---
read_when:
    - Вы устанавливаете, настраиваете или проверяете Plugin политики
summary: Добавляет проверки doctor на соответствие рабочей области, подкрепленные политиками.
title: Plugin политики
x-i18n:
    generated_at: "2026-06-28T23:27:50Z"
    model: gpt-5.5
    postprocess_version: locale-links-v1
    provider: openai
    source_hash: f01de4816a191a175367c06ff69e4ebf6032ee1a105d1d9a48a74093e5e6f774
    source_path: plugins/reference/policy.md
    workflow: 16
---

# Policy Plugin

Добавляет проверки doctor на основе политики для соответствия рабочей области.

## Распространение

- Пакет: `@openclaw/policy`
- Маршрут установки: включен в OpenClaw

## Поверхность

Plugin

<!-- openclaw-plugin-reference:manual-start -->

## Поведение

Policy Plugin добавляет проверки состояния doctor для настроек OpenClaw,
управляемых политикой, и регулируемых объявлений рабочей области. Сейчас политика
охватывает соответствие каналов, управляемые метаданные инструментов, состояние
сервера MCP, состояние провайдера моделей, состояние доступа к частной сети,
состояние экспонирования Gateway, состояние рабочей области/инструментов агента,
состояние настроенных глобальных и привязанных к агентам инструментов, состояние
настроенной среды выполнения sandbox, состояние доступа ingress/каналов, состояние
обработки данных, а также состояние провайдера секретов конфигурации OpenClaw и
auth-профиля.

Политика хранит заданные требования в `policy.jsonc`, наблюдает существующие
настройки OpenClaw и объявления рабочей области как доказательства и сообщает
о расхождениях через `openclaw policy check` и `openclaw doctor --lint`. Чистая
проверка политики выводит хэши политики, доказательств, находок и аттестации,
которые операторы могут записывать для аудита.

`openclaw policy compare --baseline <file>` сравнивает один файл политики с другим
файлом политики. Это только соответствие на уровне конфигурации: команда использует
метаданные правил политики, чтобы проверить, что проверяемая политика не пропускает
и не ослабляет заданный базовый вариант, и не проверяет состояние среды выполнения,
учетные данные или значения секретов.

Правила состояния инструментов могут требовать одобренные профили, файловые
инструменты только в пределах рабочей области, ограниченные настройки безопасности,
запроса и хоста для exec, отключенный режим повышенных прав, точные записи
`alsoAllow` и обязательные записи запрета инструментов. Записи доказательств
фиксируют добавочные записи `alsoAllow`, потому что они могут расширять эффективное
состояние инструментов. Эти проверки наблюдают только соответствие конфигурации;
они не читают состояние одобрения в среде выполнения и не добавляют принудительное
применение в среде выполнения.

Правила состояния sandbox могут требовать одобренные режимы/бэкенды sandbox,
запрещать контейнерную сеть хоста, запрещать присоединение к пространствам имен
контейнеров, требовать контейнерные монтирования только для чтения, запрещать
монтирования сокета среды выполнения контейнеров и неограниченные профили контейнеров,
а также требовать диапазоны источников CDP браузера sandbox.
Эти проверки наблюдают только соответствие конфигурации; они не читают состояние
одобрения в среде выполнения, не инспектируют работающие контейнеры и не добавляют
принудительное применение в среде выполнения.

Правила обработки данных могут требовать редактирование конфиденциальных данных
в логах, запрещать захват содержимого телеметрии, требовать обслуживание срока
хранения сессий и запрещать индексирование памяти по стенограммам сессий. Эти
проверки наблюдают только соответствие конфигурации; они не проверяют сырые логи,
экспорты телеметрии, стенограммы, файлы памяти, секреты или персональные данные.

Именованные области политики в `scopes.<scopeName>` могут добавлять более строгие
обычные разделы политики для указанного ими селектора. `agentIds` поддерживает
`tools`, `agents.workspace`, `sandbox` и `dataHandling.memory`; `channelIds`
поддерживает `ingress.channels`.
Идентификаторы агентов среды выполнения, которые не перечислены явно в
`agents.list[]`, проверяются относительно унаследованного глобального/стандартного
состояния, а не молча проходят без доказательств. Каждая область, присутствующая
в `policy.jsonc`, должна быть допустимой и применимой для своего селектора. Правила
наложения являются дополнительными утверждениями, поэтому они не ослабляют политику
верхнего уровня и могут создавать собственные находки, когда одна и та же наблюдаемая
конфигурация нарушает обе области.

<!-- openclaw-plugin-reference:manual-end -->

## Связанные документы

- [политика](/ru/cli/policy)