Get started

Plugin นโยบาย

Plugin นโยบาย

เพิ่มการตรวจสอบ doctor ที่อิงนโยบายเพื่อให้พื้นที่ทำงานเป็นไปตามข้อกำหนด

การเผยแพร่

  • แพ็กเกจ: @openclaw/policy
  • ช่องทางการติดตั้ง: รวมอยู่ใน OpenClaw

พื้นผิว

Plugin

ลักษณะการทำงาน

Plugin นโยบายเพิ่มการตรวจสอบสถานะของ doctor สำหรับการตั้งค่า OpenClaw ที่จัดการด้วยนโยบายและคำประกาศพื้นที่ทำงานที่อยู่ภายใต้การกำกับดูแล ปัจจุบันนโยบายครอบคลุมความสอดคล้องของช่องทาง เมทาดาทาเครื่องมือที่อยู่ภายใต้การกำกับดูแล สถานะเซิร์ฟเวอร์ MCP สถานะผู้ให้บริการโมเดล สถานะการเข้าถึงเครือข่ายส่วนตัว สถานะการเปิดให้เข้าถึง Gateway สถานะพื้นที่ทำงาน/เครื่องมือของเอเจนต์ สถานะเครื่องมือส่วนกลาง/ต่อเอเจนต์ที่กำหนดค่าไว้ สถานะรันไทม์แซนด์บ็อกซ์ที่กำหนดค่าไว้ สถานะการเข้าถึงขาเข้า/ช่องทาง สถานะการจัดการข้อมูล และสถานะผู้ให้บริการความลับ/โปรไฟล์การยืนยันตัวตนในการกำหนดค่า OpenClaw

นโยบายจัดเก็บข้อกำหนดที่เขียนขึ้นใน policy.jsonc สังเกตการตั้งค่า OpenClaw และคำประกาศพื้นที่ทำงานที่มีอยู่เพื่อใช้เป็นหลักฐาน และรายงานความคลาดเคลื่อนผ่าน openclaw policy check และ openclaw doctor --lint การตรวจสอบนโยบายที่ผ่านโดยไม่มีปัญหาจะแสดงนโยบาย หลักฐาน ข้อค้นพบ และแฮชการรับรอง ซึ่งผู้ปฏิบัติงานสามารถบันทึกไว้เพื่อการตรวจสอบย้อนหลัง

openclaw policy compare --baseline <file> เปรียบเทียบไฟล์นโยบายหนึ่งกับอีกไฟล์นโยบายหนึ่ง โดยตรวจสอบความสอดคล้องในระดับการกำหนดค่าเท่านั้น: คำสั่งนี้ใช้เมทาดาทากฎนโยบายเพื่อตรวจสอบว่านโยบายที่ตรวจสอบไม่มีส่วนที่ขาดหายหรืออ่อนกว่าค่าพื้นฐานที่เขียนไว้ และจะไม่ตรวจสอบสถานะรันไทม์ ข้อมูลประจำตัว หรือค่าความลับ

กฎสถานะเครื่องมือสามารถกำหนดให้ใช้โปรไฟล์ที่ได้รับอนุมัติ เครื่องมือระบบไฟล์ที่จำกัดเฉพาะพื้นที่ทำงาน การตั้งค่าความปลอดภัย/การถาม/โฮสต์สำหรับการดำเนินคำสั่งที่มีขอบเขตจำกัด การปิดใช้งานโหมดยกระดับ รายการ alsoAllow ที่ตรงกันทุกประการ และรายการปฏิเสธเครื่องมือที่จำเป็น หลักฐานจะบันทึกรายการ alsoAllow ที่เพิ่มเข้ามา เนื่องจากรายการเหล่านี้สามารถขยายสถานะเครื่องมือที่มีผลได้ การตรวจสอบเหล่านี้สังเกตเฉพาะความสอดคล้องของการกำหนดค่าเท่านั้น โดยไม่อ่านสถานะการอนุมัติขณะรันไทม์หรือเพิ่มการบังคับใช้ขณะรันไทม์

กฎสถานะแซนด์บ็อกซ์สามารถกำหนดให้ใช้โหมด/แบ็กเอนด์แซนด์บ็อกซ์ที่ได้รับอนุมัติ ปฏิเสธการใช้เครือข่ายคอนเทนเนอร์ของโฮสต์ ปฏิเสธการเข้าร่วมเนมสเปซของคอนเทนเนอร์ กำหนดให้เมานต์คอนเทนเนอร์แบบอ่านอย่างเดียว ปฏิเสธการเมานต์ซ็อกเก็ตรันไทม์ของคอนเทนเนอร์และโปรไฟล์คอนเทนเนอร์ที่ไม่มีข้อจำกัด และกำหนดช่วงต้นทาง CDP สำหรับเบราว์เซอร์ในแซนด์บ็อกซ์ การตรวจสอบเหล่านี้สังเกตเฉพาะความสอดคล้องของการกำหนดค่าเท่านั้น โดยไม่อ่านสถานะการอนุมัติขณะรันไทม์ ตรวจสอบคอนเทนเนอร์ที่กำลังทำงาน หรือเพิ่มการบังคับใช้ขณะรันไทม์

กฎการจัดการข้อมูลสามารถกำหนดให้ปกปิดข้อมูลละเอียดอ่อนในบันทึก ปฏิเสธการบันทึกเนื้อหาในเทเลเมทรี กำหนดให้บำรุงรักษาการเก็บรักษาเซสชัน และปฏิเสธการจัดทำดัชนีหน่วยความจำจากบันทึกข้อความของเซสชัน การตรวจสอบเหล่านี้สังเกตเฉพาะความสอดคล้องของการกำหนดค่าเท่านั้น โดยไม่ตรวจสอบบันทึกดิบ ข้อมูลส่งออกเทเลเมทรี บันทึกข้อความ ไฟล์หน่วยความจำ ความลับ หรือข้อมูลส่วนบุคคล

ขอบเขตนโยบายที่ตั้งชื่อภายใต้ scopes.<scopeName> สามารถเพิ่มส่วนของนโยบายปกติที่เข้มงวดยิ่งขึ้นสำหรับตัวเลือกที่ระบุไว้ agentIds รองรับ tools, agents.workspace, sandbox และ dataHandling.memory; ส่วน channelIds รองรับ ingress.channels รหัสเอเจนต์ขณะรันไทม์ที่ไม่ได้ระบุไว้อย่างชัดเจนใน agents.list[] จะได้รับการตรวจสอบเทียบกับสถานะส่วนกลาง/ค่าเริ่มต้นที่สืบทอดมา แทนที่จะผ่านไปโดยไม่มีหลักฐาน ทุกขอบเขตที่มีอยู่ใน policy.jsonc ต้องถูกต้องและสามารถบังคับใช้กับตัวเลือกของขอบเขตนั้นได้ กฎซ้อนทับเป็นข้อกำหนดเพิ่มเติม ดังนั้นจึงไม่ลดความเข้มงวดของนโยบายระดับบนสุด และสามารถสร้างข้อค้นพบของตนเองได้เมื่อการกำหนดค่าที่สังเกตพบรายการเดียวกันละเมิดทั้งสองขอบเขต

เอกสารที่เกี่ยวข้อง

Was this useful?
On this page

On this page