İzin modları, bir ajanın ana makine komutlarını çalıştırmadan, dosya yazmadan veya ek erişim için bir arka uç çalıştırma katmanına sormadan önce ne kadar yetkiye sahip olacağını belirler. OpenClaw’ın önce izin listelerini, ardından kaçırılanlar için Codex yerel otomatik incelemesini veya insan onayı rotasını kullanmasını istediğinizde tools.exec.mode: "auto" ile başlayın.
İzin modu tools.exec.host=auto değerinden ayrıdır. tools.exec.host
bir komutun nerede çalışacağını seçer. tools.exec.mode ana makine exec işleminin
nasıl onaylanacağını seçer.
Önerilen varsayılan
Her kaçırılanı insan istemine dönüştürmeden yararlı ana makine erişimine ihtiyaç duyan kodlama ajanları için auto kullanın:
openclaw config set tools.exec.mode auto
openclaw approvals get
openclaw gateway restart
openclaw exec-policy show
auto modunda OpenClaw, deterministik izin listesi eşleşmelerini doğrudan çalıştırır. Onay kaçırmaları önce OpenClaw’ın yerel otomatik inceleyicisinden geçer, ardından gerektiğinde yapılandırılmış insan onayı rotasına geri döner.
OpenClaw ana makine exec modları
tools.exec.mode, ana makine exec için normalleştirilmiş politika yüzeyidir.
| Mod | Davranış | Ne zaman kullanılır |
|---|
deny | Ana makine exec işlemini engelle. | Hiçbir ana makine komutuna izin verilmez. |
allowlist | Yalnızca izin listesindeki komutları çalıştır. | Bilinen güvenli bir komut kümeniz vardır. |
ask | İzin listesi eşleşmelerini çalıştır ve kaçırılanlarda sor. | Yeni komutları bir insan incelemelidir. |
auto | İzin listesi eşleşmelerini çalıştır, sonra otomatik inceleme kullan. | Kodlama oturumları pratik korumalı erişime ihtiyaç duyar. |
full | Ana makine exec işlemini istemler olmadan çalıştır. | Bu güvenilen ana makine/oturum onay kapılarını atlamalıdır. |
Codex Guardian eşlemesi
Yerel Codex app-server oturumları için tools.exec.mode: "auto", yerel Codex gereksinimleri izin verdiğinde Codex Guardian tarafından incelenen onaylara eşlenir. OpenClaw genellikle şunları gönderir:
| Codex alanı | Tipik değer |
|---|
approvalPolicy | on-request |
approvalsReviewer | auto_review |
sandbox | workspace-write |
auto modunda OpenClaw, approvalPolicy: "never" veya sandbox: "danger-full-access" gibi eski güvenli olmayan Codex geçersiz kılmalarını korumaz. Onaysız duruşu bilinçli olarak istediğinizde yalnızca tools.exec.mode: "full" kullanın.
App-server kurulumu, kimlik doğrulama sırası ve yerel Codex çalışma zamanı ayrıntıları için Codex çalıştırma katmanı bölümüne bakın.
ACPX çalıştırma katmanı izinleri
ACPX oturumları etkileşimsizdir, bu yüzden bir TTY izin istemine tıklayamazlar. ACPX, plugins.entries.acpx.config altında ayrı çalıştırma katmanı düzeyi ayarlar kullanır:
| Ayar | Yaygın değer | Anlamı |
|---|
permissionMode | approve-reads | Yalnızca okumaları otomatik onayla. |
permissionMode | approve-all | Yazmaları ve kabuk komutlarını otomatik onayla. |
permissionMode | deny-all | Tüm izin istemlerini reddet. |
nonInteractivePermissions | fail | Bir istem gerektiğinde işlemi durdur. |
nonInteractivePermissions | deny | İstemi reddet ve mümkün olduğunda devam et. |
openclaw config set plugins.entries.acpx.config.permissionMode approve-all
openclaw config set plugins.entries.acpx.config.nonInteractivePermissions fail
openclaw gateway restart
approve-all değerini, istemsiz bir çalıştırma katmanı oturumunun ACPX acil durum eşdeğeri olarak kullanın. Kurulum ayrıntıları ve hata modları için ACP ajanları kurulumu bölümüne bakın.
Mod seçme
| Hedef | Yapılandırma |
|---|
| Ana makine komutlarını tamamen engelle | tools.exec.mode: "deny" |
| Yalnızca bilinen güvenli komutların çalışmasına izin ver | tools.exec.mode: "allowlist" |
| Her yeni komut şekli için bir insana sor | tools.exec.mode: "ask" |
| İnsanlardan önce Codex/OpenClaw otomatik incelemesini kullan | tools.exec.mode: "auto" |
| Ana makine exec onaylarını tamamen atla | tools.exec.mode: "full" artı eşleşen ana makine onay dosyası |
| Etkileşimsiz ACPX oturumlarının yazma/exec yapmasını sağla | plugins.entries.acpx.config.permissionMode: "approve-all" |
openclaw approvals get
openclaw exec-policy show
İlgili
