---
read_when:
    - اختيار auto أو ask أو allowlist أو full أو deny لأذونات الأوامر
    - تهيئة الموافقات التي يراجعها Codex Guardian عبر `tools.exec.mode`
    - مقارنة موافقات التنفيذ في OpenClaw بأذونات إطار ACPX
summary: أوضاع الأذونات لتنفيذ الأوامر على المضيف، وموافقات Codex Guardian، وجلسات حاضنة ACPX
title: أوضاع الأذونات
x-i18n:
    generated_at: "2026-07-12T06:44:11Z"
    model: gpt-5.6
    postprocess_version: locale-links-v1
    provider: openai
    source_hash: f580e66508c1f69e868ed26a62d88a675f86a4d1ca738650dc5af82e967f3ac3
    source_path: tools/permission-modes.md
    workflow: 16
---

تحدّد أوضاع الأذونات مقدار الصلاحية التي يمتلكها الوكيل قبل أن يشغّل أوامر المضيف، أو يكتب الملفات، أو يطلب من بيئة تشغيل خلفية وصولًا إضافيًا.

<Note>
  وضع الأذونات منفصل عن `tools.exec.host=auto`. يحدّد `tools.exec.host`
  مكان تشغيل الأمر. ويحدّد `tools.exec.mode` كيفية الموافقة على التنفيذ في
  المضيف.
</Note>

## الإعداد الافتراضي الموصى به

استخدم `auto` لوكلاء البرمجة الذين يحتاجون إلى وصول مفيد إلى المضيف من دون تحويل كل أمر غير مطابق إلى مطالبة بشرية:

```bash
openclaw config set tools.exec.mode auto
openclaw approvals get
openclaw gateway restart
```

ثم تحقّق من السياسة الفعلية:

```bash
openclaw exec-policy show
```

## أوضاع تنفيذ المضيف في OpenClaw

يمثّل `tools.exec.mode` واجهة السياسة الموحّدة لأمر `exec` على المضيف. ويُحوَّل كل وضع إلى زوج أساسي من `security` (صرامة قائمة السماح) و`ask` (المطالبة عند عدم التطابق):

| الوضع       | security / ask          | السلوك                                                                                                         | يُستخدم عندما                                              |
| ----------- | ----------------------- | -------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- |
| `deny`      | `deny` / `off`          | حظر التنفيذ على المضيف بالكامل.                                                                                | لا يُسمح بأي أوامر على المضيف.                              |
| `allowlist` | `allowlist` / `off`     | تشغيل الأوامر المدرجة في قائمة السماح فقط، ورفض غير المطابقات بصمت.                                            | لديك مجموعة أوامر معروفة بأنها آمنة.                       |
| `ask`       | `allowlist` / `on-miss` | تشغيل الأوامر المطابقة لقائمة السماح، وسؤال شخص عند عدم التطابق.                                              | ينبغي لشخص مراجعة كل أمر جديد.                              |
| `auto`      | `allowlist` / `on-miss` | تشغيل الأوامر المطابقة لقائمة السماح، وإرسال غير المطابقات إلى المراجعة التلقائية قبل الرجوع إلى موافقة بشرية. | تحتاج جلسات البرمجة إلى وصول عملي خاضع للحماية.             |
| `full`      | `full` / `off`          | تشغيل الأوامر على المضيف من دون مطالبات.                                                                       | ينبغي لهذا المضيف أو لهذه الجلسة الموثوقين تجاوز بوابات الموافقة. |

يشترك `ask` و`auto` في إعدادات قائمة السماح والسؤال نفسها؛ ويفعّل `auto` أيضًا المراجع التلقائي الأصلي، الذي يبتّ بنفسه في الأوامر غير المطابقة ولا يحيلها إلى مسار الموافقة البشرية المُعدّ إلا عندما يتعذّر عليه اعتمادها بأمان.

للاطلاع على سياسة التنفيذ الكاملة على المضيف، وملف الموافقات المحلي، ومخطط قائمة السماح، والثنائيات الآمنة، وسلوك إعادة التوجيه، راجع [موافقات التنفيذ](/ar/tools/exec-approvals).

## مطابقة Codex Guardian

بالنسبة إلى جلسات خادم تطبيق Codex الأصلية، يوجّه `tools.exec.mode: "auto"` ‏Codex نحو الموافقات التي يراجعها Guardian عندما تسمح متطلبات Codex المحلية بذلك. القيم الناتجة المعتادة:

| حقل Codex            | القيمة المعتادة    |
| -------------------- | ------------------ |
| `approvalPolicy`     | `on-request`       |
| `approvalsReviewer`  | `auto_review`      |
| `sandbox`            | `workspace-write`  |

يفرض وضع `auto` هذه السياسة بدلًا من أي تجاوزات مُعدّة لبيئة العزل أو الموافقات في Codex، ولذلك لا يحتفظ بالتركيبات القديمة غير الآمنة مثل `approvalPolicy: "never"` مع `sandbox: "danger-full-access"`. يحظر `tools.exec.mode: "deny"` و`"allowlist"` التنفيذ المحلي لخادم تطبيق Codex بالكامل. لا تستخدم `tools.exec.mode: "full"` إلا عندما تريد عمدًا وضعًا بلا موافقات.

لإعداد خادم التطبيق، وترتيب المصادقة، وتفاصيل بيئة تشغيل Codex الأصلية، راجع [بيئة تشغيل Codex](/ar/plugins/codex-harness).

## أذونات بيئة تشغيل ACPX

جلسات ACPX غير تفاعلية، ولذلك لا يمكنها النقر على مطالبة أذونات في TTY. يستخدم ACPX إعدادات منفصلة على مستوى بيئة التشغيل ضمن `plugins.entries.acpx.config`:

| الإعداد                     | القيم            | المعنى                                      |
| --------------------------- | ---------------- | ------------------------------------------- |
| `permissionMode`            | `approve-reads`  | الموافقة تلقائيًا على عمليات القراءة فقط.   |
| `permissionMode`            | `approve-all`    | الموافقة تلقائيًا على الكتابة وأوامر الصدفة. |
| `permissionMode`            | `deny-all`       | رفض جميع مطالبات الأذونات.                   |
| `nonInteractivePermissions` | `fail`           | الإنهاء عندما تكون المطالبة مطلوبة.           |
| `nonInteractivePermissions` | `deny`           | رفض المطالبة والمتابعة عندما يكون ذلك ممكنًا. |

اضبط أذونات ACPX بصورة منفصلة عن موافقات التنفيذ في OpenClaw:

```bash
openclaw config set plugins.entries.acpx.config.permissionMode approve-all
openclaw config set plugins.entries.acpx.config.nonInteractivePermissions fail
openclaw gateway restart
```

استخدم `approve-all` بوصفه مكافئ ACPX لحالة الطوارئ لجلسة بيئة تشغيل بلا مطالبات. للحصول على تفاصيل الإعداد وأنماط الفشل، راجع [إعداد وكلاء ACP](/ar/tools/acp-agents-setup#permission-configuration).

## اختيار وضع

| الهدف                                           | الإعداد                                                      |
| ----------------------------------------------- | ------------------------------------------------------------ |
| حظر أوامر المضيف بالكامل                        | `tools.exec.mode: "deny"`                                    |
| السماح بتشغيل الأوامر المعروفة بأنها آمنة فقط   | `tools.exec.mode: "allowlist"`                               |
| سؤال شخص عن كل صيغة أمر جديدة                   | `tools.exec.mode: "ask"`                                     |
| استخدام المراجعة التلقائية من Codex/OpenClaw قبل البشر | `tools.exec.mode: "auto"`                                    |
| تجاوز موافقات التنفيذ على المضيف بالكامل        | `tools.exec.mode: "full"` مع ملف موافقات مضيف مطابق          |
| تمكين جلسات ACPX غير التفاعلية من الكتابة والتنفيذ | `plugins.entries.acpx.config.permissionMode: "approve-all"` |

إذا ظل أمر ما يعرض مطالبة أو يفشل بعد تغيير الوضع، فافحص كلتا الطبقتين:

```bash
openclaw approvals get
openclaw exec-policy show
```

يستخدم التنفيذ على المضيف النتيجة الأكثر صرامة بين إعدادات OpenClaw وملف الموافقات المحلي للمضيف. لا تخفّف أذونات بيئة تشغيل ACPX موافقات التنفيذ على المضيف، كما لا تخفّف موافقات التنفيذ على المضيف مطالبات بيئة تشغيل ACPX.

## موضوعات ذات صلة

- [موافقات التنفيذ](/ar/tools/exec-approvals)
- [موافقات التنفيذ - متقدم](/ar/tools/exec-approvals-advanced)
- [بيئة تشغيل Codex](/ar/plugins/codex-harness)
- [إعداد وكلاء ACP](/ar/tools/acp-agents-setup#permission-configuration)
