Agent coordination
Багатоагентна пісочниця та інструменти
Кожен агент у багатоагентному налаштуванні може перевизначати глобальні політики пісочниці та інструментів. На цій сторінці описано конфігурацію для окремих агентів, правила пріоритету та приклади.
Бекенди та режими — повна довідка з пісочниці.
Налагодження: «чому це заблоковано?»
Підвищений exec для довірених відправників.
Приклади конфігурації
Приклад 1: особистий агент + обмежений сімейний агент
{ "agents": { "list": [ { "id": "main", "default": true, "name": "Personal Assistant", "workspace": "~/.openclaw/workspace", "sandbox": { "mode": "off" } }, { "id": "family", "name": "Family Bot", "workspace": "~/.openclaw/workspace-family", "sandbox": { "mode": "all", "scope": "agent" }, "tools": { "allow": ["read", "message"], "deny": ["exec", "write", "edit", "apply_patch", "process", "browser"], "message": { "crossContext": { "allowWithinProvider": false, "allowAcrossProviders": false } } } } ] }, "bindings": [ { "agentId": "family", "match": { "provider": "whatsapp", "accountId": "*", "peer": { "kind": "group", "id": "[email protected]" } } } ]}Результат:
- агент
main: працює на хості, повний доступ до інструментів. - агент
family: працює в Docker (один контейнер на агента), лишеreadі надсилання повідомлень у поточній розмові.
Приклад 2: робочий агент зі спільною пісочницею
{ "agents": { "list": [ { "id": "personal", "workspace": "~/.openclaw/workspace-personal", "sandbox": { "mode": "off" } }, { "id": "work", "workspace": "~/.openclaw/workspace-work", "sandbox": { "mode": "all", "scope": "shared", "workspaceRoot": "/tmp/work-sandboxes" }, "tools": { "allow": ["read", "write", "apply_patch", "exec"], "deny": ["browser", "gateway", "discord"] } } ] }}Приклад 2b: глобальний профіль кодування + агент лише для повідомлень
{ "tools": { "profile": "coding" }, "agents": { "list": [ { "id": "support", "tools": { "profile": "messaging", "allow": ["slack"] } } ] }}Результат:
- типові агенти отримують інструменти для кодування.
- агент
supportпризначений лише для повідомлень (+ інструмент Slack).
Приклад 3: різні режими пісочниці для кожного агента
{ "agents": { "defaults": { "sandbox": { "mode": "non-main", "scope": "session" } }, "list": [ { "id": "main", "workspace": "~/.openclaw/workspace", "sandbox": { "mode": "off" } }, { "id": "public", "workspace": "~/.openclaw/workspace-public", "sandbox": { "mode": "all", "scope": "agent" }, "tools": { "allow": ["read"], "deny": ["exec", "write", "edit", "apply_patch"] } } ] }}Пріоритет конфігурації
Коли існують і глобальні (agents.defaults.*), і специфічні для агента (agents.list[].*) конфігурації:
Конфігурація пісочниці
Параметри конкретного агента перевизначають глобальні:
agents.list[].sandbox.mode > agents.defaults.sandbox.modeagents.list[].sandbox.scope > agents.defaults.sandbox.scopeagents.list[].sandbox.workspaceRoot > agents.defaults.sandbox.workspaceRootagents.list[].sandbox.workspaceAccess > agents.defaults.sandbox.workspaceAccessagents.list[].sandbox.docker.* > agents.defaults.sandbox.docker.*agents.list[].sandbox.browser.* > agents.defaults.sandbox.browser.*agents.list[].sandbox.prune.* > agents.defaults.sandbox.prune.*Обмеження інструментів
Порядок фільтрації такий:
Профіль інструментів
tools.profile або agents.list[].tools.profile.
Профіль інструментів провайдера
tools.byProvider[provider].profile або agents.list[].tools.byProvider[provider].profile.
Глобальна політика інструментів
tools.allow / tools.deny.
Політика інструментів провайдера
tools.byProvider[provider].allow/deny.
Політика інструментів конкретного агента
agents.list[].tools.allow/deny.
Політика провайдера агента
agents.list[].tools.byProvider[provider].allow/deny.
Політика інструментів пісочниці
tools.sandbox.tools або agents.list[].tools.sandbox.tools.
Політика інструментів субагента
tools.subagents.tools, якщо застосовно.
Правила пріоритету
- Кожен рівень може додатково обмежувати інструменти, але не може знову дозволити інструменти, заборонені на попередніх рівнях.
- Якщо задано
agents.list[].tools.sandbox.tools, воно замінюєtools.sandbox.toolsдля цього агента. - Якщо задано
agents.list[].tools.profile, воно перевизначаєtools.profileдля цього агента. - Ключі інструментів провайдера приймають або
provider(наприклад,google-antigravity), абоprovider/model(наприклад,openai/gpt-5.4).
Поведінка порожнього allowlist
Якщо будь-який явний allowlist у цьому ланцюжку залишає запуск без доступних для виклику інструментів, OpenClaw зупиняється до надсилання prompt до моделі. Це навмисно: агент, налаштований із відсутнім інструментом, як-от agents.list[].tools.allow: ["query_db"], має явно завершитися помилкою, доки не буде ввімкнено Plugin, що реєструє query_db, а не продовжувати як агент лише для тексту.
Політики інструментів підтримують скорочення group:*, які розгортаються в кілька інструментів. Повний список див. у Групи інструментів.
Перевизначення підвищеного режиму для окремих агентів (agents.list[].tools.elevated) можуть додатково обмежувати підвищений exec для конкретних агентів. Докладніше див. у Підвищений режим.
Міграція з одного агента
До (один агент)
{ "agents": { "defaults": { "workspace": "~/.openclaw/workspace", "sandbox": { "mode": "non-main" } } }, "tools": { "sandbox": { "tools": { "allow": ["read", "write", "apply_patch", "exec"], "deny": [] } } }}Після (multi-agent)
{ "agents": { "list": [ { "id": "main", "default": true, "workspace": "~/.openclaw/workspace", "sandbox": { "mode": "off" } } ] }}Приклади обмеження інструментів
Агент лише для читання
{ "tools": { "allow": ["read"], "deny": ["exec", "write", "edit", "apply_patch", "process"] }}Виконання оболонки з вимкненими інструментами файлової системи
{ "tools": { "allow": ["read", "exec", "process"], "deny": ["write", "edit", "apply_patch", "browser", "gateway"] }}Лише комунікація
{ "tools": { "sessions": { "visibility": "tree" }, "allow": ["sessions_list", "sessions_send", "sessions_history", "session_status"], "deny": ["exec", "write", "edit", "apply_patch", "read", "browser"] }}sessions_history у цьому профілі все одно повертає обмежений, очищений вигляд пригадування, а не необроблений дамп транскрипту. Пригадування асистента видаляє теги мислення, каркас <relevant-memories>, XML-навантаження викликів інструментів у звичайному тексті (зокрема <tool_call>...</tool_call>, <function_call>...</function_call>, <tool_calls>...</tool_calls>, <function_calls>...</function_calls> і обрізані блоки викликів інструментів), понижений каркас викликів інструментів, витеклі ASCII/повноширинні керівні токени моделі та некоректний XML викликів інструментів MiniMax перед редагуванням/обрізанням.
Поширена помилка: "non-main"
Тестування
Після налаштування пісочниці та інструментів для multi-agent:
Перевірте визначення агента
openclaw agents list --bindingsПеревірте контейнери пісочниці
docker ps --filter "name=openclaw-sbx-"Протестуйте обмеження інструментів
- Надішліть повідомлення, яке потребує обмежених інструментів.
- Переконайтеся, що агент не може використовувати заборонені інструменти.
Відстежуйте журнали
tail -f "${OPENCLAW_STATE_DIR:-$HOME/.openclaw}/logs/gateway.log" | grep -E "routing|sandbox|tools"Усунення несправностей
Агент не ізольований у пісочниці попри `mode: 'all'`
- Перевірте, чи немає глобального
agents.defaults.sandbox.mode, який його перевизначає. - Конфігурація конкретного агента має пріоритет, тому задайте
agents.list[].sandbox.mode: "all".
Інструменти все ще доступні попри список заборон
- Перевірте порядок фільтрації інструментів: глобальний → агент → пісочниця → підагент.
- Кожен рівень може лише додатково обмежувати, а не повертати дозволи.
- Перевірте за журналами:
[tools] filtering tools for agent:${agentId}.
Контейнер не ізольований для кожного агента
- Задайте
scope: "agent"у конфігурації пісочниці конкретного агента. - Типове значення —
"session", що створює один контейнер на сесію.
Пов’язане
- Підвищений режим
- Маршрутизація між агентами
- Конфігурація пісочниці
- Пісочниця порівняно з політикою інструментів і підвищеним режимом — налагодження «чому це заблоковано?»
- Ізоляція в пісочниці — повний довідник пісочниці (режими, області, бекенди, образи)
- Керування сеансами