Machtigingsmodi bepalen hoeveel bevoegdheid een agent heeft voordat deze hostopdrachten mag uitvoeren, bestanden mag schrijven of een backend-harness om extra toegang mag vragen. Begin met tools.exec.mode: "auto" wanneer je wilt dat OpenClaw eerst toelatingslijsten gebruikt, en daarna native automatische Codex-review of een menselijke goedkeuringsroute voor missers.
De machtigingsmodus staat los van tools.exec.host=auto. tools.exec.host
kiest waar een opdracht wordt uitgevoerd. tools.exec.mode kiest hoe host-exec
wordt goedgekeurd.
Aanbevolen standaard
Gebruik auto voor coding-agents die nuttige hosttoegang nodig hebben zonder van elke misser een menselijke prompt te maken:
openclaw config set tools.exec.mode auto
openclaw approvals get
openclaw gateway restart
openclaw exec-policy show
auto voert OpenClaw deterministische overeenkomsten met de toelatingslijst rechtstreeks uit. Goedkeuringsmissers gaan eerst via de native automatische reviewer van OpenClaw en vallen daarna zo nodig terug op de geconfigureerde menselijke goedkeuringsroute.
OpenClaw host-exec-modi
tools.exec.mode is het genormaliseerde beleidsoppervlak voor host-exec.
| Modus | Gedrag | Gebruik wanneer |
|---|
deny | Blokkeer host-exec. | Er zijn geen hostopdrachten toegestaan. |
allowlist | Voer alleen toegelaten opdrachten uit. | Je hebt een bekende veilige set opdrachten. |
ask | Voer overeenkomsten uit en vraag bij missers. | Een mens moet nieuwe opdrachten beoordelen. |
auto | Voer overeenkomsten uit en gebruik auto-review. | Codingsessies hebben praktische bewaakte toegang nodig. |
full | Voer host-exec uit zonder prompts. | Deze vertrouwde host/sessie moet goedkeuringspoorten overslaan. |
Codex Guardian-toewijzing
Voor native Codex app-server-sessies wordt tools.exec.mode: "auto" toegewezen aan door Codex Guardian beoordeelde goedkeuringen wanneer de lokale Codex-vereisten dit toestaan. OpenClaw verzendt meestal:
| Codex-veld | Typische waarde |
|---|
approvalPolicy | on-request |
approvalsReviewer | auto_review |
sandbox | workspace-write |
auto behoudt OpenClaw geen verouderde onveilige Codex-overschrijvingen zoals approvalPolicy: "never" of sandbox: "danger-full-access". Gebruik tools.exec.mode: "full" alleen wanneer je bewust de houding zonder goedkeuring wilt.
Zie Codex-harness voor app-server-installatie, auth-volgorde en native Codex-runtime-details.
ACPX-harness-machtigingen
ACPX-sessies zijn niet-interactief, dus ze kunnen niet op een TTY-machtigingsprompt klikken. ACPX gebruikt afzonderlijke instellingen op harness-niveau onder plugins.entries.acpx.config:
| Instelling | Veelgebruikte waarde | Betekenis |
|---|
permissionMode | approve-reads | Keur alleen leesbewerkingen automatisch goed. |
permissionMode | approve-all | Keur schrijfbewerkingen en shellopdrachten automatisch goed. |
permissionMode | deny-all | Weiger alle machtigingsprompts. |
nonInteractivePermissions | fail | Breek af wanneer een prompt vereist zou zijn. |
nonInteractivePermissions | deny | Weiger de prompt en ga door wanneer mogelijk. |
openclaw config set plugins.entries.acpx.config.permissionMode approve-all
openclaw config set plugins.entries.acpx.config.nonInteractivePermissions fail
openclaw gateway restart
approve-all als het ACPX-nood-equivalent van een harness-sessie zonder prompts. Zie ACP agents instellen voor installatiedetails en foutmodi.
Een modus kiezen
| Doel | Configureren |
|---|
| Hostopdrachten volledig blokkeren | tools.exec.mode: "deny" |
| Alleen bekende veilige opdrachten laten uitvoeren | tools.exec.mode: "allowlist" |
| Een mens vragen voor elke nieuwe opdrachtvorm | tools.exec.mode: "ask" |
| Codex/OpenClaw auto-review gebruiken vóór mensen | tools.exec.mode: "auto" |
| Host-exec-goedkeuringen volledig overslaan | tools.exec.mode: "full" plus bijpassend host-goedkeuringsbestand |
| Niet-interactieve ACPX-sessies laten schrijven/exec uitvoeren | plugins.entries.acpx.config.permissionMode: "approve-all" |
openclaw approvals get
openclaw exec-policy show
Gerelateerd
