Naar hoofdinhoud gaan
Geavanceerde onderwerpen voor exec-goedkeuringen: de snelle route safeBins, interpreter-/runtimebinding en doorsturen van goedkeuringen naar chatkanalen (inclusief native bezorging). Zie Exec-goedkeuringen voor het kernbeleid en de goedkeuringsflow.

Veilige bins (alleen stdin)

tools.exec.safeBins definieert een kleine lijst met binaire bestanden die alleen stdin gebruiken (bijvoorbeeld cut) en die in allowlist-modus zonder expliciete allowlist-vermeldingen kunnen worden uitgevoerd. Veilige bins weigeren positionele bestandsargumenten en padachtige tokens, zodat ze alleen op de binnenkomende stream kunnen werken. Behandel dit als een smalle snelle route voor streamfilters, niet als een algemene vertrouwenslijst.
Voeg geen interpreter- of runtime-binaries (bijvoorbeeld python3, node, ruby, bash, sh, zsh) toe aan safeBins. Als een opdracht code kan evalueren, subopdrachten kan uitvoeren of standaard bestanden kan lezen, geef dan de voorkeur aan expliciete allowlist-vermeldingen en houd goedkeuringsprompts ingeschakeld. Aangepaste veilige bins moeten een expliciet profiel definiëren in tools.exec.safeBinProfiles.<bin>.
Standaard veilige bins: cut, uniq, head, tail, tr, wc grep en sort staan niet in de standaardlijst. Als je ze expliciet inschakelt, behoud dan expliciete allowlist-vermeldingen voor hun workflows die niet via stdin lopen. Geef voor grep in safe-bin-modus het patroon op met -e/--regexp; de positionele patroonvorm wordt geweigerd, zodat bestandsoperanden niet als dubbelzinnige positionele argumenten kunnen worden meegesmokkeld.

Argv-validatie en geweigerde vlaggen

Validatie is deterministisch op basis van alleen de argv-vorm (geen controles op het bestaan van bestanden op het hostsysteem), wat voorkomt dat allow/deny-verschillen als oracle voor bestandsbestaan werken. Bestandsgerichte opties worden geweigerd voor standaard veilige bins; lange opties worden fail-closed gevalideerd (onbekende vlaggen en dubbelzinnige afkortingen worden geweigerd). Geweigerde vlaggen per safe-bin-profiel:
  • grep: --dereference-recursive, --directories, --exclude-from, --file, --recursive, -R, -d, -f, -r
  • jq: --argfile, --from-file, --library-path, --rawfile, --slurpfile, -L, -f
  • sort: --compress-program, --files0-from, --output, --random-source, --temporary-directory, -T, -o
  • wc: --files0-from
Veilige bins dwingen ook af dat argv-tokens tijdens uitvoering als letterlijke tekst worden behandeld (geen globbing en geen uitbreiding van $VARS) voor segmenten die alleen stdin gebruiken, zodat patronen zoals * of $HOME/... niet kunnen worden gebruikt om bestandslezingen mee te smokkelen.

Vertrouwde binaire mappen

Veilige bins moeten worden herleid vanuit vertrouwde binaire mappen (systeemstandaarden plus optioneel tools.exec.safeBinTrustedDirs). PATH-vermeldingen worden nooit automatisch vertrouwd. De standaard vertrouwde mappen zijn bewust minimaal: /bin, /usr/bin. Als je safe-bin-executable in package-manager-/gebruikerspaden staat (bijvoorbeeld /opt/homebrew/bin, /usr/local/bin, /opt/local/bin, /snap/bin), voeg die dan expliciet toe aan tools.exec.safeBinTrustedDirs.

Shellketens, wrappers en multiplexers

Shellketens (&&, ||, ;) zijn toegestaan wanneer elk segment op topniveau voldoet aan de allowlist (inclusief veilige bins of automatische toestemming via Skills). Redirections blijven niet ondersteund in allowlist-modus. Opdrachtsubstitutie ($() / backticks) wordt geweigerd tijdens allowlist-parsing, ook binnen dubbele aanhalingstekens; gebruik enkele aanhalingstekens als je letterlijke $()-tekst nodig hebt. Bij goedkeuringen via de macOS companion-app wordt ruwe shelltekst die shellcontrole- of uitbreidingssyntaxis bevat (&&, ||, ;, |, `, $, <, >, (, )) behandeld als een allowlist-misser, tenzij de shellbinary zelf op de allowlist staat. Voor shellwrappers (bash|sh|zsh ... -c/-lc) worden request-scoped env-overrides teruggebracht tot een kleine expliciete allowlist (TERM, LANG, LC_*, COLORTERM, NO_COLOR, FORCE_COLOR). Voor allow-always-beslissingen in allowlist-modus slaan bekende dispatch-wrappers (env, flock, nice, nohup, stdbuf, timeout) het pad van de innerlijke executable op in plaats van het wrapperpad. Shellmultiplexers (busybox, toybox) worden voor shellapplets (sh, ash, enz.) op dezelfde manier uitgepakt. Als een wrapper of multiplexer niet veilig kan worden uitgepakt, wordt er automatisch geen allowlist-vermelding opgeslagen. Als je interpreters zoals python3 of node op de allowlist zet, geef dan de voorkeur aan tools.exec.strictInlineEval=true, zodat inline eval nog steeds expliciete goedkeuring vereist. In strikte modus kan allow-always nog steeds onschuldige interpreter-/scriptaanroepen opslaan, maar inline-eval-dragers worden niet automatisch opgeslagen.

Veilige bins versus allowlist

Onderwerptools.exec.safeBinsAllowlist (exec-approvals.json)
DoelSmalle stdin-filters automatisch toestaanSpecifieke executables expliciet vertrouwen
MatchtypeExecutablenaam + safe-bin-argv-beleidOpgeloste executable-padglob, of kale opdrachtnaamglob voor via PATH aangeroepen opdrachten
ArgumentbereikBeperkt door safe-bin-profiel en regels voor letterlijke tokensPadmatch standaard; optioneel kan argPattern geparsede argv beperken
Typische voorbeeldenhead, tail, tr, wcjq, python3, node, ffmpeg, aangepaste CLI’s
Beste gebruikTeksttransformaties met laag risico in pipelinesElk hulpmiddel met breder gedrag of bijwerkingen
Configuratielocatie:
  • safeBins komt uit config (tools.exec.safeBins of per-agent agents.list[].tools.exec.safeBins).
  • safeBinTrustedDirs komt uit config (tools.exec.safeBinTrustedDirs of per-agent agents.list[].tools.exec.safeBinTrustedDirs).
  • safeBinProfiles komt uit config (tools.exec.safeBinProfiles of per-agent agents.list[].tools.exec.safeBinProfiles). Profielsleutels per agent overschrijven globale sleutels.
  • allowlist-vermeldingen staan in het host-lokale goedkeuringsbestand onder agents.<id>.allowlist (of via Control UI / openclaw approvals allowlist ...).
  • openclaw security audit waarschuwt met tools.exec.safe_bins_interpreter_unprofiled wanneer interpreter-/runtime-bins in safeBins voorkomen zonder expliciete profielen.
  • openclaw doctor --fix kan ontbrekende aangepaste safeBinProfiles.<bin>-vermeldingen als {} scaffolden (controleer en verscherp daarna). Interpreter-/runtime-bins worden niet automatisch gescaffold.
Voorbeeld van aangepast profiel: OC_I18N_900000 Als je jq expliciet opneemt in safeBins, weigert OpenClaw nog steeds de env builtin in safe-bin-modus, zodat jq -n env de omgeving van het hostproces niet kan dumpen zonder expliciet allowlist-pad of goedkeuringsprompt.

Interpreter-/runtimeopdrachten

Door goedkeuring ondersteunde interpreter-/runtime-uitvoeringen zijn bewust conservatief:
  • Exacte argv-/cwd-/env-context wordt altijd gebonden.
  • Directe shellscript- en directe runtimebestandsvormen worden naar beste vermogen gebonden aan één concrete lokale bestandssnapshot.
  • Veelvoorkomende wrappervormen van package managers die nog steeds naar één direct lokaal bestand herleiden (bijvoorbeeld pnpm exec, pnpm node, npm exec, npx) worden uitgepakt vóór binding.
  • Als OpenClaw niet precies één concreet lokaal bestand voor een interpreter-/runtimeopdracht kan identificeren (bijvoorbeeld packagescripts, eval-vormen, runtime-specifieke loaderketens of dubbelzinnige multi-bestandsvormen), wordt door goedkeuring ondersteunde uitvoering geweigerd in plaats van semantische dekking te claimen die er niet is.
  • Geef voor die workflows de voorkeur aan sandboxing, een aparte hostgrens of een expliciete vertrouwde allowlist-/volledige workflow waarbij de operator de bredere runtimesemantiek accepteert.
Wanneer goedkeuringen vereist zijn, retourneert de exec-tool onmiddellijk een goedkeurings-id. Gebruik die id om latere systeemgebeurtenissen van goedgekeurde uitvoeringen te correleren (Exec finished, en Exec running wanneer geconfigureerd). Als er vóór de timeout geen beslissing binnenkomt, wordt het verzoek behandeld als een goedkeuringstimeout en weergegeven als een terminale weigering van de hostopdracht. Voor asynchrone goedkeuringen van de hoofdagent met een oorspronkelijke sessie hervat OpenClaw die sessie ook met een interne follow-up, zodat de agent ziet dat de opdracht niet is uitgevoerd in plaats van later een ontbrekend resultaat te repareren.

Gedrag van follow-upbezorging

Nadat een goedgekeurde asynchrone exec is voltooid, stuurt OpenClaw een follow-up agent-turn naar dezelfde sessie. Geweigerde asynchrone goedkeuringen gebruiken hetzelfde follow-uppad van de hoofdsessie voor de weigeringsstatus, maar registreren geen verhoogde runtimehandoffs en voeren de opdracht niet uit. Weigeringen zonder hervatbare hoofdsessie worden onderdrukt of gerapporteerd via een veilige directe route wanneer die bestaat.
  • Als er een geldig extern bezorgdoel bestaat (bezorgbaar kanaal plus doel to), gebruikt follow-upbezorging dat kanaal.
  • In webchat-only of interne sessieflows zonder extern doel blijft follow-upbezorging alleen sessiegebonden (deliver: false).
  • Als een caller expliciet strikte externe bezorging aanvraagt zonder herleidbaar extern kanaal, mislukt het verzoek met INVALID_REQUEST.
  • Als bestEffortDeliver is ingeschakeld en er geen extern kanaal kan worden herleid, wordt bezorging verlaagd naar alleen sessiegebonden in plaats van te mislukken.

Goedkeuringen doorsturen naar chatkanalen

Je kunt exec-goedkeuringsprompts doorsturen naar elk chatkanaal (inclusief Pluginkanalen) en ze goedkeuren met /approve. Dit gebruikt de normale outbound-bezorgpipeline. Config: OC_I18N_900001 Antwoord in chat: OC_I18N_900002 De opdracht /approve verwerkt zowel exec-goedkeuringen als Plugin-goedkeuringen. Als de ID niet overeenkomt met een wachtende exec-goedkeuring, controleert de opdracht automatisch in plaats daarvan Plugin-goedkeuringen.

Doorsturen van Plugin-goedkeuringen

Het doorsturen van Plugin-goedkeuringen gebruikt dezelfde bezorgpipeline als exec-goedkeuringen, maar heeft een eigen onafhankelijke config onder approvals.plugin. Het in- of uitschakelen van de ene heeft geen invloed op de andere. Zie Plugin-machtigingsverzoeken voor Plugin-authoring-gedrag, requestvelden en beslissingssemantiek. OC_I18N_900003 De configvorm is identiek aan approvals.exec: enabled, mode, agentFilter, sessionFilter en targets werken op dezelfde manier. Kanalen die gedeelde interactieve antwoorden ondersteunen, renderen dezelfde goedkeuringsknoppen voor zowel exec- als Plugin-goedkeuringen. Kanalen zonder gedeelde interactieve UI vallen terug op platte tekst met /approve-instructies. Plugin-goedkeuringsverzoeken kunnen de beschikbare beslissingen beperken. Goedkeuringsoppervlakken gebruiken de door het verzoek gedeclareerde beslissingsset, en de Gateway weigert pogingen om een beslissing in te dienen die niet is aangeboden.

Goedkeuringen in dezelfde chat op elk kanaal

Wanneer een exec- of Plugin-goedkeuringsverzoek afkomstig is van een bezorgbaar chatoppervlak, kan dezelfde chat het nu standaard goedkeuren met /approve. Dit geldt naast de bestaande Web UI- en terminal-UI-flows ook voor kanalen zoals Slack, Matrix en Microsoft Teams. Dit gedeelde pad voor tekstopdrachten gebruikt het normale kanaal-authenticatiemodel voor dat gesprek. Als de oorspronkelijke chat al opdrachten kan versturen en antwoorden kan ontvangen, hebben goedkeuringsverzoeken geen aparte native bezorgadapter meer nodig om alleen maar in behandeling te blijven. Discord en Telegram ondersteunen ook /approve in dezelfde chat, maar die kanalen gebruiken nog steeds hun opgeloste lijst met goedkeurders voor autorisatie, zelfs wanneer native goedkeuringsbezorging is uitgeschakeld. Voor Telegram en andere native goedkeuringsclients die de Gateway rechtstreeks aanroepen, is deze fallback bewust beperkt tot fouten waarbij “goedkeuring niet gevonden” is. Een echte weigering/fout voor exec-goedkeuring probeert niet stilzwijgend opnieuw als Plugin-goedkeuring.

Native goedkeuringsbezorging

Sommige kanalen kunnen ook als native goedkeuringsclients fungeren. Native clients voegen goedkeurders-DM’s, fanout naar de oorspronkelijke chat en kanaalspecifieke interactieve goedkeurings-UX toe bovenop de gedeelde /approve-flow in dezelfde chat. Wanneer native goedkeuringskaarten/knoppen beschikbaar zijn, is die native UI het primaire pad voor agents. De agent moet niet ook een dubbele platte chatopdracht /approve echoën, tenzij het toolresultaat zegt dat chatgoedkeuringen niet beschikbaar zijn of handmatige goedkeuring het enige resterende pad is. Als een native goedkeuringsclient is geconfigureerd maar er geen native runtime actief is voor het oorspronkelijke kanaal, houdt OpenClaw de lokale deterministische /approve-prompt zichtbaar. Als de native runtime actief is en bezorging probeert maar geen doel de kaart ontvangt, stuurt OpenClaw een fallbackmelding in dezelfde chat met de exacte opdracht /approve <id> <decision>, zodat het verzoek nog steeds kan worden afgehandeld. Generiek model:
  • hostbeleid voor exec bepaalt nog steeds of exec-goedkeuring vereist is
  • approvals.exec regelt het doorsturen van goedkeuringsprompts naar andere chatbestemmingen
  • channels.<channel>.execApprovals regelt of Discord, Slack, Telegram en vergelijkbare kanaalspecifieke native clients zijn ingeschakeld
  • Slack Plugin-goedkeuringen kunnen Slacks native goedkeuringsclient gebruiken wanneer het verzoek uit Slack komt en Slack Plugin-goedkeurders worden opgelost; approvals.plugin kan Plugin-goedkeuringen ook routeren naar Slack sessies of doelen, zelfs wanneer Slack exec-goedkeuringen zijn uitgeschakeld
  • Google Chat native goedkeuringskaarten verwerken exec- en Plugin-goedkeuringen die afkomstig zijn uit Google Chat-ruimtes of threads wanneer stabiele users/<id>-goedkeurders worden opgelost uit dm.allowFrom of defaultTo; ze gebruiken geen reactiegebeurtenissen voor beslissingen
  • WhatsApp- en Signal-reactiegoedkeuringsbezorging worden begrensd door approvals.exec en approvals.plugin; ze hebben geen channels.<channel>.execApprovals-blokken
Native goedkeuringsclients schakelen DM-eerst-bezorging automatisch in wanneer al het volgende waar is:
  • het kanaal ondersteunt native goedkeuringsbezorging
  • goedkeurders kunnen worden opgelost uit expliciete execApprovals.approvers of eigenaar- identiteit zoals commands.ownerAllowFrom
  • channels.<channel>.execApprovals.enabled is niet ingesteld of is "auto"
Stel enabled: false in om een native goedkeuringsclient expliciet uit te schakelen. Stel enabled: true in om deze te forceren wanneer goedkeurders worden opgelost. Publieke bezorging naar de oorspronkelijke chat blijft expliciet via channels.<channel>.execApprovals.target. FAQ: Waarom zijn er twee exec-goedkeuringsconfiguraties voor chatgoedkeuringen?
  • Discord: channels.discord.execApprovals.*
  • Slack: channels.slack.execApprovals.*
  • Telegram: channels.telegram.execApprovals.*
  • Google Chat: configureer stabiele goedkeurders met channels.googlechat.dm.allowFrom of channels.googlechat.defaultTo; er is geen execApprovals-blok vereist
  • WhatsApp: gebruik approvals.exec en approvals.plugin om goedkeuringsprompts naar WhatsApp te routeren
  • Signal: gebruik approvals.exec en approvals.plugin om goedkeuringsprompts naar Signal te routeren
Deze native goedkeuringsclients voegen DM-routering en optionele kanaalfanout toe bovenop de gedeelde /approve-flow in dezelfde chat en gedeelde goedkeuringsknoppen. Gedeeld gedrag:
  • Slack, Matrix, Microsoft Teams en vergelijkbare bezorgbare chats gebruiken het normale kanaal-authenticatiemodel voor /approve in dezelfde chat
  • wanneer een native goedkeuringsclient automatisch wordt ingeschakeld, is het standaard native bezorgdoel goedkeurders-DM’s
  • voor Discord en Telegram kunnen alleen opgeloste goedkeurders goedkeuren of weigeren
  • Discord-goedkeurders kunnen expliciet zijn (execApprovals.approvers) of worden afgeleid uit commands.ownerAllowFrom
  • Telegram-goedkeurders kunnen expliciet zijn (execApprovals.approvers) of worden afgeleid uit commands.ownerAllowFrom
  • Slack-goedkeurders kunnen expliciet zijn (execApprovals.approvers) of worden afgeleid uit commands.ownerAllowFrom
  • Slack Plugin-goedkeurings-DM’s gebruiken Slack Plugin-goedkeurders uit allowFrom en standaardroutering van accounts, niet Slack exec-goedkeurders
  • Slack native knoppen behouden het type goedkeurings-id, zodat plugin:-id’s Plugin-goedkeuringen kunnen oplossen zonder een tweede Slack-lokale fallbacklaag
  • Google Chat native kaarten behouden de handmatige /approve-fallback in berichttekst, maar callbacks van kaartknoppen dragen alleen ondoorzichtige actietokens; goedkeurings-id en beslissing worden hersteld uit server-side in behandeling zijnde status
  • WhatsApp-emoji-goedkeuringen verwerken zowel exec- als Plugin-prompts alleen wanneer de overeenkomende forwardingfamilie op topniveau is ingeschakeld en naar WhatsApp routeert; WhatsApp-forwarding met alleen doel blijft op het gedeelde forwardingpad, tenzij dit overeenkomt met hetzelfde native oorsprongsdoel
  • Signal-reactiegoedkeuringen verwerken zowel exec- als Plugin-prompts alleen wanneer de overeenkomende forwardingfamilie op topniveau is ingeschakeld en naar Signal routeert. Rechtstreekse Signal-exec-goedkeuringen in dezelfde chat kunnen de lokale /approve-fallback onderdrukken zonder expliciete goedkeurders; Signal-reactieoplossing vereist nog steeds expliciete Signal-goedkeurders uit channels.signal.allowFrom of defaultTo.
  • Matrix native DM-/kanaalroutering en reactiesnelkoppelingen verwerken zowel exec- als Plugin-goedkeuringen; Plugin-autorisatie komt nog steeds uit channels.matrix.dm.allowFrom
  • Matrix native prompts bevatten aangepaste eventinhoud com.openclaw.approval in de eerste prompt- gebeurtenis, zodat OpenClaw-bewuste Matrix-clients gestructureerde goedkeuringsstatus kunnen lezen terwijl standaardclients de platte-tekstfallback /approve behouden
  • de aanvrager hoeft geen goedkeurder te zijn
  • de oorspronkelijke chat kan rechtstreeks goedkeuren met /approve wanneer die chat al opdrachten en antwoorden ondersteunt
  • native Discord-goedkeuringsknoppen routeren op basis van het type goedkeurings-id: plugin:-id’s gaan rechtstreeks naar Plugin-goedkeuringen, al het andere gaat naar exec-goedkeuringen
  • native Telegram-goedkeuringsknoppen volgen dezelfde begrensde exec-naar-Plugin-fallback als /approve
  • wanneer native target bezorging naar de oorspronkelijke chat inschakelt, bevatten goedkeuringsprompts de opdrachttekst
  • in behandeling zijnde exec-goedkeuringen verlopen standaard na 30 minuten
  • als geen operator-UI of geconfigureerde goedkeuringsclient het verzoek kan accepteren, valt de prompt terug op askFallback
Gevoelige opdrachten voor alleen eigenaars in groepen, zoals /diagnostics en /export-trajectory, gebruiken privé- eigenaarroutering voor goedkeuringsprompts en eindresultaten. OpenClaw probeert eerst een privéroute op het zelfde oppervlak waar de eigenaar de opdracht uitvoerde. Als dat oppervlak geen privé-eigenaarroute heeft, valt het terug op de eerste beschikbare eigenaarsroute uit commands.ownerAllowFrom, zodat een Discord-groepsopdracht de goedkeuring en het resultaat nog steeds naar de Telegram-DM van de eigenaar kan sturen wanneer Telegram de geconfigureerde primaire privé-interface is. De groepschat krijgt alleen een korte bevestiging. Telegram gebruikt standaard goedkeurders-DM’s (target: "dm"). Je kunt overschakelen naar channel of both wanneer je wilt dat goedkeuringsprompts ook in de oorspronkelijke Telegram-chat/topic verschijnen. Voor Telegram-forumtopics behoudt OpenClaw het topic voor de goedkeuringsprompt en de opvolging na goedkeuring. Zie:

macOS IPC-flow

OC_I18N_900004 Beveiligingsnotities:
  • Unix-socketmodus 0600, token opgeslagen in exec-approvals.json.
  • Controle van peer met dezelfde UID.
  • Challenge/response (nonce + HMAC-token + requesthash) + korte TTL.

FAQ

Wanneer zouden accountId en threadId worden gebruikt op een goedkeuringsdoel?

Gebruik accountId wanneer het kanaal meerdere geconfigureerde identiteiten heeft en de goedkeuringsprompt via één specifiek account moet vertrekken. Gebruik threadId wanneer de bestemming topics of threads ondersteunt en de prompt binnen die thread moet blijven in plaats van in de chat op topniveau. Een concreet Telegram-geval is een operations-supergroep met forumtopics en twee Telegram-bot- accounts. De to-waarde benoemt de supergroep, accountId selecteert het botaccount en threadId selecteert het forumtopic: OC_I18N_900005 Met die setup worden doorgestuurde exec-goedkeuringen door het Telegram-account ops-bot geplaatst in topic 77 van chat -1001234567890. Een doel zonder accountId gebruikt het standaardaccount van het kanaal, en een doel zonder threadId plaatst in de bestemming op topniveau.

Wanneer goedkeuringen naar een sessie worden gestuurd, kan iedereen in die sessie ze dan goedkeuren?

Nee. Sessiebezorging bepaalt alleen waar de prompt verschijnt. Het autoriseert op zichzelf niet elke deelnemer in die chat om goed te keuren. Voor generieke /approve in dezelfde chat moet de afzender al geautoriseerd zijn voor opdrachten in die kanaalsessie. Als het kanaal expliciete goedkeuringsgoedkeurders beschikbaar stelt, kunnen die goedkeurders de /approve-actie autoriseren, zelfs wanneer ze verder niet opdrachtgeautoriseerd zijn in die sessie. Sommige kanalen zijn strenger. Discord, Telegram, Matrix, Slack native goedkeurings-DM’s en vergelijkbare native goedkeuringsclients gebruiken hun opgeloste goedkeurderslijsten voor goedkeuringsautorisatie. Bijvoorbeeld: een Telegram-forumtopic-goedkeuringsprompt kan zichtbaar zijn voor iedereen in het topic, maar alleen numerieke Telegram-gebruikers-ID’s die zijn opgelost uit channels.telegram.execApprovals.approvers of commands.ownerAllowFrom kunnen deze goedkeuren of weigeren.

Gerelateerd