openclaw approvals
ローカルホスト、Gateway ホスト、またはノードホストの exec 承認を管理します。ターゲットフラグを指定しない場合、コマンドはディスク上のローカル承認ファイルを読み書きします。Gateway を対象にするには --gateway を使い、特定のノードを対象にするには --node <id|name|ip> を使います。
エイリアス: openclaw exec-approvals
関連: Exec 承認、ノード
openclaw exec-policy
openclaw exec-policy は、要求された tools.exec.* 設定とローカルホストの承認ファイルを 1 ステップで同期する、ローカル専用の便利コマンドです。
yolo, cautious, deny-all) は host、security、ask、askFallback をまとめて適用します。set は渡したフラグだけを適用します。受け付けられる各値は検証されます (--host auto|sandbox|gateway|node, --security deny|allowlist|full, --ask off|on-miss|always, --ask-fallback deny|allowlist|full)。
スコープ:
- ローカル設定ファイルとローカル承認ファイルをまとめて更新します。ポリシーを Gateway やノードホストへプッシュしません。
--host nodeは拒否されます。ノードの exec 承認は実行時にノードから取得されるため、ローカルのexec-policyでは同期できません。代わりにopenclaw approvals set --node <id|name|ip>を使ってください。exec-policy showは、ローカル承認ファイルから有効ポリシーを導出する代わりに、host=nodeスコープを実行時にノード管理として表示します。
openclaw approvals set --gateway または openclaw approvals set --node <id|name|ip> を直接使ってください。
よく使うコマンド
get は対象の有効な exec ポリシーを表示します。要求された tools.exec ポリシー、ホスト承認ファイルのポリシー、そしてマージ後の有効な結果です。
優先順位:
- ホスト承認ファイルが、強制適用可能な信頼できる情報源です。
- 要求された
tools.execポリシーは意図を狭めたり広げたりできますが、有効な結果はホストルールから導出されます。 --nodeは、ノードホストの承認ファイルと Gateway のtools.execポリシーを組み合わせます。どちらも実行時に適用されます。- Gateway 設定を利用できない場合、CLI はノード承認スナップショットにフォールバックし、最終的な実行時ポリシーを計算できなかったことを示します。
ファイルから承認を置き換える
set は厳密な JSON だけでなく JSON5 も受け付けます。--file と --stdin のどちらか一方を使い、両方は使わないでください。
「プロンプトを出さない」/ YOLO の例
exec 承認で停止すべきでないホストでは、ホスト承認のデフォルトをfull + off に設定します。
openclaw approvals set --node <id|name|ip> --stdin とともに使います。
これはホスト承認ファイルだけを変更します。要求される OpenClaw ポリシーも揃えるには、次も設定します。
tools.exec.host=gateway を明示しているのは、host=auto が依然として「サンドボックスが利用可能ならサンドボックス、そうでなければ Gateway」を意味するためです。YOLO は承認に関するものであり、ルーティングに関するものではありません。サンドボックスが設定されていてもホスト exec を使いたい場合は、gateway (または /exec host=gateway) を使ってください。
省略された askFallback のデフォルトは deny です。UI のないホストを、プロンプトを出さない動作のままアップグレードする場合は、askFallback: "full" を明示的に設定してください。
同じ意図をローカルマシンだけで実現するローカルショートカット:
Allowlist ヘルパー
共通オプション
get、set、allowlist add|remove はすべて次をサポートします。
--node <id|name|ip>(id、名前、IP、または id プレフィックスを解決します。openclaw nodesと同じリゾルバーです)--gateway- 共有ノード RPC オプション:
--url、--token、--timeout、--json
allowlist add|remove は --agent <id> もサポートします (デフォルトは "*" で、すべてのエージェントに適用されます)。
注意
- ノードホストは
system.execApprovals.get/setを公開している必要があります (macOS アプリまたはヘッドレスノードホスト)。 - 承認ファイルは OpenClaw state dir 内にホストごとに保存されます。
$OPENCLAW_STATE_DIR/exec-approvals.json、または変数が未設定の場合は~/.openclaw/exec-approvals.jsonです。