Exec 工具

适用范围

在以下情况使用此页面：

使用或修改 exec 工具
调试 stdin 或 TTY 行为

在工作空间中运行 shell 命令。支持前台 + 后台执行（通过 process）。如果 process 被禁止，exec 会同步运行并忽略 yieldMs/background。后台会话的作用域是每个代理；process 只能看到来自同一代理的会话。

参数

command（必需）
workdir（默认为 cwd）
env（键/值覆盖）
yieldMs（默认 10000）：延迟后自动后台
background（布尔值）：立即后台
timeout（秒，默认 1800）：到期时终止
pty（布尔值）：在可用时在伪终端中运行（仅限 TTY 的 CLI、编码代理、终端 UI）
host（sandbox | gateway | node）：执行位置
security（deny | allowlist | full）：gateway/node 的强制模式
ask（off | on-miss | always）：gateway/node 的批准提示
node（字符串）：host=node 的节点 id/名称
elevated（布尔值）：请求提升模式（网关主机）；仅当提升解析为 full 时才强制 security=full

注意：

host 默认为 sandbox。
当沙箱关闭时，elevated 被忽略（exec 已在主机上运行）。
gateway/node 批准由 ~/.moltbot/exec-approvals.json 控制。
node 需要配对的节点（配套应用或无头节点主机）。
如果有多个节点可用，请设置 exec.node 或 tools.exec.node 来选择一个。
在非 Windows 主机上，exec 在设置时使用 SHELL；如果 SHELL 是 fish，它更喜欢 bash（或 sh）从 PATH 中以避免不兼容 fish 的脚本，然后如果两者都不存在则回退到 SHELL。

配置

tools.exec.notifyOnExit（默认：true）：当为 true 时，后台 exec 会话在退出时将系统事件加入队列并请求心跳。
tools.exec.approvalRunningNoticeMs（默认：10000）：当批准门控的 exec 运行时间超过此值时，发出单个"运行中"通知（0 禁用）。
tools.exec.host（默认：sandbox）
tools.exec.security（默认：沙箱为 deny，未设置时网关 + 节点为 allowlist）
tools.exec.ask（默认：on-miss）
tools.exec.node（默认：未设置）
tools.exec.pathPrepend：要在 exec 运行时预先添加到 PATH 的目录列表。
tools.exec.safeBins：可以在没有明确允许列表条目的情况下运行的标准仅安全二进制文件。

示例：

{
  tools: {
    exec: {
      pathPrepend: ["~/bin", "/opt/oss/bin"]
    }
  }
}

PATH 处理

host=gateway：将你的登录 shell PATH 合并到 exec 环境中（除非 exec 调用已设置 env.PATH）。守护进程本身仍以最小的 PATH 运行：
- macOS：/opt/homebrew/bin、/usr/local/bin、/usr/bin、/bin
- Linux：/usr/local/bin、/usr/bin、/bin
host=sandbox：在容器内运行 sh -lc（登录 shell），因此 /etc/profile 可能会重置 PATH。 Moltbot 在配置源之后预先添加 env.PATH；tools.exec.pathPrepend 也在此应用。
host=node：只有你传递的环境覆盖才会发送到节点。仅当 exec 调用已设置 env.PATH 时，tools.exec.pathPrepend 才应用。无头节点主机仅接受 PATH，当它预先添加节点主机 PATH 时（无替换）。macOS 节点完全删除 PATH 覆盖。

每个代理的节点绑定（在配置中使用代理列表索引）：

moltbot config get agents.list
moltbot config set agents.list[0].tools.exec.node "node-id-or-name"

控制 UI：节点选项卡包含一个小型的"Exec 节点绑定"面板，用于相同的设置。

会话覆盖（`/exec`）

使用 /exec 为 host、security、ask 和 node 设置每个会话的默认值。不带参数发送 /exec 以显示当前值。

示例：

/exec host=gateway security=allowlist ask=on-miss node=mac-1

Exec 批准（配套应用 / 节点主机）

沙箱代理可以要求在网关或节点主机上运行 exec 之前获得每个请求的批准。参见Exec 批准了解策略、允许列表和 UI 流程。

当需要批准时，exec 工具立即返回并带有 status: "approval-pending" 和批准 id。一旦批准（或拒绝/超时），网关会发出系统事件（Exec finished / Exec denied）。如果命令在 tools.exec.approvalRunningNoticeMs 之后仍在运行，则会发出单个 Exec running 通知。

允许列表 + 安全二进制文件

允许列表强制仅匹配已解析的二进制路径（无基本名称匹配）。当 security=allowlist 时，仅当每个管道段都在允许列表中或是安全二进制文件时，shell 命令才会被自动允许。在允许列表模式下，链接（;、&&、||）和重定向会被拒绝。

示例

前台：

{"tool":"exec","command":"ls -la"}

后台 + 轮询：

{"tool":"exec","command":"npm run build","yieldMs":1000}
{"tool":"process","action":"poll","sessionId":"<id>"}

发送按键（tmux 风格）：

{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["Enter"]}
{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["C-c"]}
{"tool":"process","action":"send-keys","sessionId":"<id>","keys":["Up","Up","Enter"]}

提交（仅发送 CR）：

{"tool":"process","action":"submit","sessionId":"<id>"}

粘贴（默认加括号）：

{"tool":"process","action":"paste","sessionId":"<id>","text":"line1\nline2\n"}

apply_patch（实验性）

apply_patch 是 exec 的子工具，用于结构化的多文件编辑。显式启用它：

{
  tools: {
    exec: {
      applyPatch: { enabled: true, allowModels: ["gpt-5.2"] }
    }
  }
}

注意：

仅适用于 OpenAI/OpenAI Codex 模型。
工具策略仍然适用；allow: ["exec"] 隐式允许 apply_patch。
配置位于 tools.exec.applyPatch 下。

ClawdHub Exec 审批与白名单（Exec approvals）