CLI commands
Aprovações
openclaw approvals
Gerencie aprovações de exec para o host local, host do Gateway ou um host de nó.
Por padrão, os comandos têm como destino o arquivo local de aprovações em disco. Use --gateway para ter como destino o Gateway, ou --node para ter como destino um nó específico.
Alias: openclaw exec-approvals
Relacionado:
- Aprovações de exec: Aprovações de exec
- Nós: Nós
openclaw exec-policy
openclaw exec-policy é o comando local de conveniência para manter a configuração
tools.exec.* solicitada e o arquivo de aprovações do host local alinhados em uma única etapa.
Use-o quando quiser:
- inspecionar a política local solicitada, o arquivo de aprovações do host e a mesclagem efetiva
- aplicar uma predefinição local como YOLO ou negar tudo
- sincronizar
tools.exec.*local e o arquivo de aprovações do host local
Exemplos:
openclaw exec-policy showopenclaw exec-policy show --json openclaw exec-policy preset yoloopenclaw exec-policy preset cautious --json openclaw exec-policy set --host gateway --security full --ask off --ask-fallback fullModos de saída:
- sem
--json: imprime a visualização em tabela legível por humanos --json: imprime saída estruturada legível por máquina
Escopo atual:
exec-policyé somente local- ele atualiza o arquivo de configuração local e o arquivo de aprovações local juntos
- ele não envia a política para o host do Gateway ou um host de nó
--host nodeé rejeitado neste comando porque as aprovações de exec de nós são buscadas do nó em tempo de execução e devem ser gerenciadas por comandos de aprovações direcionados a nósopenclaw exec-policy showmarca escoposhost=nodecomo gerenciados pelo nó em tempo de execução, em vez de derivar uma política efetiva do arquivo local de aprovações
Se você precisar editar diretamente aprovações de hosts remotos, continue usando openclaw approvals set --gateway
ou openclaw approvals set --node <id|name|ip>.
Comandos comuns
openclaw approvals getopenclaw approvals get --node <id|name|ip>openclaw approvals get --gatewayopenclaw approvals get agora mostra a política de exec efetiva para destinos locais, de Gateway e de nó:
- política
tools.execsolicitada - política do arquivo de aprovações do host
- resultado efetivo depois que as regras de precedência são aplicadas
A precedência é intencional:
- o arquivo de aprovações do host é a fonte da verdade aplicável
- a política
tools.execsolicitada pode restringir ou ampliar a intenção, mas o resultado efetivo ainda é derivado das regras do host --nodecombina o arquivo de aprovações do host de nó com a políticatools.execdo Gateway, porque ambos ainda se aplicam em tempo de execução- se a configuração do Gateway estiver indisponível, a CLI recorre ao snapshot de aprovações do nó e observa que a política final de tempo de execução não pôde ser computada
Substituir aprovações de um arquivo
openclaw approvals set --file ./exec-approvals.jsonopenclaw approvals set --stdin <<'EOF'{ version: 1, defaults: { security: "full", ask: "off", askFallback: "full" } }EOFopenclaw approvals set --node <id|name|ip> --file ./exec-approvals.jsonopenclaw approvals set --gateway --file ./exec-approvals.jsonset aceita JSON5, não apenas JSON estrito. Use --file ou --stdin, não ambos.
Exemplo de "nunca perguntar" / YOLO
Para um host que nunca deve parar em aprovações de exec, defina os padrões de aprovações do host como full + off:
openclaw approvals set --stdin <<'EOF'{ version: 1, defaults: { security: "full", ask: "off", askFallback: "full" }}EOFVariante de nó:
openclaw approvals set --node <id|name|ip> --stdin <<'EOF'{ version: 1, defaults: { security: "full", ask: "off", askFallback: "full" }}EOFIsso altera apenas o arquivo de aprovações do host. Para manter a política solicitada do OpenClaw alinhada, defina também:
openclaw config set tools.exec.host gatewayopenclaw config set tools.exec.security fullopenclaw config set tools.exec.ask offPor que tools.exec.host=gateway neste exemplo:
host=autoainda significa "sandbox quando disponível, caso contrário Gateway".- YOLO diz respeito a aprovações, não a roteamento.
- Se você quiser exec no host mesmo quando um sandbox estiver configurado, torne a escolha do host explícita com
gatewayou/exec host=gateway.
askFallback omitido tem deny como padrão. Defina askFallback: "full"
explicitamente ao atualizar um host sem UI que deve manter o comportamento de nunca perguntar.
Atalho local:
openclaw exec-policy preset yoloEsse atalho local atualiza tanto a configuração local tools.exec.* solicitada quanto os
padrões locais de aprovações juntos. Ele é equivalente em intenção à configuração manual em duas etapas
acima, mas apenas para a máquina local.
Auxiliares de lista de permissões
openclaw approvals allowlist add "~/Projects/**/bin/rg"openclaw approvals allowlist add --agent main --node <id|name|ip> "/usr/bin/uptime"openclaw approvals allowlist add --agent "*" "/usr/bin/uname" openclaw approvals allowlist remove "~/Projects/**/bin/rg"Opções comuns
get, set e allowlist add|remove todos oferecem suporte a:
--node <id|name|ip>--gateway- opções RPC de nó compartilhadas:
--url,--token,--timeout,--json
Notas de direcionamento:
- nenhuma flag de destino significa o arquivo local de aprovações em disco
--gatewaytem como destino o arquivo de aprovações do host do Gateway--nodetem como destino um host de nó depois de resolver id, nome, IP ou prefixo de id
allowlist add|remove também oferece suporte a:
--agent <id>(usa*como padrão)
Observações
--nodeusa o mesmo resolvedor deopenclaw nodes(id, nome, ip ou prefixo de id).--agentusa"*"como padrão, o que se aplica a todos os agentes.- O host de nó deve anunciar
system.execApprovals.get/set(app macOS ou host de nó headless). - Arquivos de aprovações são armazenados por host no diretório de estado do OpenClaw
(
$OPENCLAW_STATE_DIR/exec-approvals.json, ou~/.openclaw/exec-approvals.jsonquando a variável não está definida).