---
read_when:
    - Вы устанавливаете, настраиваете или проверяете плагин политик
summary: Добавляет проверки doctor на соответствие рабочего пространства требованиям политик.
title: Плагин политик
x-i18n:
    generated_at: "2026-07-13T18:34:58Z"
    model: gpt-5.6
    postprocess_version: locale-links-v1
    prompt_version: 24
    provider: openai
    source_hash: f01de4816a191a175367c06ff69e4ebf6032ee1a105d1d9a48a74093e5e6f774
    source_path: plugins/reference/policy.md
    workflow: 16
---

# Плагин политик

Добавляет основанные на политиках проверки doctor для соответствия рабочего пространства требованиям.

## Распространение

- Пакет: `@openclaw/policy`
- Способ установки: входит в состав OpenClaw

## Поверхность

плагин

<!-- openclaw-plugin-reference:manual-start -->

## Поведение

Плагин Policy добавляет проверки состояния doctor для управляемых политиками настроек OpenClaw
и контролируемых деклараций рабочего пространства. В настоящее время Policy охватывает
соответствие каналов требованиям, метаданные контролируемых инструментов, состояние серверов MCP,
состояние поставщиков моделей, состояние доступа к частной сети, состояние доступности Gateway,
состояние рабочего пространства и инструментов агента, состояние настроенных глобальных и
назначенных отдельным агентам инструментов, состояние настроенной среды выполнения песочницы,
состояние входящего доступа и доступа к каналам, состояние обработки данных, а также состояние
поставщиков секретов и профилей аутентификации в конфигурации OpenClaw.

Policy хранит заданные требования в `policy.jsonc`, использует существующие
настройки OpenClaw и декларации рабочего пространства как свидетельства и сообщает
об отклонениях через `openclaw policy check` и `openclaw doctor --lint`. Успешная проверка
политики выводит хеши политики, свидетельств, результатов проверок и аттестации,
которые операторы могут сохранить для аудита.

`openclaw policy compare --baseline <file>` сравнивает один файл политики с другим
файлом политики. Это проверка соответствия только на уровне конфигурации: она использует
метаданные правил политики, чтобы убедиться, что проверяемая политика не содержит пропусков
и не является менее строгой, чем заданная базовая политика, и не проверяет состояние
среды выполнения, учётные данные или значения секретов.

Правила состояния инструментов могут требовать одобренные профили, ограниченные
рабочим пространством инструменты файловой системы, ограниченные настройки безопасности,
запросов и хоста для выполнения команд, отключённый режим повышенных привилегий, точные
записи `alsoAllow` и обязательные записи запрета инструментов. В свидетельства
включаются дополнительные записи `alsoAllow`, поскольку они могут расширять
фактические возможности инструментов. Эти проверки оценивают соответствие только
конфигурации; они не считывают состояние подтверждений среды выполнения и не добавляют
принудительное применение правил во время выполнения.

Правила состояния песочницы могут требовать одобренные режимы и серверные части
песочницы, запрещать сетевое подключение контейнера к хосту и присоединение к пространствам
имён контейнеров, требовать монтирование томов контейнера только для чтения, запрещать
монтирование сокетов среды выполнения контейнеров и неограниченные профили контейнеров,
а также требовать диапазоны источников CDP для браузера песочницы.
Эти проверки оценивают соответствие только конфигурации; они не считывают состояние
подтверждений среды выполнения, не проверяют работающие контейнеры и не добавляют
принудительное применение правил во время выполнения.

Правила обработки данных могут требовать редактирование конфиденциальных данных
в журналах, запрещать сбор содержимого телеметрией, требовать обслуживание хранения
сеансов и запрещать индексирование расшифровок сеансов в памяти. Эти проверки оценивают
соответствие только конфигурации; они не проверяют необработанные журналы, экспорты
телеметрии, расшифровки, файлы памяти, секреты или персональные данные.

Именованные области политик в `scopes.<scopeName>` могут добавлять более строгие
стандартные разделы политики для указанных в них селекторов. `agentIds`
поддерживает `tools`, `agents.workspace`, `sandbox` и
`dataHandling.memory`; `channelIds` поддерживает `ingress.channels`.
Идентификаторы агентов среды выполнения, которые явно не перечислены в
`agents.list[]`, проверяются относительно унаследованного глобального состояния
или состояния по умолчанию, а не пропускаются без свидетельств. Каждая область,
присутствующая в `policy.jsonc`, должна быть допустимой, а её требования —
применимыми для соответствующего селектора. Правила наложения являются дополнительными
требованиями, поэтому они не ослабляют политику верхнего уровня и могут формировать
собственные результаты проверок, если одна и та же наблюдаемая конфигурация нарушает
требования обеих областей.

<!-- openclaw-plugin-reference:manual-end -->

## Связанная документация

- [политика](/ru/cli/policy)
