Tools
İzin modları
İzin modları, bir ajanın ana makine komutlarını çalıştırmadan, dosyalara yazmadan veya ek erişim için bir arka uç yürütme ortamından istekte bulunmadan önce ne kadar yetkiye sahip olduğunu belirler.
Önerilen varsayılan
Her engelde kullanıcıya istem göstermeden kullanışlı ana makine erişimine ihtiyaç duyan kodlama ajanları için auto kullanın:
openclaw config set tools.exec.mode autoopenclaw approvals getopenclaw gateway restartArdından geçerli ilkeyi doğrulayın:
openclaw exec-policy showOpenClaw ana makine çalıştırma modları
tools.exec.mode, ana makine exec işlemi için normalleştirilmiş ilke yüzeyidir. Her mod, temel bir security (izin listesinin katılığı) ve ask (eşleşme olmadığında istem gösterme) çiftine karşılık gelir:
| Mod | security / ask | Davranış | Kullanım durumu |
|---|---|---|---|
deny |
deny / off |
Ana makinede çalıştırmayı tamamen engeller. | Ana makine komutlarına izin verilmediğinde. |
allowlist |
allowlist / off |
Yalnızca izin listesindeki komutları çalıştırır; eşleşmeyenleri sessizce reddeder. | Güvenli olduğu bilinen bir komut kümeniz olduğunda. |
ask |
allowlist / on-miss |
İzin listesiyle eşleşenleri çalıştırır; eşleşmeyenler için bir insana sorar. | Her yeni komutun bir insan tarafından incelenmesi gerektiğinde. |
auto |
allowlist / on-miss |
İzin listesiyle eşleşenleri çalıştırır; eşleşmeyenleri insan onayına başvurmadan önce otomatik incelemeye gönderir. | Kodlama oturumları pratik ve korumalı erişim gerektirdiğinde. |
full |
full / off |
Ana makinede istem göstermeden çalıştırır. | Bu güvenilir ana makine/oturumun onay kapılarını atlaması gerektiğinde. |
ask ve auto aynı izin listesi/isteme ayarlarını paylaşır; auto ayrıca eşleşmeyenlere kendisi karar veren ve yalnızca güvenli biçimde onaylayamadığında yapılandırılmış insan onayı yoluna başvuran yerel otomatik inceleyiciyi etkinleştirir.
Ana makinede çalıştırma ilkesinin tamamı, yerel onaylar dosyası, izin listesi şeması, güvenli ikili dosyalar ve yönlendirme davranışı için Çalıştırma onayları bölümüne bakın.
Codex Guardian eşlemesi
Yerel Codex uygulama sunucusu oturumlarında tools.exec.mode: "auto", yerel Codex gereksinimleri izin verdiğinde Codex'i Guardian tarafından incelenen onaylara yönlendirir. Ortaya çıkan tipik değerler:
| Codex alanı | Tipik değer |
|---|---|
approvalPolicy |
on-request |
approvalsReviewer |
auto_review |
sandbox |
workspace-write |
auto modu, bu ilkeyi yapılandırılmış tüm Codex korumalı alan/onay geçersiz kılmalarının üzerinde zorunlu kılar; dolayısıyla sandbox: "danger-full-access" ile birlikte approvalPolicy: "never" gibi eski ve güvenli olmayan birleşimleri korumaz. tools.exec.mode: "deny" ve "allowlist", Codex uygulama sunucusunun yerel yürütmesini tamamen engeller. tools.exec.mode: "full" ayarını yalnızca bilinçli olarak onaysız çalışma biçimini istediğinizde kullanın.
Uygulama sunucusu kurulumu, kimlik doğrulama sırası ve yerel Codex çalışma zamanı ayrıntıları için Codex yürütme ortamı bölümüne bakın.
ACPX yürütme ortamı izinleri
ACPX oturumları etkileşimsizdir, bu nedenle bir TTY izin istemine tıklayamazlar. ACPX, plugins.entries.acpx.config altındaki ayrı yürütme ortamı düzeyi ayarlarını kullanır:
| Ayar | Değerler | Anlamı |
|---|---|---|
permissionMode |
approve-reads |
Yalnızca okuma işlemlerini otomatik olarak onaylar. |
permissionMode |
approve-all |
Yazma işlemlerini ve kabuk komutlarını otomatik olarak onaylar. |
permissionMode |
deny-all |
Tüm izin istemlerini reddeder. |
nonInteractivePermissions |
fail |
İstem gerektiğinde işlemi iptal eder. |
nonInteractivePermissions |
deny |
İstemi reddeder ve mümkün olduğunda devam eder. |
ACPX izinlerini OpenClaw çalıştırma onaylarından ayrı olarak ayarlayın:
openclaw config set plugins.entries.acpx.config.permissionMode approve-allopenclaw config set plugins.entries.acpx.config.nonInteractivePermissions failopenclaw gateway restartapprove-all ayarını, istem göstermeyen bir yürütme ortamı oturumunun ACPX için acil durum eşdeğeri olarak kullanın. Kurulum ayrıntıları ve hata modları için ACP ajanları kurulumu bölümüne bakın.
Mod seçme
| Amaç | Yapılandırma |
|---|---|
| Ana makine komutlarını tamamen engellemek | tools.exec.mode: "deny" |
| Yalnızca güvenli olduğu bilinen komutları çalıştırmak | tools.exec.mode: "allowlist" |
| Her yeni komut biçimi için bir insana sormak | tools.exec.mode: "ask" |
| İnsanlardan önce Codex/OpenClaw otomatik incelemesini kullanmak | tools.exec.mode: "auto" |
| Ana makinede çalıştırma onaylarını tamamen atlamak | tools.exec.mode: "full" ve eşleşen ana makine onayları dosyası |
| Etkileşimsiz ACPX oturumlarının yazmasını/çalıştırmasını sağlamak | plugins.entries.acpx.config.permissionMode: "approve-all" |
Modu değiştirdikten sonra bir komut hâlâ istem gösteriyor veya başarısız oluyorsa her iki katmanı da inceleyin:
openclaw approvals getopenclaw exec-policy showAna makinede çalıştırma, OpenClaw yapılandırması ile ana makineye yerel onaylar dosyasından daha katı olan sonucu kullanır. ACPX yürütme ortamı izinleri ana makinede çalıştırma onaylarını gevşetmez; ana makinede çalıştırma onayları da ACPX yürütme ortamı istemlerini gevşetmez.