​

Exec tool

​

Parameters

• command (필수)
• workdir (기본값: cwd)
• env (키/값 재정의)
• yieldMs (기본값 10000): 지연 후 자동 백그라운드
• background (bool): 즉시 백그라운드
• timeout (초, 기본값 1800): 만료 시 종료
• pty (bool): 사용 가능한 경우 의사 터미널에서 실행 (TTY 전용 CLI, 코딩 에이전트, 터미널 UI)
• host (sandbox | gateway | node): 실행 위치
• security (deny | allowlist | full): gateway/node의 강제 모드
• ask (off | on-miss | always): gateway/node에 대한 승인 요청
• node (문자열): host=node를 위한 노드 ID/이름
• elevated (bool): 상위 모드를 요청 (게이트웨이 호스트); elevated가 full로 해석될 때만 security=full이 강제됨

• host의 기본값은 sandbox입니다.
• 샌드박스 격리가 꺼져 있을 때 elevated는 무시됩니다 (exec는 이미 호스트에서 실행).
• gateway/node 승인 관리는 ~/.openclaw/exec-approvals.json에서 이루어집니다.
• node는 짝맞춘 노드(동반 앱 또는 헤드리스 노드 호스트)를 필요로 합니다.
• 여러 노드가 사용할 수 있는 경우, exec.node 또는 tools.exec.node를 설정하여 하나를 선택하십시오.
• Windows가 아닌 호스트에서는, exec가 SHELL을 사용하고, SHELL이 fish인 경우, fish와 호환되지 않는 스크립트를 피하려고 PATH에서 bash(또는 sh)를 선호하며, 존재하지 않으면 SHELL로 되돌립니다.
• 호스트 실행(gateway/node)은 바이너리 하이재킹 또는 주입된 코드를 방지하기 위해 env.PATH와 로더 재정의(LD_*/DYLD_*)를 거부합니다.
• 중요: 샌드박스 격리는 기본적으로 꺼져 있습니다. 샌드박스 격리가 꺼져 있으면, host=sandbox는 게이트웨이 호스트에서 직접 실행됩니다 (컨테이너 없음) 그리고 승인이 필요하지 않습니다. 승인이 필요하면, host=gateway로 실행하고 exec 승인을 구성하십시오 (또는 샌드박스 격리를 활성화).
• 스크립트 사전 검사 (일반적인 Python/Node 쉘 구문 오류 검사)는 유효한 workdir 경계 내의 파일만 검사합니다. 스크립트 경로가 workdir 밖으로 해석되는 경우, 해당 파일에 대한 사전 검사는 건너뜁니다.

​

Config

• tools.exec.notifyOnExit (기본값: true): 참일 경우, 백그라운드로 전환된 exec 세션이 시스템 이벤트를 대기열에 추가하고 종료 시 하트비트를 요청합니다.
• tools.exec.approvalRunningNoticeMs (기본값: 10000): 승인 제한 exec이 이 시간을 초과하여 실행될 때 단일 “실행 중” 알림을 발생시킵니다 (0은 비활성화).
• tools.exec.host (기본값: sandbox)
• tools.exec.security (기본값: 샌드박스는 deny, 게이트웨이 + 노드가 설정되지 않은 경우 allowlist)
• tools.exec.ask (기본값: on-miss)
• tools.exec.node (기본값: 설정되지 않음)
• tools.exec.pathPrepend: exec 실행을 위해 PATH에 추가할 디렉토리 목록 (게이트웨이 + 샌드박스 전용).
• tools.exec.safeBins: 명시적 승인이 필요 없는 표준 입력 전용 안전 바이너리. 동작 세부 사항은 안전한 바이너리를 참조하세요.

{
  tools: {
    exec: {
      pathPrepend: ["~/bin", "/opt/oss/bin"],
    },
  },
}

​

PATH handling

• host=gateway: 로그인 셸 PATH를 exec 환경에 병합합니다. 호스트 실행에 대한 env.PATH 재정의는 거부됩니다. 데몬 자체는 최소한의 PATH로 실행됩니다:
  • macOS: /opt/homebrew/bin, /usr/local/bin, /usr/bin, /bin
  • Linux: /usr/local/bin, /usr/bin, /bin
• host=sandbox: 컨테이너 내부에서 sh -lc (로그인 셸)를 실행하므로 /etc/profile이 PATH를 재설정할 수 있습니다. OpenClaw는 쉘 인터폴레이션 없이 내부 환경 변수를 통해 프로필 소싱 후 env.PATH를 선행합니다; tools.exec.pathPrepend도 여기 적용됩니다.
• host=node: 전달하는 차단되지 않은 환경 변수만 노드로 전송됩니다. 호스트 실행은 env.PATH 재정의를 거부하며 노드 호스트에 의해 무시됩니다. 노드에 추가적인 PATH 항목이 필요한 경우, 노드 호스트 서비스 환경을 구성하십시오 (systemd/launchd) 또는 표준 위치에 도구를 설치하세요.

openclaw config get agents.list
openclaw config set agents.list[0].tools.exec.node "node-id-or-name"

​

Session overrides (/exec)

/exec host=gateway security=allowlist ask=on-miss node=mac-1

​

Authorization model

​

Exec approvals (동반 앱 / 노드 호스트)

​

Allowlist + safe bins

​

Examples

{ "tool": "exec", "command": "ls -la" }

{"tool":"exec","command":"npm run build","yieldMs":1000}
{"tool":"process","action":"poll","sessionId":"<id>"}

{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["Enter"]}
{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["C-c"]}
{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["Up","Up","Enter"]}

{ "tool": "process", "action": "submit", "sessionId": "<id>" }

{ "tool": "process", "action": "paste", "sessionId": "<id>", "text": "line1\nline2\n" }

​

apply_patch (실험적)

{
  tools: {
    exec: {
      applyPatch: { enabled: true, workspaceOnly: true, allowModels: ["gpt-5.2"] },
    },
  },
}

• OpenAI/OpenAI Codex 모델에서만 사용 가능합니다.
• 도구 정책은 여전히 적용됩니다; allow: ["exec"]는 apply_patch를 암시적으로 허용합니다.
• 설정은 tools.exec.applyPatch에 저장됩니다.
• tools.exec.applyPatch.workspaceOnly는 기본적으로 true (워크스페이스 내). 의도적으로 워크스페이스 디렉토리 외부에 쓰기/삭제하려는 경우에만 false로 설정하세요.