Get started
ポリシー Plugin
Policy Plugin
ポリシーに基づくワークスペース準拠の doctor チェックを追加します。
配布
- パッケージ:
@openclaw/policy - インストール経路: OpenClaw に含まれています
サーフェス
Plugin
動作
Policy Plugin は、ポリシー管理対象の OpenClaw 設定と、管理対象ワークスペース宣言に対する doctor ヘルスチェックを提供します。現在、Policy はチャネル 準拠、管理対象ツールメタデータ、MCP サーバー態勢、モデルプロバイダー態勢、 プライベートネットワークアクセス態勢、Gateway 公開態勢、エージェントのワークスペース/ツール 態勢、構成済みのグローバル/エージェント別ツール態勢、構成済みサンドボックスランタイム 態勢、ingress/チャネルアクセス態勢、データ処理態勢、OpenClaw 設定シークレット プロバイダー/認証プロファイル態勢を対象にします。
Policy は作成された要件を policy.jsonc に保存し、既存の
OpenClaw 設定とワークスペース宣言をエビデンスとして観測し、ドリフトを
openclaw policy check と openclaw doctor --lint で報告します。クリーンなポリシー
チェックは、オペレーターが監査用に記録できるポリシー、エビデンス、検出事項、証明ハッシュを出力します。
openclaw policy compare --baseline <file> は、あるポリシーファイルを別の
ポリシーファイルと比較します。これは設定レベルの準拠のみを扱います。ポリシールールのメタデータを使用して、
チェック対象のポリシーが作成済みのベースラインに対して不足していないこと、または弱くないことを検証し、
ランタイム状態、認証情報、シークレット値は検査しません。
ツール態勢ルールでは、承認済みプロファイル、ワークスペース限定のファイルシステム
ツール、境界付けされた exec セキュリティ/ask/host 設定、elevated モードの無効化、正確な
alsoAllow エントリ、必須のツール拒否エントリを要求できます。エビデンスレコードは、
有効なツール態勢を広げる可能性があるため、追加的な alsoAllow エントリを記録します。
これらのチェックは設定準拠のみを観測します。ランタイム承認
状態の読み取りや、ランタイム強制の追加は行いません。
サンドボックス態勢ルールでは、承認済みサンドボックスモード/バックエンドの要求、ホスト コンテナネットワーキングの拒否、コンテナ名前空間参加の拒否、読み取り専用コンテナ マウントの要求、コンテナランタイムソケットマウントと制限なしコンテナプロファイルの拒否、 サンドボックスブラウザー CDP ソース範囲の要求ができます。 これらのチェックは設定準拠のみを観測します。ランタイム承認 状態の読み取り、稼働中コンテナの検査、ランタイム強制の追加は行いません。
データ処理ルールでは、機密ログの墨消し、テレメトリー コンテンツ取得の拒否、セッション保持メンテナンスの要求、セッション トランスクリプトのメモリインデックス化の拒否ができます。これらのチェックは設定準拠のみを観測します。 生ログ、テレメトリーエクスポート、トランスクリプト、メモリファイル、シークレット、 個人データは検査しません。
scopes.<scopeName> 配下の名前付きポリシースコープは、列挙したセレクターに対して、
より厳格な通常ポリシーセクションを追加できます。agentIds は tools、
agents.workspace、sandbox、dataHandling.memory をサポートし、channelIds は
ingress.channels をサポートします。
agents.list[] に明示的に列挙されていないランタイムエージェント ID は、
エビデンスなしで黙って通過するのではなく、継承されたグローバル/デフォルト態勢に対してチェックされます。
policy.jsonc に存在するすべてのスコープは、そのセレクターに対して有効かつ強制可能である必要があります。
オーバーレイルールは追加の主張であるため、トップレベルポリシーを弱めることはなく、
観測された同じ設定が両方のスコープに違反する場合は、独自の検出事項を生成できます。
