本地运行 OpenClaw?Docker 给出了目前最安全的方案。不是因为外面太危险——而是因为你不知道 AI 代理在你的机器上悄悄干了什么。
OpenClaw 是今年最火的开源 AI 编码代理之一,上线一周就在 GitHub 斩获 15 万 Star,被称为"最疯狂的 AI 编程工具"。
它能在你的本地机器上跑起来,调用大模型帮你写代码、改 Bug、执行终端命令——一条指令,一支 AI 军队。
但问题也恰恰出在这里。
OpenClaw 是一个 AI 代理。
代理意味着它会自己做决策、自己执行操作。它有能力:
- 读写你机器上的任意文件
- 发起任意网络请求
- 接触你设置的 API 密钥(Anthropic、OpenAI……)
- 执行任意 Shell 命令
当你在本地跑 OpenClaw,你实际上是把一个有相当大权限的"AI 员工"放进了自己的机器里。它越聪明,你就越需要给它画一条边界。
这不是危言耸听,这是 AI 代理时代每个开发者都该想清楚的问题。
近日,Docker 官方发布了一篇技术博客,标题是:Run OpenClaw Securely in Docker Sandboxes。
核心方案是两样新东西的组合:
- Docker Sandboxes:在隔离的微型虚拟机(microVM)里运行 AI 代理
- Docker Model Runner:在本地运行 LLM 推理引擎,不需要任何云 API
两者配合,可以让 OpenClaw 在一个完全受控的沙盒环境里运行,对外世界几乎透明,但对内部主机极度隔离。
Docker 官方给出的 Slogan 很简洁:"用大约 2 个命令,保护你的 Agent 工作流"。
Docker Sandboxes 是 Docker 生态里的一种新的运行原语(primitive)。
它不是普通的容器,而是运行在**微型虚拟机(microVM)**里的隔离环境。这个区别很重要:
| 对比 | 普通容器 | Docker Sandboxes(microVM) |
|---|---|---|
| 内核隔离 | 共享主机内核 | 独立内核 |
| 网络访问 | 默认可访问外部 | 代理层控制,可拒绝任意主机 |
| 文件访问 | 挂载目录可读写 | 只能访问分配的工作区 |
| API 密钥 | 需要手动管理 | Sandbox 代理自动注入,代理内不可见 |
微 VM 级别的隔离意味着什么?
OpenClaw 在 Sandbox 里运行,它能碰到的,就只有你给它的那片空间。它想访问主机文件系统?不行。它想往某个它不该去的地方发请求?代理层直接拒掉。
最关键的一点:API 密钥由 Sandbox 代理自动注入,OpenClaw 本身永远拿不到密钥原文。即使它被某种方式劫持,也无法把你的密钥泄露出去。
Docker Model Runner 是 Docker Desktop 里内置的本地 LLM 推理引擎,绑定在主机的 。
