Tools
Toestemmingsmodi
Machtigingsmodi bepalen hoeveel bevoegdheid een agent heeft voordat deze hostopdrachten mag uitvoeren, bestanden mag schrijven of een backend-harness om extra toegang mag vragen. Begin met tools.exec.mode: "auto" wanneer je wilt dat OpenClaw eerst toelatingslijsten gebruikt, en daarna native automatische Codex-review of een menselijke goedkeuringsroute voor missers.
Aanbevolen standaard
Gebruik auto voor coding-agents die nuttige hosttoegang nodig hebben zonder van elke misser een menselijke prompt te maken:
openclaw config set tools.exec.mode autoopenclaw approvals getopenclaw gateway restartControleer daarna het effectieve beleid:
openclaw exec-policy showIn de modus auto voert OpenClaw deterministische overeenkomsten met de toelatingslijst rechtstreeks uit. Goedkeuringsmissers gaan eerst via de native automatische reviewer van OpenClaw en vallen daarna zo nodig terug op de geconfigureerde menselijke goedkeuringsroute.
OpenClaw host-exec-modi
tools.exec.mode is het genormaliseerde beleidsoppervlak voor host-exec.
| Modus | Gedrag | Gebruik wanneer |
|---|---|---|
deny |
Blokkeer host-exec. | Er zijn geen hostopdrachten toegestaan. |
allowlist |
Voer alleen toegelaten opdrachten uit. | Je hebt een bekende veilige set opdrachten. |
ask |
Voer overeenkomsten uit en vraag bij missers. | Een mens moet nieuwe opdrachten beoordelen. |
auto |
Voer overeenkomsten uit en gebruik auto-review. | Codingsessies hebben praktische bewaakte toegang nodig. |
full |
Voer host-exec uit zonder prompts. | Deze vertrouwde host/sessie moet goedkeuringspoorten overslaan. |
Zie Exec-goedkeuringen voor het volledige host-exec-beleid, het lokale goedkeuringsbestand, het schema voor toelatingslijsten, veilige binaries en doorstuurgedrag.
Codex Guardian-toewijzing
Voor native Codex app-server-sessies wordt tools.exec.mode: "auto" toegewezen aan door Codex Guardian beoordeelde goedkeuringen wanneer de lokale Codex-vereisten dit toestaan. OpenClaw verzendt meestal:
| Codex-veld | Typische waarde |
|---|---|
approvalPolicy |
on-request |
approvalsReviewer |
auto_review |
sandbox |
workspace-write |
In de modus auto behoudt OpenClaw geen verouderde onveilige Codex-overschrijvingen zoals approvalPolicy: "never" of sandbox: "danger-full-access". Gebruik tools.exec.mode: "full" alleen wanneer je bewust de houding zonder goedkeuring wilt.
Zie Codex-harness voor app-server-installatie, auth-volgorde en native Codex-runtime-details.
ACPX-harness-machtigingen
ACPX-sessies zijn niet-interactief, dus ze kunnen niet op een TTY-machtigingsprompt klikken. ACPX gebruikt afzonderlijke instellingen op harness-niveau onder plugins.entries.acpx.config:
| Instelling | Veelgebruikte waarde | Betekenis |
|---|---|---|
permissionMode |
approve-reads |
Keur alleen leesbewerkingen automatisch goed. |
permissionMode |
approve-all |
Keur schrijfbewerkingen en shellopdrachten automatisch goed. |
permissionMode |
deny-all |
Weiger alle machtigingsprompts. |
nonInteractivePermissions |
fail |
Breek af wanneer een prompt vereist zou zijn. |
nonInteractivePermissions |
deny |
Weiger de prompt en ga door wanneer mogelijk. |
Stel ACPX-machtigingen afzonderlijk in van OpenClaw exec-goedkeuringen:
openclaw config set plugins.entries.acpx.config.permissionMode approve-allopenclaw config set plugins.entries.acpx.config.nonInteractivePermissions failopenclaw gateway restartGebruik approve-all als het ACPX-nood-equivalent van een harness-sessie zonder prompts. Zie ACP agents instellen voor installatiedetails en foutmodi.
Een modus kiezen
| Doel | Configureren |
|---|---|
| Hostopdrachten volledig blokkeren | tools.exec.mode: "deny" |
| Alleen bekende veilige opdrachten laten uitvoeren | tools.exec.mode: "allowlist" |
| Een mens vragen voor elke nieuwe opdrachtvorm | tools.exec.mode: "ask" |
| Codex/OpenClaw auto-review gebruiken vóór mensen | tools.exec.mode: "auto" |
| Host-exec-goedkeuringen volledig overslaan | tools.exec.mode: "full" plus bijpassend host-goedkeuringsbestand |
| Niet-interactieve ACPX-sessies laten schrijven/exec uitvoeren | plugins.entries.acpx.config.permissionMode: "approve-all" |
Als een opdracht nog steeds een prompt toont of mislukt nadat je de modus hebt gewijzigd, inspecteer dan beide lagen:
openclaw approvals getopenclaw exec-policy showHost-exec gebruikt het strengere resultaat van de OpenClaw-configuratie en het host-lokale goedkeuringsbestand. ACPX-harness-machtigingen versoepelen host-exec-goedkeuringen niet, en host-exec-goedkeuringen versoepelen ACPX-harness-prompts niet.
