Tools

أوضاع الأذونات

تحدّد أوضاع الأذونات مقدار الصلاحية التي يمتلكها الوكيل قبل أن يشغّل أوامر المضيف، أو يكتب الملفات، أو يطلب من بيئة تشغيل خلفية وصولًا إضافيًا.

الإعداد الافتراضي الموصى به

استخدم auto لوكلاء البرمجة الذين يحتاجون إلى وصول مفيد إلى المضيف من دون تحويل كل أمر غير مطابق إلى مطالبة بشرية:

bash
openclaw config set tools.exec.mode autoopenclaw approvals getopenclaw gateway restart

ثم تحقّق من السياسة الفعلية:

bash
openclaw exec-policy show

أوضاع تنفيذ المضيف في OpenClaw

يمثّل tools.exec.mode واجهة السياسة الموحّدة لأمر exec على المضيف. ويُحوَّل كل وضع إلى زوج أساسي من security (صرامة قائمة السماح) وask (المطالبة عند عدم التطابق):

الوضع security / ask السلوك يُستخدم عندما
deny deny / off حظر التنفيذ على المضيف بالكامل. لا يُسمح بأي أوامر على المضيف.
allowlist allowlist / off تشغيل الأوامر المدرجة في قائمة السماح فقط، ورفض غير المطابقات بصمت. لديك مجموعة أوامر معروفة بأنها آمنة.
ask allowlist / on-miss تشغيل الأوامر المطابقة لقائمة السماح، وسؤال شخص عند عدم التطابق. ينبغي لشخص مراجعة كل أمر جديد.
auto allowlist / on-miss تشغيل الأوامر المطابقة لقائمة السماح، وإرسال غير المطابقات إلى المراجعة التلقائية قبل الرجوع إلى موافقة بشرية. تحتاج جلسات البرمجة إلى وصول عملي خاضع للحماية.
full full / off تشغيل الأوامر على المضيف من دون مطالبات. ينبغي لهذا المضيف أو لهذه الجلسة الموثوقين تجاوز بوابات الموافقة.

يشترك ask وauto في إعدادات قائمة السماح والسؤال نفسها؛ ويفعّل auto أيضًا المراجع التلقائي الأصلي، الذي يبتّ بنفسه في الأوامر غير المطابقة ولا يحيلها إلى مسار الموافقة البشرية المُعدّ إلا عندما يتعذّر عليه اعتمادها بأمان.

للاطلاع على سياسة التنفيذ الكاملة على المضيف، وملف الموافقات المحلي، ومخطط قائمة السماح، والثنائيات الآمنة، وسلوك إعادة التوجيه، راجع موافقات التنفيذ.

مطابقة Codex Guardian

بالنسبة إلى جلسات خادم تطبيق Codex الأصلية، يوجّه tools.exec.mode: "auto" ‏Codex نحو الموافقات التي يراجعها Guardian عندما تسمح متطلبات Codex المحلية بذلك. القيم الناتجة المعتادة:

حقل Codex القيمة المعتادة
approvalPolicy on-request
approvalsReviewer auto_review
sandbox workspace-write

يفرض وضع auto هذه السياسة بدلًا من أي تجاوزات مُعدّة لبيئة العزل أو الموافقات في Codex، ولذلك لا يحتفظ بالتركيبات القديمة غير الآمنة مثل approvalPolicy: "never" مع sandbox: "danger-full-access". يحظر tools.exec.mode: "deny" و"allowlist" التنفيذ المحلي لخادم تطبيق Codex بالكامل. لا تستخدم tools.exec.mode: "full" إلا عندما تريد عمدًا وضعًا بلا موافقات.

لإعداد خادم التطبيق، وترتيب المصادقة، وتفاصيل بيئة تشغيل Codex الأصلية، راجع بيئة تشغيل Codex.

أذونات بيئة تشغيل ACPX

جلسات ACPX غير تفاعلية، ولذلك لا يمكنها النقر على مطالبة أذونات في TTY. يستخدم ACPX إعدادات منفصلة على مستوى بيئة التشغيل ضمن plugins.entries.acpx.config:

الإعداد القيم المعنى
permissionMode approve-reads الموافقة تلقائيًا على عمليات القراءة فقط.
permissionMode approve-all الموافقة تلقائيًا على الكتابة وأوامر الصدفة.
permissionMode deny-all رفض جميع مطالبات الأذونات.
nonInteractivePermissions fail الإنهاء عندما تكون المطالبة مطلوبة.
nonInteractivePermissions deny رفض المطالبة والمتابعة عندما يكون ذلك ممكنًا.

اضبط أذونات ACPX بصورة منفصلة عن موافقات التنفيذ في OpenClaw:

bash
openclaw config set plugins.entries.acpx.config.permissionMode approve-allopenclaw config set plugins.entries.acpx.config.nonInteractivePermissions failopenclaw gateway restart

استخدم approve-all بوصفه مكافئ ACPX لحالة الطوارئ لجلسة بيئة تشغيل بلا مطالبات. للحصول على تفاصيل الإعداد وأنماط الفشل، راجع إعداد وكلاء ACP.

اختيار وضع

الهدف الإعداد
حظر أوامر المضيف بالكامل tools.exec.mode: "deny"
السماح بتشغيل الأوامر المعروفة بأنها آمنة فقط tools.exec.mode: "allowlist"
سؤال شخص عن كل صيغة أمر جديدة tools.exec.mode: "ask"
استخدام المراجعة التلقائية من Codex/OpenClaw قبل البشر tools.exec.mode: "auto"
تجاوز موافقات التنفيذ على المضيف بالكامل tools.exec.mode: "full" مع ملف موافقات مضيف مطابق
تمكين جلسات ACPX غير التفاعلية من الكتابة والتنفيذ plugins.entries.acpx.config.permissionMode: "approve-all"

إذا ظل أمر ما يعرض مطالبة أو يفشل بعد تغيير الوضع، فافحص كلتا الطبقتين:

bash
openclaw approvals getopenclaw exec-policy show

يستخدم التنفيذ على المضيف النتيجة الأكثر صرامة بين إعدادات OpenClaw وملف الموافقات المحلي للمضيف. لا تخفّف أذونات بيئة تشغيل ACPX موافقات التنفيذ على المضيف، كما لا تخفّف موافقات التنفيذ على المضيف مطالبات بيئة تشغيل ACPX.

موضوعات ذات صلة

Was this useful?
On this page

On this page