openclaw approvals
Zarządzaj zatwierdzeniami exec dla hosta lokalnego, hosta Gateway lub hosta węzła.
Domyślnie polecenia są kierowane do lokalnego pliku zatwierdzeń na dysku. Użyj --gateway, aby wybrać Gateway, albo --node, aby wybrać konkretny węzeł.
Alias: openclaw exec-approvals
Powiązane:
- Zatwierdzenia exec: Zatwierdzenia exec
- Węzły: Węzły
openclaw exec-policy
openclaw exec-policy to lokalne polecenie pomocnicze do utrzymywania żądanej konfiguracji
tools.exec.* i lokalnego pliku zatwierdzeń hosta w zgodności w jednym kroku.
Użyj go, gdy chcesz:
- sprawdzić lokalną żądaną politykę, plik zatwierdzeń hosta i efektywne scalenie
- zastosować lokalne ustawienie wstępne, takie jak YOLO lub deny-all
- zsynchronizować lokalne
tools.exec.*i lokalny plik zatwierdzeń hosta
- bez
--json: wypisuje czytelny dla człowieka widok tabeli --json: wypisuje ustrukturyzowane wyjście czytelne maszynowo
exec-policydziała tylko lokalnie- aktualizuje razem lokalny plik konfiguracji i lokalny plik zatwierdzeń
- nie wypycha polityki do hosta Gateway ani hosta węzła
--host nodejest odrzucane w tym poleceniu, ponieważ zatwierdzenia exec węzła są pobierane z węzła w czasie działania i zamiast tego muszą być zarządzane przez polecenia zatwierdzeń kierowane do węzłaopenclaw exec-policy showoznacza zakresyhost=nodejako zarządzane przez węzeł w czasie działania, zamiast wyprowadzać efektywną politykę z lokalnego pliku zatwierdzeń
openclaw approvals set --gateway
lub openclaw approvals set --node <id|name|ip>.
Typowe polecenia
openclaw approvals get pokazuje teraz efektywną politykę exec dla celów lokalnych, Gateway i węzłów:
- żądana polityka
tools.exec - polityka z pliku zatwierdzeń hosta
- efektywny wynik po zastosowaniu reguł pierwszeństwa
- plik zatwierdzeń hosta jest egzekwowalnym źródłem prawdy
- żądana polityka
tools.execmoże zawężać lub rozszerzać intencję, ale efektywny wynik nadal jest wyprowadzany z reguł hosta --nodełączy plik zatwierdzeń hosta węzła z polityką Gatewaytools.exec, ponieważ oba nadal obowiązują w czasie działania- jeśli konfiguracja Gateway jest niedostępna, CLI wraca do migawki zatwierdzeń węzła i informuje, że nie udało się obliczyć końcowej polityki czasu działania
Zastępowanie zatwierdzeń z pliku
set akceptuje JSON5, nie tylko ścisły JSON. Użyj --file albo --stdin, ale nie obu naraz.
Przykład „Nigdy nie pytaj” / YOLO
Dla hosta, który nigdy nie powinien zatrzymywać się na zatwierdzeniach exec, ustaw domyślne zatwierdzenia hosta nafull + off:
tools.exec.host=gateway:
host=autonadal oznacza „sandbox, gdy dostępny, w przeciwnym razie Gateway”.- YOLO dotyczy zatwierdzeń, nie routingu.
- Jeśli chcesz exec na hoście nawet wtedy, gdy skonfigurowano sandbox, ustaw wybór hosta jawnie przez
gatewaylub/exec host=gateway.
askFallback domyślnie przyjmuje deny. Ustaw askFallback: "full"
jawnie podczas aktualizowania hosta bez interfejsu użytkownika, który ma zachować zachowanie nigdy nie pytaj.
Lokalny skrót:
tools.exec.*, jak i
lokalne domyślne zatwierdzenia. Jest równoważny intencją ręcznej dwuetapowej
konfiguracji powyżej, ale tylko dla maszyny lokalnej.
Pomocniki listy dozwolonych
Typowe opcje
get, set oraz allowlist add|remove obsługują:
--node <id|name|ip>--gateway- współdzielone opcje RPC węzła:
--url,--token,--timeout,--json
- brak flag celu oznacza lokalny plik zatwierdzeń na dysku
--gatewaywybiera plik zatwierdzeń hosta Gateway--nodewybiera jeden host węzła po rozwiązaniu identyfikatora, nazwy, adresu IP lub prefiksu identyfikatora
allowlist add|remove obsługuje także:
--agent <id>(domyślnie*)
Uwagi
--nodeużywa tego samego mechanizmu rozwiązywania coopenclaw nodes(identyfikator, nazwa, adres IP lub prefiks identyfikatora).--agentdomyślnie przyjmuje"*", co obejmuje wszystkich agentów.- Host węzła musi ogłaszać
system.execApprovals.get/set(aplikacja macOS lub bezgłowy host węzła). - Pliki zatwierdzeń są przechowywane osobno dla każdego hosta w katalogu stanu OpenClaw
(
$OPENCLAW_STATE_DIR/exec-approvals.jsonalbo~/.openclaw/exec-approvals.json, gdy zmienna nie jest ustawiona).