CLI commands
Zatwierdzenia
openclaw approvals
Zarządzaj zatwierdzeniami exec dla hosta lokalnego, hosta Gateway lub hosta węzła.
Domyślnie polecenia są kierowane do lokalnego pliku zatwierdzeń na dysku. Użyj --gateway, aby wybrać Gateway, albo --node, aby wybrać konkretny węzeł.
Alias: openclaw exec-approvals
Powiązane:
- Zatwierdzenia exec: Zatwierdzenia exec
- Węzły: Węzły
openclaw exec-policy
openclaw exec-policy to lokalne polecenie pomocnicze do utrzymywania żądanej konfiguracji
tools.exec.* i lokalnego pliku zatwierdzeń hosta w zgodności w jednym kroku.
Użyj go, gdy chcesz:
- sprawdzić lokalną żądaną politykę, plik zatwierdzeń hosta i efektywne scalenie
- zastosować lokalne ustawienie wstępne, takie jak YOLO lub deny-all
- zsynchronizować lokalne
tools.exec.*i lokalny plik zatwierdzeń hosta
Przykłady:
openclaw exec-policy showopenclaw exec-policy show --json openclaw exec-policy preset yoloopenclaw exec-policy preset cautious --json openclaw exec-policy set --host gateway --security full --ask off --ask-fallback fullTryby wyjścia:
- bez
--json: wypisuje czytelny dla człowieka widok tabeli --json: wypisuje ustrukturyzowane wyjście czytelne maszynowo
Bieżący zakres:
exec-policydziała tylko lokalnie- aktualizuje razem lokalny plik konfiguracji i lokalny plik zatwierdzeń
- nie wypycha polityki do hosta Gateway ani hosta węzła
--host nodejest odrzucane w tym poleceniu, ponieważ zatwierdzenia exec węzła są pobierane z węzła w czasie działania i zamiast tego muszą być zarządzane przez polecenia zatwierdzeń kierowane do węzłaopenclaw exec-policy showoznacza zakresyhost=nodejako zarządzane przez węzeł w czasie działania, zamiast wyprowadzać efektywną politykę z lokalnego pliku zatwierdzeń
Jeśli musisz bezpośrednio edytować zatwierdzenia zdalnego hosta, nadal używaj openclaw approvals set --gateway
lub openclaw approvals set --node <id|name|ip>.
Typowe polecenia
openclaw approvals getopenclaw approvals get --node <id|name|ip>openclaw approvals get --gatewayopenclaw approvals get pokazuje teraz efektywną politykę exec dla celów lokalnych, Gateway i węzłów:
- żądana polityka
tools.exec - polityka z pliku zatwierdzeń hosta
- efektywny wynik po zastosowaniu reguł pierwszeństwa
Pierwszeństwo jest celowe:
- plik zatwierdzeń hosta jest egzekwowalnym źródłem prawdy
- żądana polityka
tools.execmoże zawężać lub rozszerzać intencję, ale efektywny wynik nadal jest wyprowadzany z reguł hosta --nodełączy plik zatwierdzeń hosta węzła z polityką Gatewaytools.exec, ponieważ oba nadal obowiązują w czasie działania- jeśli konfiguracja Gateway jest niedostępna, CLI wraca do migawki zatwierdzeń węzła i informuje, że nie udało się obliczyć końcowej polityki czasu działania
Zastępowanie zatwierdzeń z pliku
openclaw approvals set --file ./exec-approvals.jsonopenclaw approvals set --stdin <<'EOF'{ version: 1, defaults: { security: "full", ask: "off", askFallback: "full" } }EOFopenclaw approvals set --node <id|name|ip> --file ./exec-approvals.jsonopenclaw approvals set --gateway --file ./exec-approvals.jsonset akceptuje JSON5, nie tylko ścisły JSON. Użyj --file albo --stdin, ale nie obu naraz.
Przykład „Nigdy nie pytaj” / YOLO
Dla hosta, który nigdy nie powinien zatrzymywać się na zatwierdzeniach exec, ustaw domyślne zatwierdzenia hosta na full + off:
openclaw approvals set --stdin <<'EOF'{ version: 1, defaults: { security: "full", ask: "off", askFallback: "full" }}EOFWariant dla węzła:
openclaw approvals set --node <id|name|ip> --stdin <<'EOF'{ version: 1, defaults: { security: "full", ask: "off", askFallback: "full" }}EOFZmienia to tylko plik zatwierdzeń hosta. Aby zachować zgodność żądanej polityki OpenClaw, ustaw także:
openclaw config set tools.exec.host gatewayopenclaw config set tools.exec.security fullopenclaw config set tools.exec.ask offDlaczego w tym przykładzie tools.exec.host=gateway:
host=autonadal oznacza „sandbox, gdy dostępny, w przeciwnym razie Gateway”.- YOLO dotyczy zatwierdzeń, nie routingu.
- Jeśli chcesz exec na hoście nawet wtedy, gdy skonfigurowano sandbox, ustaw wybór hosta jawnie przez
gatewaylub/exec host=gateway.
Pominięte askFallback domyślnie przyjmuje deny. Ustaw askFallback: "full"
jawnie podczas aktualizowania hosta bez interfejsu użytkownika, który ma zachować zachowanie nigdy nie pytaj.
Lokalny skrót:
openclaw exec-policy preset yoloTen lokalny skrót aktualizuje razem zarówno żądaną lokalną konfigurację tools.exec.*, jak i
lokalne domyślne zatwierdzenia. Jest równoważny intencją ręcznej dwuetapowej
konfiguracji powyżej, ale tylko dla maszyny lokalnej.
Pomocniki listy dozwolonych
openclaw approvals allowlist add "~/Projects/**/bin/rg"openclaw approvals allowlist add --agent main --node <id|name|ip> "/usr/bin/uptime"openclaw approvals allowlist add --agent "*" "/usr/bin/uname" openclaw approvals allowlist remove "~/Projects/**/bin/rg"Typowe opcje
get, set oraz allowlist add|remove obsługują:
--node <id|name|ip>--gateway- współdzielone opcje RPC węzła:
--url,--token,--timeout,--json
Uwagi dotyczące wyboru celu:
- brak flag celu oznacza lokalny plik zatwierdzeń na dysku
--gatewaywybiera plik zatwierdzeń hosta Gateway--nodewybiera jeden host węzła po rozwiązaniu identyfikatora, nazwy, adresu IP lub prefiksu identyfikatora
allowlist add|remove obsługuje także:
--agent <id>(domyślnie*)
Uwagi
--nodeużywa tego samego mechanizmu rozwiązywania coopenclaw nodes(identyfikator, nazwa, adres IP lub prefiks identyfikatora).--agentdomyślnie przyjmuje"*", co obejmuje wszystkich agentów.- Host węzła musi ogłaszać
system.execApprovals.get/set(aplikacja macOS lub bezgłowy host węzła). - Pliki zatwierdzeń są przechowywane osobno dla każdego hosta w katalogu stanu OpenClaw
(
$OPENCLAW_STATE_DIR/exec-approvals.jsonalbo~/.openclaw/exec-approvals.json, gdy zmienna nie jest ustawiona).