Pourquoi une OpenClaw sandbox doit être le réflexe sûr
Les agents de code façon OpenClaw sont puissants parce qu’ils lancent des commandes, modifient des fichiers, installent des paquets et continuent en arrière-plan. C’est précisément pour cela qu’ils doivent passer par une sandbox avant de toucher un dépôt réel, un .env partagé ou un chemin de déploiement.
Office Claws n’est pas un runtime OpenClaw natif. Le modèle sûr reste valable : contrôle local, travail risqué dans des runners jetables et agents appuyés par Codex dans un espace borné. Si tu compares encore les runtimes, commence par OpenClaw vs Codex. Ici, on décrit la sandbox autour de l’agent.
Ce qui doit rester dans la sandbox
Une bonne OpenClaw sandbox est plus petite qu’un laptop de développeur et plus stricte qu’un VPS classique.
| Couche | Règle de sandbox | Pourquoi c’est important |
|---|---|---|
| Code source | Branche ou worktree neuf par tâche | Évite qu’un agent casse un autre travail |
| Secrets | Jeton limité, jamais le coffre opérateur | Réduit l’impact d’une prompt injection |
| Réseau | Autoriser registres de paquets et GitHub; vérifier le reste | Limite l’exfiltration et les callbacks surprises |
| Fichiers | Dépôt modifiable, cache temporaire, pas de bazar dans home | Rend le nettoyage fiable |
| Runtime | Limites CPU, mémoire, temps et coût | Stoppe les commandes et boucles API incontrôlées |
| Sortie | PR, patch, logs et résultat de tests | Garde la revue lisible |
C’est l’application concrète des OpenClaw security best practices : l’agent est utile, mais son environnement peut être influencé par du code non fiable.
Architecture pratique
La structure sûre comporte quatre parties : machine locale, broker de credentials, runner jetable et porte de revue.
Office Claws desktop
├─ garde les credentials durables localement
├─ approuve tâche, branche, budget et politique runner
└─ renvoie logs et statut à l’opérateur
│
▼
broker de credentials
└─ crée un jeton repo temporaire pour une tâche
│
▼
VPS sandbox
├─ checkout ou worktree propre
├─ exécution appuyée par Codex
├─ aucun secret de production sur disque
└─ destruction ou reset en fin de tâche
│
▼
revue PR / patchPour l’exécution distante, lis OpenClaw on VPS et OpenClaw desktop manager. Office Claws for OpenClaw users sert ici de couche locale : coordination des runners, visibilité centralisée et fin des panneaux tmux oubliés comme plan de contrôle.
Pannes à contenir
- Prompt injection depuis le dépôt. Issues, README, scripts et fixtures ne sont pas des entrées fiables.
- Dépendances compromises. Le runner peut installer des paquets, mais il doit rester jetable.
- Coûts incontrôlés. Budgets pour appels modèle, durée, file et retries évitent les boucles coûteuses.
- Workspaces sales. Une tâche = une branche, un worktree, une surface de revue.
C’est pourquoi OpenClaw monitoring accompagne la sandbox : logs et reprise sont des contrôles de sécurité.
Checklist minimale
- Créer un worktree ou une VM propre par tâche significative.
- Utiliser des jetons GitHub limités au dépôt et à courte durée.
- Garder les clés fournisseur localement ou via broker.
- Bloquer les credentials de production sur les runners.
- Exécuter les tests dans la sandbox et publier le résultat avec le patch.
- Rendre les logs visibles sans chasse au SSH.
- Supprimer ou réinitialiser le runner après la tâche.
Le but n’est pas de rendre les agents impuissants, mais de rendre les erreurs peu coûteuses, visibles et réversibles.
Où Office Claws s’insère
Office Claws facilite ce modèle avec gestion desktop, runners VPS, visibilité de file, revue des logs et gestion locale des clés. Aujourd’hui, il est Codex-first : le message honnête n’est pas qu’il exécute OpenClaw nativement, mais que les équipes OpenClaw ont besoin d’une couche d’exploitation durable.
Voir Office Claws for OpenClaw users, OpenClaw vs Codex, puis OpenClaw secrets management.
Recommandation
Fais de la sandbox le défaut : contrôle local, isolation distante, logs visibles, jetons limités et revue avant tout changement important.