integrados son/biny/usr/bin.tools.exec.safeBinProfiles: política argv personalizada opcional por binario seguro (minPositional,maxPositional,allowedValueFlags,deniedFlags).
Ejemplo:
{ tools: { exec: { pathPrepend: ["~/bin", "/opt/oss/bin"], }, },}Manejo de PATH
host=gateway: fusiona elPATHde tu shell de inicio de sesión en el entorno exec. Las sobrescrituras deenv.PATHse rechazan para la ejecución en host. El daemon en sí sigue ejecutándose con unPATHmínimo:- macOS:
/opt/homebrew/bin,/usr/local/bin,/usr/bin,/bin - Linux:
/usr/local/bin,/usr/bin,/bin- Para impedir que la configuración de shell del usuario (como
~/.zshenvo/etc/zshenv) sobrescriba rutas prioritarias durante el inicio, las entradas detools.exec.pathPrependse anteponen de forma segura alPATHfinal dentro del comando de shell justo antes de la ejecución.
- Para impedir que la configuración de shell del usuario (como
- macOS:
host=sandbox: ejecutash -lc(shell de inicio de sesión) dentro del contenedor, por lo que/etc/profilepuede restablecerPATH. OpenClaw anteponeenv.PATHdespués de cargar el perfil mediante una variable de entorno interna (sin interpolación de shell);tools.exec.pathPrependtambién se aplica aquí.host=node: solo se envían al nodo las sobrescrituras de entorno no bloqueadas que pases. Las sobrescrituras deenv.PATHse rechazan para la ejecución en host y los hosts node las ignoran. Si necesitas entradas adicionales de PATH en un nodo, configura el entorno del servicio del host node (systemd/launchd) o instala herramientas en ubicaciones estándar.
Vinculación de node por agente (usa el índice de la lista de agentes en la configuración):
openclaw config get agents.listopenclaw config set 'agents.list[0].tools.exec.node' "node-id-or-name"Control UI: la pestaña Nodes incluye un pequeño panel "Vinculación de node exec" para la misma configuración.
Sobrescrituras de sesión (/exec)
Usa /exec para establecer valores predeterminados por sesión para host, security, ask y node.
Envía /exec sin argumentos para mostrar los valores actuales.
Ejemplo:
/exec host=auto security=allowlist ask=on-miss node=mac-1Modelo de autorización
/exec solo se respeta para remitentes autorizados (listas de permitidos/emparejamiento del canal más commands.useAccessGroups).
Actualiza solo el estado de la sesión y no escribe configuración. Los remitentes autorizados de canales externos pueden
definir estos valores predeterminados de sesión. Los clientes internos de Gateway/webchat necesitan operator.admin para persistirlos.
Para deshabilitar exec por completo, deniégalo mediante la política de herramientas (tools.deny: ["exec"] o por agente). Las aprobaciones del host
siguen aplicándose salvo que establezcas explícitamente security=full y ask=off.
Aprobaciones de exec (aplicación complementaria / host de Node)
Los agentes en sandbox pueden requerir aprobación por solicitud antes de que exec se ejecute en el Gateway o en el host de Node.
Consulta Aprobaciones de exec para ver la política, la lista de permitidos y el flujo de la UI.
Cuando se requieren aprobaciones, la herramienta exec devuelve inmediatamente
status: "approval-pending" y un id de aprobación. Una vez aprobado (o denegado / agotado el tiempo),
el Gateway emite eventos del sistema de progreso y finalización de comandos solo para ejecuciones aprobadas
(Exec running / Exec finished). Las aprobaciones denegadas o agotadas son terminales y no
despiertan la sesión del agente con un evento del sistema de denegación.
En canales con tarjetas/botones de aprobación nativos, el agente debe confiar primero en esa
UI nativa y solo incluir un comando manual /approve cuando el resultado de la herramienta
diga explícitamente que las aprobaciones por chat no están disponibles o que la aprobación manual es la
única vía.
Lista de permitidos + bins seguros
La aplicación manual de la lista de permitidos compara globs de rutas de binarios resueltas y globs
de nombres de comando simples. Los nombres simples solo coinciden con comandos invocados mediante PATH, por lo que rg puede coincidir con
/opt/homebrew/bin/rg cuando el comando es rg, pero no con ./rg ni /tmp/rg.
Cuando security=allowlist, los comandos de shell se permiten automáticamente solo si cada segmento
de la canalización está en la lista de permitidos o es un bin seguro. El encadenamiento (;, &&, ||) y las redirecciones
se rechazan en modo de lista de permitidos salvo que cada segmento de nivel superior satisfaga la
lista de permitidos (incluidos los bins seguros). Las redirecciones siguen sin ser compatibles.
La confianza duradera allow-always no omite esa regla: un comando encadenado todavía requiere que cada
segmento de nivel superior coincida.
autoAllowSkills es una vía de conveniencia separada en las aprobaciones de exec. No es lo mismo que
las entradas manuales de lista de permitidos por ruta. Para confianza explícita estricta, mantén autoAllowSkills deshabilitado.
Usa los dos controles para trabajos distintos:
tools.exec.safeBins: filtros de flujo pequeños, solo stdin.tools.exec.safeBinTrustedDirs: directorios de confianza adicionales explícitos para rutas ejecutables de bins seguros.tools.exec.safeBinProfiles: política argv explícita para bins seguros personalizados.- lista de permitidos: confianza explícita para rutas ejecutables.
No trates safeBins como una lista de permitidos genérica, y no agregues binarios de intérprete/runtime (por ejemplo python3, node, ruby, bash). Si los necesitas, usa entradas explícitas de lista de permitidos y mantén habilitadas las solicitudes de aprobación.
openclaw security audit advierte cuando faltan perfiles explícitos en entradas safeBins de intérprete/runtime, y openclaw doctor --fix puede crear la estructura de entradas safeBinProfiles personalizadas faltantes.
openclaw security audit y openclaw doctor también advierten cuando agregas explícitamente bins de comportamiento amplio como jq de vuelta a safeBins.
Si incluyes intérpretes explícitamente en la lista de permitidos, habilita tools.exec.strictInlineEval para que las formas de evaluación de código en línea sigan requiriendo revisor o aprobación explícita.
Para ver detalles completos de la política y ejemplos, consulta Aprobaciones de exec y Bins seguros frente a lista de permitidos.
Ejemplos
Primer plano:
{ "tool": "exec", "command": "ls -la" }Segundo plano + sondeo:
{"tool":"exec","command":"npm run build","yieldMs":1000}{"tool":"process","action":"poll","sessionId":"<id>"}El sondeo es para estado bajo demanda, no para bucles de espera. Si el despertar automático al finalizar está habilitado, el comando puede despertar la sesión cuando emite salida o falla.
Enviar teclas (estilo tmux):
{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["Enter"]}{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["C-c"]}{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["Up","Up","Enter"]}Enviar (solo enviar CR):
{ "tool": "process", "action": "submit", "sessionId": "<id>" }Pegar (entre delimitadores de forma predeterminada):
{ "tool": "process", "action": "paste", "sessionId": "<id>", "text": "line1\nline2\n" }apply_patch
apply_patch es una subherramienta de exec para ediciones estructuradas de varios archivos.
Está habilitada de forma predeterminada para los modelos de OpenAI y OpenAI Codex. Usa configuración solo
cuando quieras deshabilitarla o restringirla a modelos específicos:
{ tools: { exec: { applyPatch: { workspaceOnly: true, allowModels: ["gpt-5.5"] }, }, },}Notas:
- Solo disponible para modelos de OpenAI/OpenAI Codex.
- La política de herramientas sigue aplicándose;
allow: ["write"]permite implícitamenteapply_patch. deny: ["write"]no deniegaapply_patch; deniegaapply_patchexplícitamente o usadeny: ["group:fs"]cuando las escrituras de parches también deban bloquearse.- La configuración vive bajo
tools.exec.applyPatch. tools.exec.applyPatch.enabledse establece entruede forma predeterminada; establécelo enfalsepara deshabilitar la herramienta para modelos de OpenAI.tools.exec.applyPatch.workspaceOnlyse establece entruede forma predeterminada (contenido dentro del workspace). Establécelo enfalsesolo si quieres intencionalmente queapply_patchescriba/elimine fuera del directorio del workspace.
Relacionado
- Aprobaciones de exec — barreras de aprobación para comandos de shell
- Sandboxing — ejecutar comandos en entornos en sandbox
- Proceso en segundo plano — exec de larga duración y herramienta de proceso
- Seguridad — política de herramientas y acceso elevado