跳转到内容

权限模式

权限模式决定了代理在运行主机命令、写入文件或请求后端约束以获取额外访问权限之前所拥有的权限大小。当您希望 OpenClaw 首先使用允许列表,然后针对未命中项使用 Codex 原生自动审查或人工批准流程时,请从 tools.exec.mode: "auto"OpenClaw 开始。

对于需要有用主机访问权限且不希望每次未命中都提示人工确认的编码代理,请使用 auto

Terminal window
openclaw config set tools.exec.mode auto
openclaw approvals get
openclaw gateway restart

然后验证有效策略:

Terminal window
openclaw exec-policy show

autoOpenClawOpenClaw 模式下,OpenClaw 直接运行确定性的允许列表匹配。未命中的批准请求首先通过 OpenClaw 的原生自动审查程序,然后在需要时回退到配置的人工批准流程。

tools.exec.mode 是主机 exec 的标准化策略层面。

模式行为使用场景
deny阻止主机执行。不允许任何主机命令。
allowlist仅运行允许列表中的命令。您拥有已知安全的命令集。
ask运行允许列表匹配项,并在未命中时询问。人工应审查新命令。
auto运行允许列表匹配项,然后使用自动审查。编码会话需要实用的受控访问。
full无提示地运行主机执行。此受信任主机/会话应跳过批准关卡。

有关完整的主机执行策略、本地批准文件、允许列表架构、安全二进制文件和转发行为,请参阅 执行批准

对于原生 Codex 应用服务器会话,当本地 Codex 要求允许时,tools.exec.mode: "auto"OpenClaw 会映射到 Codex Guardian 审核的批准。OpenClaw 通常会发送:

Codex 字段典型值
approvalPolicyon-request
approvalsReviewerauto_review
sandboxworkspace-write

autoOpenClaw 模式下,OpenClaw 不会保留旧版不安全的 Codex 覆盖设置,例如 approvalPolicy: "never"sandbox: "danger-full-access"。仅当您有意采用无需批准的姿态时,才使用 tools.exec.mode: "full"

有关应用服务器设置、身份验证顺序和原生 Codex 运行时详细信息,请参阅 Codex harness

ACPX 会话是非交互式的,因此它们无法点击 TTY 权限提示。ACPX 在 plugins.entries.acpx.config 下使用单独的 harness 级别设置:

设置常用值含义
permissionModeapprove-reads仅自动批准读取操作。
permissionModeapprove-all自动批准写入和 shell 命令。
permissionModedeny-all拒绝所有权限提示。
nonInteractivePermissionsfail当需要提示时中止。
nonInteractivePermissionsdeny拒绝提示并在可能时继续。

单独设置 ACPX 权限,而不是 OpenClaw 执行批准:

Terminal window
openclaw config set plugins.entries.acpx.config.permissionMode approve-all
openclaw config set plugins.entries.acpx.config.nonInteractivePermissions fail
openclaw gateway restart

approve-all 用作无提示 harness 会话的 ACPX 应急等效项。有关设置详细信息和失败模式,请参阅 ACP agents setup

目标配置
完全阻止主机命令tools.exec.mode: "deny"
仅允许已知安全的命令运行tools.exec.mode: "allowlist"
针对每一种新的命令形态询问人工tools.exec.mode: "ask"
在人工介入之前使用 Codex/OpenClaw 自动审核tools.exec.mode: "auto"
完全跳过主机执行审批tools.exec.mode: "full" 加上匹配的主机审批文件
使非交互式 ACPX 会话可写入/执行plugins.entries.acpx.config.permissionMode: "approve-all"

如果更改模式后命令仍然提示或失败,请检查这两层:

Terminal window
openclaw approvals get
openclaw exec-policy show

主机执行使用 OpenClaw 配置和主机本地审批文件中更严格的结果。ACPX 挂接权限不会放宽主机执行审批,主机执行审批也不会放宽 ACPX 挂接提示。