Get started
Plugin خطمشی
Plugin خطمشی
بررسیهای doctor مبتنی بر خطمشی را برای انطباق فضای کاری اضافه میکند.
توزیع
- بسته:
@openclaw/policy - مسیر نصب: در OpenClaw گنجانده شده است
سطح
Plugin
رفتار
Plugin خطمشی، بررسیهای سلامت doctor را برای تنظیمات OpenClaw تحت مدیریت خطمشی و اعلانهای فضای کاری حاکمیتشده فراهم میکند. خطمشی در حال حاضر انطباق کانال، فراداده ابزارهای حاکمیتشده، وضعیت سرور MCP، وضعیت ارائهدهنده مدل، وضعیت دسترسی به شبکه خصوصی، وضعیت در معرضبودن Gateway، وضعیت فضای کاری/ابزار عامل، وضعیت ابزارهای پیکربندیشده سراسری/بهازای هر عامل، وضعیت محیط اجرای سندباکس پیکربندیشده، وضعیت دسترسی ورودی/کانال، وضعیت مدیریت داده و وضعیت ارائهدهنده اسرار/نمایه احراز هویت پیکربندی OpenClaw را پوشش میدهد.
خطمشی، الزامات تدوینشده را در policy.jsonc ذخیره میکند، تنظیمات موجود OpenClaw و اعلانهای فضای کاری را بهعنوان شواهد مشاهده میکند و انحراف را از طریق openclaw policy check و openclaw doctor --lint گزارش میدهد. یک بررسی خطمشی پاک، هشهای خطمشی، شواهد، یافتهها و تصدیق را تولید میکند که بهرهبرداران میتوانند برای ممیزی ثبت کنند.
openclaw policy compare --baseline <file> یک فایل خطمشی را با فایل خطمشی دیگری مقایسه میکند. این فقط انطباق در سطح پیکربندی است: از فراداده قواعد خطمشی استفاده میکند تا تأیید کند خطمشی بررسیشده چیزی از خط مبنای تدوینشده کم ندارد یا از آن ضعیفتر نیست و وضعیت زمان اجرا، اعتبارنامهها یا مقادیر اسرار را بررسی نمیکند.
قواعد وضعیت ابزار میتوانند نمایههای تأییدشده، ابزارهای سیستم فایل محدود به فضای کاری، تنظیمات کراندار امنیت/پرسش/میزبان برای اجرا، حالت ارتقایافته غیرفعال، ورودیهای دقیق alsoAllow و ورودیهای الزامی منع ابزار را اجباری کنند. شواهد، ورودیهای افزایشی alsoAllow را ثبت میکنند، زیرا ممکن است وضعیت مؤثر ابزار را گسترش دهند. این بررسیها فقط انطباق پیکربندی را مشاهده میکنند؛ وضعیت تأیید زمان اجرا را نمیخوانند و سازوکار اجرایی زمان اجرا اضافه نمیکنند.
قواعد وضعیت سندباکس میتوانند حالتها/پسزمینههای تأییدشده سندباکس را الزامی کنند، شبکه کانتینر میزبان را منع کنند، پیوستن به فضای نام کانتینر را منع کنند، اتصالهای فقطخواندنی کانتینر را الزامی کنند، اتصال سوکت محیط اجرای کانتینر و نمایههای نامحدود کانتینر را منع کنند و محدودههای مبدأ CDP مرورگر سندباکس را الزامی کنند. این بررسیها فقط انطباق پیکربندی را مشاهده میکنند؛ وضعیت تأیید زمان اجرا را نمیخوانند، کانتینرهای فعال را بازرسی نمیکنند و سازوکار اجرایی زمان اجرا اضافه نمیکنند.
قواعد مدیریت داده میتوانند حذف اطلاعات حساس از گزارشها را الزامی کنند، ضبط محتوای تلهمتری را منع کنند، نگهداشت حفظ نشستها را الزامی کنند و نمایهسازی حافظه رونوشت نشست را منع کنند. این بررسیها فقط انطباق پیکربندی را مشاهده میکنند؛ گزارشهای خام، خروجیهای تلهمتری، رونوشتها، فایلهای حافظه، اسرار یا دادههای شخصی را بررسی نمیکنند.
دامنههای نامگذاریشده خطمشی در scopes.<scopeName> میتوانند برای گزینشگر فهرستشده خود، بخشهای عادی و سختگیرانهتری از خطمشی اضافه کنند. agentIds از tools، agents.workspace، sandbox و dataHandling.memory پشتیبانی میکند؛ channelIds از ingress.channels پشتیبانی میکند.
شناسههای عامل زمان اجرا که صراحتاً در agents.list[] فهرست نشدهاند، در برابر وضعیت سراسری/پیشفرض بهارثرسیده بررسی میشوند، نه اینکه بدون هیچ شاهدی بهطور ضمنی پذیرفته شوند. هر دامنه موجود در policy.jsonc باید برای گزینشگر خود معتبر و قابل اعمال باشد. قواعد همپوشان ادعاهای افزوده هستند، بنابراین خطمشی سطح بالا را تضعیف نمیکنند و هنگامی که یک پیکربندی مشاهدهشده هر دو دامنه را نقض کند، میتوانند یافتههای مستقل خود را ایجاد کنند.