openclaw approvals
Verwalten Sie Exec-Genehmigungen für den lokalen Host, den Gateway-Host oder einen Node-Host.
Standardmäßig richten sich Befehle an die lokale Genehmigungsdatei auf dem Datenträger. Verwenden Sie --gateway, um den Gateway anzusteuern, oder --node, um einen bestimmten Node anzusteuern.
Alias: openclaw exec-approvals
Verwandt:
- Exec-Genehmigungen: Exec-Genehmigungen
- Nodes: Nodes
openclaw exec-policy
openclaw exec-policy ist der lokale Komfortbefehl, um die angeforderte
tools.exec.*-Konfiguration und die Genehmigungsdatei des lokalen Hosts in einem Schritt synchron zu halten.
Verwenden Sie ihn, wenn Sie Folgendes möchten:
- die lokal angeforderte Richtlinie, die Host-Genehmigungsdatei und die effektive Zusammenführung prüfen
- ein lokales Preset wie YOLO oder deny-all anwenden
- lokale
tools.exec.*-Werte und die Genehmigungsdatei des lokalen Hosts synchronisieren
- kein
--json: gibt die menschenlesbare Tabellenansicht aus --json: gibt maschinenlesbare strukturierte Ausgabe aus
exec-policyist nur lokal- aktualisiert die lokale Konfigurationsdatei und die lokale Genehmigungsdatei gemeinsam
- überträgt die Richtlinie nicht an den Gateway-Host oder einen Node-Host
--host nodewird in diesem Befehl abgelehnt, weil Node-Exec-Genehmigungen zur Laufzeit vom Node abgerufen werden und stattdessen über Node-spezifische Genehmigungsbefehle verwaltet werden müssenopenclaw exec-policy showmarkierthost=node-Geltungsbereiche zur Laufzeit als Node-verwaltet, statt eine effektive Richtlinie aus der lokalen Genehmigungsdatei abzuleiten
openclaw approvals set --gateway
oder openclaw approvals set --node <id|name|ip>.
Häufige Befehle
openclaw approvals get zeigt jetzt die effektive Exec-Richtlinie für lokale, Gateway- und Node-Ziele an:
- angeforderte
tools.exec-Richtlinie - Richtlinie der Host-Genehmigungsdatei
- effektives Ergebnis nach Anwendung der Vorrangregeln
- die Host-Genehmigungsdatei ist die durchsetzbare Quelle der Wahrheit
- die angeforderte
tools.exec-Richtlinie kann die Absicht einschränken oder erweitern, aber das effektive Ergebnis wird weiterhin aus den Host-Regeln abgeleitet --nodekombiniert die Genehmigungsdatei des Node-Hosts mit der Gateway-tools.exec-Richtlinie, weil beide zur Laufzeit weiterhin gelten- wenn die Gateway-Konfiguration nicht verfügbar ist, fällt die CLI auf den Node-Genehmigungs-Snapshot zurück und merkt an, dass die endgültige Laufzeitrichtlinie nicht berechnet werden konnte
Genehmigungen aus einer Datei ersetzen
set akzeptiert JSON5, nicht nur striktes JSON. Verwenden Sie entweder --file oder --stdin, nicht beides.
Beispiel für „Nie nachfragen“ / YOLO
Für einen Host, der nie wegen Exec-Genehmigungen anhalten soll, setzen Sie die Standardwerte der Host-Genehmigungen auffull + off:
tools.exec.host=gateway in diesem Beispiel:
host=autobedeutet weiterhin „Sandbox, wenn verfügbar, andernfalls Gateway“.- Bei YOLO geht es um Genehmigungen, nicht um Routing.
- Wenn Sie Host-Exec auch dann verwenden möchten, wenn eine Sandbox konfiguriert ist, machen Sie die Host-Auswahl mit
gatewayoder/exec host=gatewayexplizit.
askFallback verwendet standardmäßig deny. Setzen Sie askFallback: "full"
explizit, wenn Sie einen Host ohne UI aktualisieren, der das Verhalten „nie nachfragen“ beibehalten soll.
Lokale Abkürzung:
tools.exec.*-Konfiguration als auch die
lokalen Genehmigungsstandardwerte gemeinsam. Sie entspricht in der Absicht der manuellen zweistufigen
Einrichtung oben, gilt aber nur für den lokalen Computer.
Allowlist-Hilfsbefehle
Häufige Optionen
get, set und allowlist add|remove unterstützen alle:
--node <id|name|ip>--gateway- gemeinsame Node-RPC-Optionen:
--url,--token,--timeout,--json
- keine Ziel-Flags bedeuten die lokale Genehmigungsdatei auf dem Datenträger
--gatewayrichtet sich an die Genehmigungsdatei des Gateway-Hosts--noderichtet sich nach Auflösung von ID, Name, IP oder ID-Präfix an einen Node-Host
allowlist add|remove unterstützt außerdem:
--agent <id>(standardmäßig*)
Hinweise
--nodeverwendet denselben Resolver wieopenclaw nodes(ID, Name, IP oder ID-Präfix).--agentist standardmäßig"*", was für alle Agenten gilt.- Der Node-Host muss
system.execApprovals.get/setankündigen (macOS-App oder Headless-Node-Host). - Genehmigungsdateien werden pro Host im OpenClaw-State-Verzeichnis gespeichert
(
$OPENCLAW_STATE_DIR/exec-approvals.jsonoder~/.openclaw/exec-approvals.json, wenn die Variable nicht gesetzt ist).