CLI commands
승인
openclaw approvals
로컬 호스트, Gateway 호스트 또는 노드 호스트의 exec 승인을 관리합니다.
기본적으로 명령은 디스크의 로컬 승인 파일을 대상으로 합니다. Gateway를 대상으로 하려면 --gateway를 사용하고, 특정 노드를 대상으로 하려면 --node를 사용하세요.
별칭: openclaw exec-approvals
관련 항목:
openclaw exec-policy
openclaw exec-policy는 요청된 tools.exec.* 구성과 로컬 호스트 승인 파일을
한 단계에서 맞춰 유지하기 위한 로컬 편의 명령입니다.
다음이 필요할 때 사용하세요.
- 로컬 요청 정책, 호스트 승인 파일, 유효 병합 결과 검사
- YOLO 또는 모두 거부 같은 로컬 프리셋 적용
- 로컬
tools.exec.*와 로컬 호스트 승인 파일 동기화
예시:
openclaw exec-policy showopenclaw exec-policy show --json openclaw exec-policy preset yoloopenclaw exec-policy preset cautious --json openclaw exec-policy set --host gateway --security full --ask off --ask-fallback full출력 모드:
--json없음: 사람이 읽을 수 있는 표 보기를 출력합니다.--json: 기계가 읽을 수 있는 구조화된 출력을 출력합니다.
현재 범위:
exec-policy는 로컬 전용입니다.- 로컬 구성 파일과 로컬 승인 파일을 함께 업데이트합니다.
- 정책을 Gateway 호스트나 노드 호스트로 푸시하지 않습니다.
- 이 명령에서는
--host node가 거부됩니다. 노드 exec 승인은 런타임에 노드에서 가져오며, 대신 노드 대상 승인 명령으로 관리해야 하기 때문입니다. openclaw exec-policy show는 로컬 승인 파일에서 유효 정책을 도출하는 대신host=node범위를 런타임에 노드 관리형으로 표시합니다.
원격 호스트 승인을 직접 편집해야 한다면 계속 openclaw approvals set --gateway
또는 openclaw approvals set --node <id|name|ip>를 사용하세요.
일반 명령
openclaw approvals getopenclaw approvals get --node <id|name|ip>openclaw approvals get --gateway이제 openclaw approvals get은 로컬, Gateway, 노드 대상의 유효 exec 정책을 표시합니다.
- 요청된
tools.exec정책 - 호스트 승인 파일 정책
- 우선순위 규칙 적용 후 유효 결과
우선순위는 의도된 동작입니다.
- 호스트 승인 파일은 강제 적용 가능한 진실의 원천입니다.
- 요청된
tools.exec정책은 의도를 좁히거나 넓힐 수 있지만, 유효 결과는 여전히 호스트 규칙에서 도출됩니다. --node는 노드 호스트 승인 파일과 Gatewaytools.exec정책을 결합합니다. 런타임에는 둘 다 여전히 적용되기 때문입니다.- Gateway 구성을 사용할 수 없으면 CLI는 노드 승인 스냅샷으로 폴백하고 최종 런타임 정책을 계산할 수 없었다고 알립니다.
파일에서 승인 대체
openclaw approvals set --file ./exec-approvals.jsonopenclaw approvals set --stdin <<'EOF'{ version: 1, defaults: { security: "full", ask: "off", askFallback: "full" } }EOFopenclaw approvals set --node <id|name|ip> --file ./exec-approvals.jsonopenclaw approvals set --gateway --file ./exec-approvals.jsonset은 엄격한 JSON뿐 아니라 JSON5도 허용합니다. --file 또는 --stdin 중 하나만 사용하고 둘 다 사용하지 마세요.
"프롬프트 표시 안 함" / YOLO 예시
exec 승인에서 절대 멈추지 않아야 하는 호스트의 경우 호스트 승인 기본값을 full + off로 설정하세요.
openclaw approvals set --stdin <<'EOF'{ version: 1, defaults: { security: "full", ask: "off", askFallback: "full" }}EOF노드 변형:
openclaw approvals set --node <id|name|ip> --stdin <<'EOF'{ version: 1, defaults: { security: "full", ask: "off", askFallback: "full" }}EOF이는 호스트 승인 파일만 변경합니다. 요청된 OpenClaw 정책도 맞춰 유지하려면 다음도 설정하세요.
openclaw config set tools.exec.host gatewayopenclaw config set tools.exec.security fullopenclaw config set tools.exec.ask off이 예시에서 tools.exec.host=gateway를 사용하는 이유:
host=auto는 여전히 "사용 가능하면 샌드박스, 아니면 Gateway"를 의미합니다.- YOLO는 승인에 관한 것이며 라우팅에 관한 것이 아닙니다.
- 샌드박스가 구성되어 있어도 호스트 exec를 원한다면
gateway또는/exec host=gateway로 호스트 선택을 명시하세요.
생략된 askFallback의 기본값은 deny입니다. UI가 없는 호스트를 업그레이드할 때 프롬프트를 표시하지 않는 동작을 유지해야 한다면 askFallback: "full"을
명시적으로 설정하세요.
로컬 바로가기:
openclaw exec-policy preset yolo이 로컬 바로가기는 요청된 로컬 tools.exec.* 구성과 로컬 승인 기본값을
함께 업데이트합니다. 의도상 위의 수동 2단계 설정과 동일하지만, 로컬 머신에만 적용됩니다.
허용 목록 헬퍼
openclaw approvals allowlist add "~/Projects/**/bin/rg"openclaw approvals allowlist add --agent main --node <id|name|ip> "/usr/bin/uptime"openclaw approvals allowlist add --agent "*" "/usr/bin/uname" openclaw approvals allowlist remove "~/Projects/**/bin/rg"일반 옵션
get, set, allowlist add|remove는 모두 다음을 지원합니다.
--node <id|name|ip>--gateway- 공유 노드 RPC 옵션:
--url,--token,--timeout,--json
대상 지정 참고 사항:
- 대상 플래그가 없으면 디스크의 로컬 승인 파일을 의미합니다.
--gateway는 Gateway 호스트 승인 파일을 대상으로 합니다.--node는 id, 이름, IP 또는 id 접두사를 해석한 뒤 하나의 노드 호스트를 대상으로 합니다.
allowlist add|remove는 다음도 지원합니다.
--agent <id>(기본값은*)
참고
--node는openclaw nodes와 동일한 해석기를 사용합니다(id, 이름, ip 또는 id 접두사).--agent의 기본값은"*"이며, 모든 에이전트에 적용됩니다.- 노드 호스트는
system.execApprovals.get/set을 알려야 합니다(macOS 앱 또는 헤드리스 노드 호스트). - 승인 파일은 OpenClaw 상태 디렉터리에 호스트별로 저장됩니다.
(
$OPENCLAW_STATE_DIR/exec-approvals.json, 또는 변수가 설정되지 않은 경우~/.openclaw/exec-approvals.json).