CLI commands
Goedkeuringen
openclaw approvals
Beheer exec-goedkeuringen voor de lokale host, Gateway-host of een Node-host.
Standaard richten opdrachten zich op het lokale goedkeuringenbestand op schijf. Gebruik --gateway om de Gateway als doel te gebruiken, of --node om een specifieke Node als doel te gebruiken.
Alias: openclaw exec-approvals
Gerelateerd:
- Exec-goedkeuringen: Exec-goedkeuringen
- Nodes: Nodes
openclaw exec-policy
openclaw exec-policy is de lokale gemaksopdracht om de gevraagde
tools.exec.*-configuratie en het lokale goedkeuringenbestand van de host in één stap gelijk te houden.
Gebruik deze wanneer je het volgende wilt:
- het lokale aangevraagde beleid, het goedkeuringenbestand van de host en de effectieve samenvoeging inspecteren
- een lokale preset zoals YOLO of alles-weigeren toepassen
- lokale
tools.exec.*en het lokale goedkeuringenbestand van de host synchroniseren
Voorbeelden:
openclaw exec-policy showopenclaw exec-policy show --json openclaw exec-policy preset yoloopenclaw exec-policy preset cautious --json openclaw exec-policy set --host gateway --security full --ask off --ask-fallback fullUitvoermodi:
- geen
--json: drukt de door mensen leesbare tabelweergave af --json: drukt machineleesbare gestructureerde uitvoer af
Huidig bereik:
exec-policyis alleen lokaal- het werkt het lokale configuratiebestand en het lokale goedkeuringenbestand samen bij
- het pusht geen beleid naar de Gateway-host of een Node-host
--host nodewordt in deze opdracht geweigerd omdat exec-goedkeuringen voor Nodes tijdens runtime van de Node worden opgehaald en in plaats daarvan via op Nodes gerichte goedkeuringsopdrachten moeten worden beheerdopenclaw exec-policy showmarkeert bereiken methost=nodeals door Nodes beheerd tijdens runtime in plaats van een effectief beleid af te leiden uit het lokale goedkeuringenbestand
Als je goedkeuringen voor externe hosts direct moet bewerken, blijf dan openclaw approvals set --gateway
of openclaw approvals set --node <id|name|ip> gebruiken.
Veelgebruikte opdrachten
openclaw approvals getopenclaw approvals get --node <id|name|ip>openclaw approvals get --gatewayopenclaw approvals get toont nu het effectieve exec-beleid voor lokale, Gateway- en Node-doelen:
- aangevraagd
tools.exec-beleid - beleid van het goedkeuringenbestand van de host
- effectief resultaat nadat prioriteitsregels zijn toegepast
De prioriteit is bewust gekozen:
- het goedkeuringenbestand van de host is de afdwingbare bron van waarheid
- het aangevraagde
tools.exec-beleid kan de intentie beperken of verruimen, maar het effectieve resultaat wordt nog steeds afgeleid van de hostregels --nodecombineert het goedkeuringenbestand van de Node-host met het Gateway-tools.exec-beleid, omdat beide nog steeds tijdens runtime gelden- als de Gateway-configuratie niet beschikbaar is, valt de CLI terug op de snapshot van Node-goedkeuringen en vermeldt deze dat het uiteindelijke runtimebeleid niet kon worden berekend
Goedkeuringen vervangen vanuit een bestand
openclaw approvals set --file ./exec-approvals.jsonopenclaw approvals set --stdin <<'EOF'{ version: 1, defaults: { security: "full", ask: "off", askFallback: "full" } }EOFopenclaw approvals set --node <id|name|ip> --file ./exec-approvals.jsonopenclaw approvals set --gateway --file ./exec-approvals.jsonset accepteert JSON5, niet alleen strikte JSON. Gebruik --file of --stdin, niet beide.
Voorbeeld voor "Nooit vragen" / YOLO
Voor een host die nooit moet stoppen op exec-goedkeuringen, stel je de standaardwaarden voor hostgoedkeuringen in op full + off:
openclaw approvals set --stdin <<'EOF'{ version: 1, defaults: { security: "full", ask: "off", askFallback: "full" }}EOFNode-variant:
openclaw approvals set --node <id|name|ip> --stdin <<'EOF'{ version: 1, defaults: { security: "full", ask: "off", askFallback: "full" }}EOFDit wijzigt alleen het goedkeuringenbestand van de host. Stel ook het volgende in om het aangevraagde OpenClaw-beleid gelijk te houden:
openclaw config set tools.exec.host gatewayopenclaw config set tools.exec.security fullopenclaw config set tools.exec.ask offWaarom tools.exec.host=gateway in dit voorbeeld:
host=autobetekent nog steeds "sandbox wanneer beschikbaar, anders Gateway".- YOLO gaat over goedkeuringen, niet over routering.
- Als je host-exec wilt, zelfs wanneer een sandbox is geconfigureerd, maak de hostkeuze dan expliciet met
gatewayof/exec host=gateway.
Weggelaten askFallback krijgt standaard deny. Stel askFallback: "full"
expliciet in wanneer je een host zonder UI upgradet die nooit-vragen-gedrag moet behouden.
Lokale snelkoppeling:
openclaw exec-policy preset yoloDie lokale snelkoppeling werkt zowel de aangevraagde lokale tools.exec.*-configuratie als de
lokale standaardwaarden voor goedkeuringen samen bij. De intentie is gelijk aan de handmatige tweestaps
configuratie hierboven, maar alleen voor de lokale machine.
Hulpfuncties voor allowlist
openclaw approvals allowlist add "~/Projects/**/bin/rg"openclaw approvals allowlist add --agent main --node <id|name|ip> "/usr/bin/uptime"openclaw approvals allowlist add --agent "*" "/usr/bin/uname" openclaw approvals allowlist remove "~/Projects/**/bin/rg"Veelgebruikte opties
get, set en allowlist add|remove ondersteunen allemaal:
--node <id|name|ip>--gateway- gedeelde Node-RPC-opties:
--url,--token,--timeout,--json
Opmerkingen over doelkeuze:
- geen doelvlaggen betekent het lokale goedkeuringenbestand op schijf
--gatewayricht zich op het goedkeuringenbestand van de Gateway-host--nodericht zich op één Node-host na het oplossen van id, naam, IP of id-prefix
allowlist add|remove ondersteunt ook:
--agent <id>(standaard*)
Opmerkingen
--nodegebruikt dezelfde resolver alsopenclaw nodes(id, naam, ip of id-prefix).--agentheeft standaardwaarde"*", wat van toepassing is op alle agents.- De Node-host moet
system.execApprovals.get/setadverteren (macOS-app of headless Node-host). - Goedkeuringenbestanden worden per host opgeslagen in de OpenClaw-statusmap
(
$OPENCLAW_STATE_DIR/exec-approvals.json, of~/.openclaw/exec-approvals.jsonwanneer de variabele niet is ingesteld).