Tools
أوضاع الأذونات
تحدّد أوضاع الأذونات مقدار الصلاحية التي يمتلكها الوكيل قبل أن يشغّل أوامر المضيف، أو يكتب الملفات، أو يطلب من بيئة تشغيل خلفية وصولًا إضافيًا.
الإعداد الافتراضي الموصى به
استخدم auto لوكلاء البرمجة الذين يحتاجون إلى وصول مفيد إلى المضيف من دون تحويل كل أمر غير مطابق إلى مطالبة بشرية:
openclaw config set tools.exec.mode autoopenclaw approvals getopenclaw gateway restartثم تحقّق من السياسة الفعلية:
openclaw exec-policy showأوضاع تنفيذ المضيف في OpenClaw
يمثّل tools.exec.mode واجهة السياسة الموحّدة لأمر exec على المضيف. ويُحوَّل كل وضع إلى زوج أساسي من security (صرامة قائمة السماح) وask (المطالبة عند عدم التطابق):
| الوضع | security / ask | السلوك | يُستخدم عندما |
|---|---|---|---|
deny |
deny / off |
حظر التنفيذ على المضيف بالكامل. | لا يُسمح بأي أوامر على المضيف. |
allowlist |
allowlist / off |
تشغيل الأوامر المدرجة في قائمة السماح فقط، ورفض غير المطابقات بصمت. | لديك مجموعة أوامر معروفة بأنها آمنة. |
ask |
allowlist / on-miss |
تشغيل الأوامر المطابقة لقائمة السماح، وسؤال شخص عند عدم التطابق. | ينبغي لشخص مراجعة كل أمر جديد. |
auto |
allowlist / on-miss |
تشغيل الأوامر المطابقة لقائمة السماح، وإرسال غير المطابقات إلى المراجعة التلقائية قبل الرجوع إلى موافقة بشرية. | تحتاج جلسات البرمجة إلى وصول عملي خاضع للحماية. |
full |
full / off |
تشغيل الأوامر على المضيف من دون مطالبات. | ينبغي لهذا المضيف أو لهذه الجلسة الموثوقين تجاوز بوابات الموافقة. |
يشترك ask وauto في إعدادات قائمة السماح والسؤال نفسها؛ ويفعّل auto أيضًا المراجع التلقائي الأصلي، الذي يبتّ بنفسه في الأوامر غير المطابقة ولا يحيلها إلى مسار الموافقة البشرية المُعدّ إلا عندما يتعذّر عليه اعتمادها بأمان.
للاطلاع على سياسة التنفيذ الكاملة على المضيف، وملف الموافقات المحلي، ومخطط قائمة السماح، والثنائيات الآمنة، وسلوك إعادة التوجيه، راجع موافقات التنفيذ.
مطابقة Codex Guardian
بالنسبة إلى جلسات خادم تطبيق Codex الأصلية، يوجّه tools.exec.mode: "auto" Codex نحو الموافقات التي يراجعها Guardian عندما تسمح متطلبات Codex المحلية بذلك. القيم الناتجة المعتادة:
| حقل Codex | القيمة المعتادة |
|---|---|
approvalPolicy |
on-request |
approvalsReviewer |
auto_review |
sandbox |
workspace-write |
يفرض وضع auto هذه السياسة بدلًا من أي تجاوزات مُعدّة لبيئة العزل أو الموافقات في Codex، ولذلك لا يحتفظ بالتركيبات القديمة غير الآمنة مثل approvalPolicy: "never" مع sandbox: "danger-full-access". يحظر tools.exec.mode: "deny" و"allowlist" التنفيذ المحلي لخادم تطبيق Codex بالكامل. لا تستخدم tools.exec.mode: "full" إلا عندما تريد عمدًا وضعًا بلا موافقات.
لإعداد خادم التطبيق، وترتيب المصادقة، وتفاصيل بيئة تشغيل Codex الأصلية، راجع بيئة تشغيل Codex.
أذونات بيئة تشغيل ACPX
جلسات ACPX غير تفاعلية، ولذلك لا يمكنها النقر على مطالبة أذونات في TTY. يستخدم ACPX إعدادات منفصلة على مستوى بيئة التشغيل ضمن plugins.entries.acpx.config:
| الإعداد | القيم | المعنى |
|---|---|---|
permissionMode |
approve-reads |
الموافقة تلقائيًا على عمليات القراءة فقط. |
permissionMode |
approve-all |
الموافقة تلقائيًا على الكتابة وأوامر الصدفة. |
permissionMode |
deny-all |
رفض جميع مطالبات الأذونات. |
nonInteractivePermissions |
fail |
الإنهاء عندما تكون المطالبة مطلوبة. |
nonInteractivePermissions |
deny |
رفض المطالبة والمتابعة عندما يكون ذلك ممكنًا. |
اضبط أذونات ACPX بصورة منفصلة عن موافقات التنفيذ في OpenClaw:
openclaw config set plugins.entries.acpx.config.permissionMode approve-allopenclaw config set plugins.entries.acpx.config.nonInteractivePermissions failopenclaw gateway restartاستخدم approve-all بوصفه مكافئ ACPX لحالة الطوارئ لجلسة بيئة تشغيل بلا مطالبات. للحصول على تفاصيل الإعداد وأنماط الفشل، راجع إعداد وكلاء ACP.
اختيار وضع
| الهدف | الإعداد |
|---|---|
| حظر أوامر المضيف بالكامل | tools.exec.mode: "deny" |
| السماح بتشغيل الأوامر المعروفة بأنها آمنة فقط | tools.exec.mode: "allowlist" |
| سؤال شخص عن كل صيغة أمر جديدة | tools.exec.mode: "ask" |
| استخدام المراجعة التلقائية من Codex/OpenClaw قبل البشر | tools.exec.mode: "auto" |
| تجاوز موافقات التنفيذ على المضيف بالكامل | tools.exec.mode: "full" مع ملف موافقات مضيف مطابق |
| تمكين جلسات ACPX غير التفاعلية من الكتابة والتنفيذ | plugins.entries.acpx.config.permissionMode: "approve-all" |
إذا ظل أمر ما يعرض مطالبة أو يفشل بعد تغيير الوضع، فافحص كلتا الطبقتين:
openclaw approvals getopenclaw exec-policy showيستخدم التنفيذ على المضيف النتيجة الأكثر صرامة بين إعدادات OpenClaw وملف الموافقات المحلي للمضيف. لا تخفّف أذونات بيئة تشغيل ACPX موافقات التنفيذ على المضيف، كما لا تخفّف موافقات التنفيذ على المضيف مطالبات بيئة تشغيل ACPX.