openclaw policy

openclaw policy มาจาก Policy plugin ที่รวมมาพร้อมระบบ Policy เป็นชั้นการปฏิบัติตามข้อกำหนดระดับองค์กรที่ครอบทับการตั้งค่า OpenClaw ที่มีอยู่ ไม่ได้เพิ่มระบบการกำหนดค่าชุดที่สอง policy.jsonc กำหนดข้อกำหนดที่ผู้เขียนระบุไว้ OpenClaw สังเกต workspace ที่ใช้งานอยู่เป็นหลักฐาน และการตรวจสุขภาพ policy จะรายงาน drift ผ่าน doctor --lint สัญญาณการปฏิบัติตามข้อกำหนดสุดท้ายคือการรัน doctor --lint ที่สะอาด policy จะเพิ่ม finding เข้าไปในพื้นผิว lint ร่วมนี้ แทนการสร้าง health gate แยกต่างหาก

ปัจจุบัน Policy จัดการช่องทางที่กำหนดค่าไว้, เซิร์ฟเวอร์ MCP, ผู้ให้บริการโมเดล, ท่าที SSRF ของเครือข่าย, ท่าทีการเข้าถึง ingress/channel, ท่าทีการเปิดเผย Gateway, ท่าที workspace ของ agent, ท่าทีการจัดการข้อมูล, ท่าทีผู้ให้บริการ secret/auth profile ใน config ของ OpenClaw และ declaration ของเครื่องมือที่อยู่ภายใต้การกำกับ ตัวอย่างเช่น ฝ่าย IT หรือผู้ดูแล workspace สามารถบันทึกว่า Telegram ไม่ใช่ผู้ให้บริการช่องทางที่ได้รับอนุมัติ จำกัดเซิร์ฟเวอร์ MCP และ model ref ให้เหลือเฉพาะรายการที่ได้รับอนุมัติ กำหนดให้การเข้าถึง fetch/browser บน private-network ยังคงปิดอยู่ กำหนดให้การแยกเซสชัน direct-message และท่าที channel ingress อยู่ภายในขอบเขตที่ผ่านการตรวจทาน กำหนดให้ Gateway bind/auth/HTTP exposure อยู่ภายในขอบเขตที่ผ่านการตรวจทาน กำหนดให้การเข้าถึง workspace ของ agent และ tool deny อยู่ในท่าทีที่ผ่านการตรวจทาน กำหนดให้ SecretRefs ใน config ของ OpenClaw ใช้ผู้ให้บริการที่จัดการไว้ กำหนดให้ config auth profiles มี metadata ของ provider/mode กำหนดให้เครื่องมือที่อยู่ภายใต้การกำกับมี metadata ด้านความเสี่ยงและความละเอียดอ่อน กำหนดให้มีการปกปิดข้อมูลใน logging ที่ละเอียดอ่อน ปฏิเสธการจับเนื้อหา telemetry กำหนดให้มีการบำรุงรักษาการเก็บรักษาเซสชัน ปฏิเสธการทำดัชนี memory ของ session transcript แล้วใช้ doctor --lint เป็น gate การปฏิบัติตามข้อกำหนดร่วม

ใช้ policy เมื่อ workspace ต้องการคำประกาศที่คงทน เช่น "ช่องทางเหล่านี้ต้องไม่ถูกเปิดใช้งาน" หรือ "เครื่องมือที่อยู่ภายใต้การกำกับต้องประกาศ metadata การอนุมัติ" และต้องการวิธีที่ทำซ้ำได้เพื่อพิสูจน์ว่า OpenClaw ยังสอดคล้องกับคำประกาศนั้น ใช้ config ปกติและเอกสาร workspace เพียงอย่างเดียวเมื่อคุณต้องการเฉพาะพฤติกรรมในเครื่อง และไม่ต้องการ finding ของ policy หรือ output สำหรับ attestation

เริ่มต้นอย่างรวดเร็ว

เปิดใช้งาน Policy plugin ที่รวมมาพร้อมระบบก่อนใช้งานครั้งแรก:

openclaw plugins enable policy

เมื่อเปิดใช้งาน policy แล้ว doctor สามารถโหลดการตรวจสุขภาพ policy ได้โดยไม่ต้องเปิดใช้งาน plugin อื่นตามอำเภอใจ plugin จะยังคงเปิดใช้งานอยู่แม้ policy.jsonc จะหายไป เพื่อให้ doctor รายงาน artifact ที่ขาดหายได้

Policy ถูกเขียนขึ้น ไม่ได้สร้างจากการตั้งค่าปัจจุบันของผู้ใช้ policy ขั้นต่ำสำหรับช่องทาง, เซิร์ฟเวอร์ MCP, ผู้ให้บริการโมเดล, ท่าทีเครือข่าย, การเข้าถึง ingress/channel, การเปิดเผย Gateway, ท่าที workspace ของ agent, ท่าที sandbox runtime ที่กำหนดค่าไว้, ท่าทีการจัดการข้อมูลของ OpenClaw, ท่าทีผู้ให้บริการ secret/auth profile ใน config, ท่าทีไฟล์ exec approval และ metadata ของเครื่องมือ มีลักษณะดังนี้:

{  "channels": {    "denyRules": [      {        "id": "no-telegram",        "when": { "provider": "telegram" },        "reason": "Telegram is not approved for this workspace.",      },    ],  },  "mcp": {    "servers": {      "allow": ["docs"],      "deny": ["untrusted"],    },  },  "models": {    "providers": {      "allow": ["openai", "anthropic"],      "deny": ["openrouter"],    },  },  "network": {    "privateNetwork": {      "allow": false,    },  },  "ingress": {    "session": {      "requireDmScope": "per-channel-peer",    },    "channels": {      "allowDmPolicies": ["pairing", "allowlist", "disabled"],      "denyOpenGroups": true,      "requireMentionInGroups": true,    },  },  "gateway": {    "exposure": {      "allowNonLoopbackBind": false,      "allowTailscaleFunnel": false,    },    "auth": {      "requireAuth": true,      "requireExplicitRateLimit": true,    },    "controlUi": {      "allowInsecure": false,    },    "remote": {      "allow": false,    },    "http": {      "denyEndpoints": ["chatCompletions", "responses"],      "requireUrlAllowlists": true,    },  },  "agents": {    "workspace": {      "allowedAccess": ["none", "ro"],      "denyTools": ["exec", "process", "write", "edit", "apply_patch"],    },  },  "dataHandling": {    "sensitiveLogging": {      "requireRedaction": true,    },    "telemetry": {      "denyContentCapture": true,    },    "retention": {      "requireSessionMaintenance": true,    },    "memory": {      "denySessionTranscriptIndexing": true,    },  },  "secrets": {    "requireManagedProviders": true,    "denySources": ["exec"],    "allowInsecureProviders": false,  },  "auth": {    "profiles": {      "requireMetadata": ["provider", "mode"],      "allowModes": ["api_key", "token"],    },  },  "execApprovals": {    "requireFile": true,    "defaults": { "allowSecurity": ["deny"] },    "agents": {      "allowSecurity": ["deny", "allowlist"],      "allowAutoAllowSkills": false,      "allowlist": { "expected": ["deploy", "status"] },    },  },  "tools": {    "requireMetadata": ["risk", "sensitivity", "owner"],    "profiles": {      "allow": ["messaging", "minimal"],    },    "fs": {      "requireWorkspaceOnly": true,    },    "exec": {      "allowSecurity": ["deny", "allowlist"],      "requireAsk": ["always"],      "allowHosts": ["sandbox"],    },    "elevated": {      "allow": false,    },    "denyTools": ["group:runtime", "group:fs"],  },}

กฎคือแหล่งอำนาจสูงสุด บล็อกหมวดหมู่เป็นเพียง namespace เท่านั้น การตรวจจะทำงานเมื่อมีกฎที่เป็นรูปธรรมอยู่ OpenClaw อ่านการตั้งค่า channels.* ปัจจุบัน, mcp.servers.*, models.providers.*, model ref ของ agent ที่เลือก, การตั้งค่า SSRF ของเครือข่าย, ขอบเขตเซสชัน direct-message, policy ของ channel DM, policy ของ channel group, gate การ mention ใน channel/group, ท่าที bind/auth/Control UI/Tailscale/remote/HTTP ของ Gateway, ท่าทีการเข้าถึง sandbox workspace ของ agent ใน config ของ OpenClaw และ tool deny, ท่าที config การจัดการข้อมูล, แหล่งที่มาของผู้ให้บริการ secret และ SecretRef ใน config, metadata ของ config auth profile, ท่าทีเครื่องมือ global/per-agent ที่กำหนดค่าไว้ และ declaration ใน TOOLS.md เป็นหลักฐาน จากนั้นรายงานสถานะที่สังเกตพบซึ่งไม่เป็นไปตามข้อกำหนด หาก policy ปฏิเสธ Gateway bind ที่ไม่ใช่ loopback ให้ละเว้น gateway.bind เฉพาะเมื่อคุณยินดีตรวจทานค่าเริ่มต้นของ runtime เท่านั้น ตั้งค่า gateway.bind=loopback สำหรับการปฏิบัติตาม config อย่างเข้มงวด สำหรับท่าที agent แบบอ่านอย่างเดียว ให้กำหนดค่า sandbox mode บน defaults หรือ agent ที่เกี่ยวข้อง และตั้งค่า workspaceAccess เป็น none หรือ ro; sandbox mode ที่ละเว้นไว้หรือเป็น off ไม่ถือว่าเป็นไปตาม policy แบบอ่านอย่างเดียว/ห้ามเขียน agents.workspace.denyTools รองรับ exec, process, write, edit และ apply_patch; config ของ OpenClaw group:fs ครอบคลุมเครื่องมือแก้ไขไฟล์ และ group:runtime ครอบคลุมเครื่องมือ shell/process Policy ท่าทีเครื่องมือสังเกต tools.profile, tools.allow, tools.alsoAllow, tools.deny, tools.fs.workspaceOnly, tools.exec.security, tools.exec.ask, tools.exec.host, tools.elevated.enabled และ override ต่อ agent แบบเดียวกันที่ agents.list[].tools.* Policy exec approval อ่าน artifact ผลิตภัณฑ์ exec-approvals.json ที่ระบุชื่อไว้เฉพาะเมื่อมีกฎ execApprovals อยู่ หลักฐานจะบันทึก defaults, ท่าทีต่อ agent และรูปแบบ allowlist โดยไม่มี socket token หรือข้อความคำสั่งที่ใช้ล่าสุด Policy ไม่บังคับใช้การเรียกเครื่องมือใน runtime หลักฐาน secret บันทึกท่าที provider/source และ metadata ของ SecretRef เท่านั้น ไม่บันทึกค่า secret ดิบ Policy ไม่อ่านหรือ attest credential store ต่อ agent เช่น auth-profiles.json; store เหล่านั้นยังคงอยู่ภายใต้ flow auth และ credential ที่มีอยู่ หลักฐานการจัดการข้อมูลเป็นท่าทีระดับ config เท่านั้น โดยตรวจสอบโหมด redaction ที่กำหนดค่าไว้ toggle การจับเนื้อหา telemetry, โหมดบำรุงรักษาเซสชัน และการตั้งค่าการทำดัชนี memory ของ session transcript ไม่ได้ตรวจสอบ log ดิบ, export ของ telemetry, เนื้อหา transcript, ไฟล์ memory หรือพิสูจน์ว่าไม่มีข้อมูลส่วนบุคคลหรือ secret อยู่

ข้อมูลอ้างอิงกฎ Policy

ทุกฟิลด์ policy ด้านล่างเป็นแบบไม่บังคับ การตรวจจะทำงานเฉพาะเมื่อมีกฎที่ตรงกันอยู่ใน policy.jsonc สถานะที่สังเกตพบคือ config ของ OpenClaw หรือ metadata ของ workspace ที่มีอยู่ policy รายงาน drift แต่ไม่เขียนพฤติกรรม runtime ใหม่ เว้นแต่จะมี repair path ที่พร้อมใช้งานอย่างชัดเจนและเปิดใช้งานอยู่ ไฟล์ Policy เข้มงวด: section หรือ rule key ที่ไม่รองรับจะถูกรายงานเป็น policy/policy-jsonc-invalid แทนการถูกละเว้น

Policy overlay ทำให้กฎระดับบนกว้าง ๆ ยังคงเป็น global จากนั้นให้บล็อก scope ที่มีชื่อเพิ่ม section policy ปกติที่เข้มงวดขึ้นสำหรับ selector ที่ระบุชัดเจน ชื่อ scope เป็นเพียง bucket เชิงบรรยายเท่านั้น การจับคู่ใช้ค่า selector ภายใน scope overlay เป็นแบบเพิ่มเข้าไป: claim ระดับ global ยังคงทำงาน และ claim แบบ scoped สามารถส่ง finding ของตัวเองกับ config ที่สังเกตพบเดียวกันได้

Overlay แบบกำหนดขอบเขต

ใช้ scopes.<scopeName> เมื่อ agent หรือช่องทางชุดหนึ่งต้องการ policy ที่เข้มงวดกว่า baseline ระดับบน section แบบกำหนดขอบเขต agent ใช้ agentIds ซึ่งรองรับ tools.*, agents.workspace.*, sandbox.*, dataHandling.memory.* และ execApprovals.* ingress แบบกำหนดขอบเขตช่องทางใช้ channelIds ซึ่งรองรับ ingress.channels.* section ที่ไม่รองรับจะถูกปฏิเสธแทนการถูกละเว้น หากรายการ agentIds ไม่ปรากฏใน agents.list[] OpenClaw จะประเมินกฎแบบ scoped กับท่าที global/default ที่สืบทอดมาสำหรับ runtime agent id นั้น

{  "tools": {    "exec": {      "allowHosts": ["sandbox", "node"],    },  },  "sandbox": {    "requireMode": ["all", "non-main"],  },  "scopes": {    "release-workspace": {      "agentIds": ["release-agent", "review-agent"],      "agents": {        "workspace": {          "allowedAccess": ["none", "ro"],        },      },    },    "release-lockdown": {      "agentIds": ["release-agent"],      "tools": {        "exec": {          "allowHosts": ["sandbox"],          "allowSecurity": ["deny", "allowlist"],          "requireAsk": ["always"],        },        "denyTools": ["exec", "process", "write", "edit", "apply_patch"],      },      "sandbox": {        "requireMode": ["all"],        "allowBackends": ["docker"],      },      "dataHandling": {        "memory": {          "denySessionTranscriptIndexing": true,        },      },    },    "shell-sandbox": {      "agentIds": ["shell-agent"],      "sandbox": {        "allowBackends": ["openshell"],        "containers": {          "requireReadOnlyMounts": false,        },      },    },    "telegram-ingress": {      "channelIds": ["telegram"],      "ingress": {        "channels": {          "allowDmPolicies": ["pairing"],          "denyOpenGroups": true,          "requireMentionInGroups": true,        },      },    },  },}

agent เดียวกันสามารถปรากฏในหลาย scope ได้เมื่อแต่ละ scope กำกับดูแลฟิลด์ต่างกันตามที่แสดงด้านบน ฟิลด์แบบ scoped ที่ซ้ำสำหรับ agent เดียวกันต้องเข้มงวดเท่ากันหรือมากกว่าเดิมตาม metadata ของ policy; claim ซ้ำที่อ่อนกว่าเดิมจะถูกปฏิเสธ metadata ความเข้มงวดถือว่า allow-list เป็น subset, deny-list เป็น superset และ boolean ที่ required เป็นข้อกำหนดคงที่

Policy ท่าที container จะถูกประเมินกับหลักฐานที่ OpenClaw สามารถสังเกตได้สำหรับ agent ที่จับคู่เท่านั้น หากกฎ sandbox.containers.* ที่เปิดใช้งานมีผลกับ agent ที่ sandbox backend ไม่สามารถเปิดเผยฟิลด์นั้นได้ policy จะรายงาน policy/sandbox-container-posture-unobservable แทนการถือว่า claim ผ่าน ใช้ scope agentIds แยกกันสำหรับกลุ่ม agent ที่ใช้ sandbox backend ต่างกัน และปล่อยกฎ container ที่ไม่รองรับให้ unset หรือ false สำหรับกลุ่มที่ไม่สามารถสังเกตฟิลด์เหล่านั้นได้

ingress.session.requireDmScope ระดับบนยังคงเป็น global เพราะ session.dmScope ไม่ใช่หลักฐานที่ระบุแหล่งที่มาตามช่องทางได้

ทุก scope ที่มีอยู่ใน policy.jsonc ต้องถูกต้องและบังคับใช้ได้

ช่องทาง

เซิร์ฟเวอร์ MCP

ผู้ให้บริการโมเดล

เครือข่าย

Ingress และการเข้าถึงช่องทาง

Gateway

พื้นที่ทำงานของเอเจนต์

ท่าที Sandbox

Policy ถือว่า sandbox.mode ที่ขาดหายไปเป็นค่าเริ่มต้นโดยนัย off ดังนั้น sandbox.requireMode จะรายงาน sandbox ใหม่หรือยังไม่ได้กำหนดค่าว่าอยู่นอก allowlist เช่น ["all"]

การจัดการข้อมูล

ความลับ

การอนุมัติ Exec

นโยบายการอนุมัติ Exec สังเกต artifact exec-approvals.json ของรันไทม์ที่ใช้งานอยู่ โดยค่าเริ่มต้นคือ ~/.openclaw/exec-approvals.json; เมื่อ ตั้งค่า OPENCLAW_STATE_DIR ไว้ Policy จะอ่าน $OPENCLAW_STATE_DIR/exec-approvals.json กฎท่าทีจริง เช่น execApprovals.defaults.* หรือ execApprovals.agents.* ต้องมีหลักฐาน artifact ที่อ่านได้; artifact ที่หายไปหรือไม่ถูกต้องจะถูกรายงานเป็นหลักฐานที่สังเกตไม่ได้ แทนที่จะผ่านแบบ best-effort เทียบกับค่าเริ่มต้นรันไทม์สังเคราะห์ เมื่อ artifact อ่านได้แล้ว ฟิลด์การอนุมัติที่ละไว้จะสืบทอดค่าเริ่มต้นรันไทม์: defaults.security ที่หายไปคือ full และ security ของเอเจนต์ที่หายไปจะสืบทอดค่าเริ่มต้นนั้น หลักฐานรวมถึง defaults, agents.*, และ agents.*.allowlist[].pattern พร้อม argPattern ที่เป็นทางเลือก, ท่าที autoAllowSkills ที่มีผล, และแหล่งที่มาของรายการ โดยไม่รวม socket path/token, commandText, lastUsedCommand, path ที่ resolve แล้ว หรือ timestamp

ตัวอย่างเช่น กำหนดให้อาร์ติแฟกต์การอนุมัติต้องมีอยู่ ปฏิเสธค่าเริ่มต้นที่ผ่อนปรน และ อนุญาตเฉพาะสถานะการอนุมัติ exec ที่ตรวจทานแล้วสำหรับเอเจนต์ที่เลือก:

{  "execApprovals": {    "requireFile": true,    "defaults": {      // Security modes: "deny", "allowlist", or "full".      // This default permits only the locked-down deny posture.      "allowSecurity": ["deny"],    },  },  "scopes": {    "restricted-shell": {      "agentIds": ["family-agent", "groups-agent"],      "execApprovals": {        "agents": {          // Selected agents may use reviewed allowlist posture, but not "full".          "allowSecurity": ["allowlist"],          // false means skill CLIs must appear in the reviewed allowlist instead of          // being implicitly approved by autoAllowSkills.          "allowAutoAllowSkills": false,          "allowlist": {            "expected": [              // Simple entry: exact reviewed executable pattern with no argPattern.              "travel-hub",              // Constrained entry: pattern plus reviewed argument regex.              { "pattern": "calendar-cli", "argPattern": "^sync\\b" },              "/bin/date",            ],          },        },      },    },  },}

โปรไฟล์การยืนยันตัวตน

เมตาดาต้าของเครื่องมือ

สถานะของเครื่องมือ

เรียกใช้การตรวจสอบเฉพาะนโยบายระหว่างการเขียน:

openclaw policy checkopenclaw policy check --jsonopenclaw policy check --severity-min error

policy check เรียกใช้เฉพาะชุดการตรวจสอบนโยบาย และส่งออกหลักฐาน ผลการตรวจพบ และ แฮชการรับรอง ผลการตรวจพบเดียวกันนี้ยังปรากฏใน openclaw doctor --lint เมื่อเปิดใช้งาน Policy plugin

เปรียบเทียบไฟล์นโยบายของผู้ปฏิบัติการกับไฟล์นโยบาย baseline ที่เขียนไว้:

openclaw policy compare --baseline official.policy.jsoncopenclaw policy compare --baseline official.policy.jsonc --policy policy.jsonc --json

policy compare เปรียบเทียบไวยากรณ์ของไฟล์นโยบายกับไวยากรณ์ของไฟล์นโยบาย โดยไม่ ตรวจสอบสถานะรันไทม์ หลักฐาน ข้อมูลประจำตัว หรือความลับของ OpenClaw คำสั่งนี้ ใช้เมตาดาต้ากฎนโยบายเดียวกับที่ควบคุมโอเวอร์เลย์แบบมีขอบเขต: รายการอนุญาตต้อง เท่ากันหรือแคบกว่า รายการปฏิเสธต้องเท่ากันหรือกว้างกว่า บูลีนที่บังคับต้อง คงค่าที่บังคับไว้ สตริงที่มีลำดับต้องขยับได้เฉพาะไปยังปลายทางที่เข้มงวดกว่า ของลำดับที่คอนฟิกไว้ และรายการแบบตรงตัวต้องตรงกัน

ไฟล์ baseline สามารถเป็นนโยบายที่องค์กรเขียนขึ้นได้ นโยบายที่ตรวจสอบสามารถ ใช้ค่าที่เข้มงวดกว่า หรือเพิ่มกฎนโยบายเพิ่มเติมได้ กฎที่ตรวจสอบในระดับบนสุดยัง สามารถตอบสนองกฎ baseline แบบมีขอบเขตได้เมื่อเข้มงวดเท่ากันหรือมากกว่า เพราะ นโยบายระดับบนสุดมีผลอย่างกว้างขวาง ชื่อขอบเขตไม่จำเป็นต้องตรงกัน การเปรียบเทียบ แบบมีขอบเขตอ้างอิงด้วยค่าตัวเลือก เช่น agentIds หรือ channelIds และด้วย ฟิลด์นโยบายที่กำลังตรวจสอบ

ตัวอย่างเอาต์พุต JSON จากการเปรียบเทียบที่สะอาดรายงานเฉพาะสถานะการเปรียบเทียบไฟล์นโยบาย:

{  "ok": true,  "baselinePath": "official.policy.jsonc",  "policyPath": "policy.jsonc",  "rulesChecked": 3,  "findings": []}

ตัวอย่างเอาต์พุต policy check --json ที่สะอาดมีแฮชที่เสถียรซึ่งผู้ปฏิบัติการหรือผู้ควบคุม สามารถบันทึกไว้ได้:

{  "ok": true,  "attestation": {    "policy": {      "path": "policy.jsonc",      "hash": "sha256:..."    },    "workspace": {      "scope": "policy",      "hash": "sha256:..."    },    "findingsHash": "sha256:...",    "attestationHash": "sha256:..."  },  "checksRun": 5,  "checksSkipped": 0,  "findings": []}

คอนฟิกนโยบาย

คอนฟิกนโยบายอยู่ภายใต้ plugins.entries.policy.config

{  "plugins": {    "entries": {      "policy": {        "enabled": true,        "config": {          "enabled": true,          "path": "policy.jsonc",          "workspaceRepairs": false,          "expectedHash": "sha256:...",          "expectedAttestationHash": "sha256:...",        },      },    },  },}

ตั้ง plugins.entries.policy.config.enabled เป็น false เพื่อปิดใช้งานการตรวจสอบนโยบาย สำหรับเวิร์กสเปซหนึ่งโดยที่ยังติดตั้ง Plugin ไว้

ข้อกำหนดเมตาดาต้าของเครื่องมือเขียนไว้ใน policy.jsonc ด้วย tools.requireMetadata เช่น ["risk", "sensitivity", "owner"]

ยอมรับสถานะนโยบาย

ตัวอย่างเอาต์พุต JSON:

{  "ok": true,  "attestation": {    "checkedAt": "2026-05-10T20:00:00.000Z",    "policy": {      "path": "policy.jsonc",      "hash": "sha256:..."    },    "workspace": {      "scope": "policy",      "hash": "sha256:..."    },    "findingsHash": "sha256:...",    "attestationHash": "sha256:..."  },  "evidence": {    "channels": [      {        "id": "telegram",        "provider": "telegram",        "source": "oc://openclaw.config/channels/telegram",        "enabled": false      }    ],    "mcpServers": [      {        "id": "docs",        "transport": "stdio",        "source": "oc://openclaw.config/mcp/servers/docs",        "command": "npx"      }    ],    "modelProviders": [      {        "id": "openai",        "source": "oc://openclaw.config/models/providers/openai"      }    ],    "modelRefs": [      {        "ref": "openai/gpt-5.5",        "provider": "openai",        "model": "gpt-5.5",        "source": "oc://openclaw.config/agents/defaults/model"      }    ],    "network": [      {        "id": "browser-private-network",        "source": "oc://openclaw.config/browser/ssrfPolicy/dangerouslyAllowPrivateNetwork",        "value": false      }    ],    "gatewayExposure": [      {        "id": "gateway-bind",        "kind": "bind",        "source": "oc://openclaw.config/gateway/bind",        "value": "loopback",        "nonLoopback": false,        "explicit": true      }    ],    "agentWorkspace": [      {        "id": "agents-defaults-workspace-access",        "kind": "workspaceAccess",        "source": "oc://openclaw.config/agents/defaults/sandbox/workspaceAccess",        "scope": "defaults",        "value": "ro",        "sandboxMode": "all",        "sandboxModeSource": "oc://openclaw.config/agents/defaults/sandbox/mode",        "sandboxEnabled": true,        "explicit": true      },      {        "id": "agents-defaults-tool-exec",        "kind": "toolDeny",        "source": "oc://openclaw.config/tools/deny",        "scope": "defaults",        "tool": "exec",        "denied": true,        "explicit": true      }    ],    "secrets": [      {        "id": "vault",        "kind": "provider",        "source": "oc://openclaw.config/secrets/providers/vault",        "providerSource": "env"      },      {        "id": "oc://openclaw.config/models/providers/openai/apiKey",        "kind": "input",        "source": "oc://openclaw.config/models/providers/openai/apiKey",        "provenance": "secretRef",        "refSource": "env",        "refProvider": "vault"      }    ],    "authProfiles": [      {        "id": "github",        "source": "oc://openclaw.config/auth/profiles/github",        "validMetadata": true,        "provider": "github",        "mode": "token"      }    ],    "tools": [      {        "id": "deploy",        "source": "oc://TOOLS.md/tools/deploy",        "line": 12,        "risk": "critical",        "sensitivity": "restricted",        "capabilities": ["IRREVERSIBLE_EXTERNAL"]      }    ]  },  "checksRun": 30,  "checksSkipped": 0,  "findings": []}

แฮชนโยบายระบุอาร์ติแฟกต์กฎที่เขียนขึ้น บล็อกหลักฐาน บันทึกสถานะ OpenClaw ที่สังเกตได้ซึ่งใช้โดยการตรวจสอบนโยบาย ค่า workspace.hash ระบุเพย์โหลดหลักฐานนั้นสำหรับขอบเขตที่ตรวจสอบ แฮชผลการตรวจพบระบุชุดผลการตรวจพบที่แน่นอนซึ่งส่งคืนโดยการตรวจสอบ checkedAt บันทึกเวลาที่การประเมินทำงาน แฮชคำรับรองระบุ การอ้างสิทธิ์ที่เสถียร ได้แก่ แฮชนโยบาย แฮชหลักฐาน แฮชผลการตรวจพบ และผลลัพธ์ ว่าสะอาดหรือไม่ โดยตั้งใจไม่รวม checkedAt เพื่อให้สถานะนโยบายเดียวกัน สร้างคำรับรองเดียวกันในการตรวจสอบซ้ำ สิ่งเหล่านี้รวมกันเป็นทูเพิลการตรวจสอบ สำหรับการตรวจสอบนโยบายนี้

หาก Gateway หรือผู้ควบคุมในภายหลังใช้นโยบายเพื่อบล็อก อนุมัติ หรือใส่คำอธิบายประกอบ การกระทำในรันไทม์ ควรบันทึกแฮชคำรับรองจากการตรวจสอบนโยบายที่สะอาดครั้งล่าสุด checkedAt ยังคงอยู่ในเอาต์พุต JSON สำหรับบันทึกการตรวจสอบ แต่ไม่ได้เป็นส่วนหนึ่งของ แฮชคำรับรองที่เสถียร

ใช้วงจรชีวิตนี้เมื่อยอมรับสถานะนโยบาย:

1. เขียนหรือตรวจทาน policy.jsonc
2. เรียกใช้ openclaw policy check --json
3. หากผลลัพธ์สะอาด ให้บันทึก attestation.policy.hash เป็น expectedHash
4. บันทึก attestation.attestationHash เป็น expectedAttestationHash
5. เรียกใช้ openclaw doctor --lint อีกครั้งใน CI หรือเกตการเผยแพร่

หากกฎนโยบายเปลี่ยนโดยตั้งใจ ให้อัปเดตแฮชที่ยอมรับทั้งสองค่าจากการตรวจสอบที่สะอาด หากการตั้งค่าเวิร์กสเปซเปลี่ยนโดยตั้งใจแต่นโยบายยังเหมือนเดิม โดยปกติจะมีเพียง expectedAttestationHash ที่เปลี่ยน

การเปิดใช้หรืออัปเกรดกฎ agents.workspace จะเพิ่มหลักฐาน agentWorkspace ไปยัง แฮชเวิร์กสเปซและแฮชคำรับรอง ผู้ปฏิบัติงานควรตรวจทานหลักฐานใหม่ และรีเฟรชแฮชคำรับรองที่ยอมรับหลังจากเปิดใช้กฎเหล่านี้ การเปิดใช้หรืออัปเกรดกฎท่าทีของเครื่องมือจะเพิ่มหลักฐาน toolPosture ในลักษณะเดียวกัน

openclaw policy watch เรียกใช้การตรวจสอบเดียวกันซ้ำๆ และรายงานเมื่อ หลักฐานปัจจุบันไม่ตรงกับ expectedAttestationHash อีกต่อไป:

openclaw policy watch --json

ใช้ --once ใน CI หรือสคริปต์ที่ต้องการการประเมินความคลาดเคลื่อนเพียงครั้งเดียว หากไม่มี --once คำสั่งจะโพลทุกสองวินาทีตามค่าเริ่มต้น ใช้ --interval-ms เพื่อ เลือกช่วงเวลาอื่น

ผลการตรวจพบ

ขณะนี้นโยบายตรวจสอบ:

สิ่งที่พบนโยบายสามารถมีได้ทั้ง target และ requirement target คือ สิ่งใน workspace ที่สังเกตพบว่าไม่เป็นไปตามข้อกำหนด requirement คือ กฎนโยบายที่เขียนไว้ซึ่งทำให้เกิดสิ่งที่พบ ทั้งสองค่าเป็นที่อยู่ในปัจจุบัน โดยปกติคือ พาธ oc:// แต่ชื่อฟิลด์อธิบายบทบาทในนโยบายของค่าเหล่านั้น แทนที่จะอธิบาย รูปแบบที่อยู่

ตัวอย่างสิ่งที่พบแบบ JSON:

{  "checkId": "policy/channels-denied-provider",  "severity": "error",  "message": "Channel 'telegram' uses denied provider 'telegram'.",  "source": "policy",  "path": "openclaw config",  "ocPath": "oc://openclaw.config/channels/telegram",  "target": "oc://openclaw.config/channels/telegram",  "requirement": "oc://policy.jsonc/channels/denyRules/#0",  "fixHint": "Telegram is not approved for this workspace."}

ตัวอย่างสิ่งที่พบเกี่ยวกับเครื่องมือ:

{  "checkId": "policy/tools-missing-risk-level",  "severity": "error",  "message": "TOOLS.md tool 'deploy' has no explicit risk classification.",  "source": "policy",  "path": "TOOLS.md",  "line": 12,  "ocPath": "oc://TOOLS.md/tools/deploy",  "target": "oc://TOOLS.md/tools/deploy",  "requirement": "oc://policy.jsonc/tools/requireMetadata"}

ตัวอย่างสิ่งที่พบเกี่ยวกับ MCP:

{  "checkId": "policy/mcp-unapproved-server",  "severity": "error",  "message": "MCP server 'remote' is not in the policy allowlist.",  "source": "policy",  "path": "openclaw config",  "ocPath": "oc://openclaw.config/mcp/servers/remote",  "target": "oc://openclaw.config/mcp/servers/remote",  "requirement": "oc://policy.jsonc/mcp/servers/allow"}

ตัวอย่างสิ่งที่พบเกี่ยวกับผู้ให้บริการโมเดล:

{  "checkId": "policy/models-unapproved-provider",  "severity": "error",  "message": "Model ref 'anthropic/claude-sonnet-4.7' uses unapproved provider 'anthropic'.",  "source": "policy",  "path": "openclaw config",  "ocPath": "oc://openclaw.config/agents/defaults/model/fallbacks/#0",  "target": "oc://openclaw.config/agents/defaults/model/fallbacks/#0",  "requirement": "oc://policy.jsonc/models/providers/allow"}

ตัวอย่างสิ่งที่พบเกี่ยวกับเครือข่าย:

{  "checkId": "policy/network-private-access-enabled",  "severity": "error",  "message": "Network setting 'browser-private-network' allows private-network access.",  "source": "policy",  "path": "openclaw config",  "ocPath": "oc://openclaw.config/browser/ssrfPolicy/dangerouslyAllowPrivateNetwork",  "target": "oc://openclaw.config/browser/ssrfPolicy/dangerouslyAllowPrivateNetwork",  "requirement": "oc://policy.jsonc/network/privateNetwork/allow"}

ตัวอย่างผลการตรวจพบการเปิดเผย Gateway:

{  "checkId": "policy/gateway-non-loopback-bind",  "severity": "error",  "message": "Gateway bind setting 'gateway-bind' permits non-loopback exposure.",  "source": "policy",  "path": "openclaw config",  "ocPath": "oc://openclaw.config/gateway/bind",  "target": "oc://openclaw.config/gateway/bind",  "requirement": "oc://policy.jsonc/gateway/exposure/allowNonLoopbackBind"}

ตัวอย่างผลการตรวจพบพื้นที่ทำงานของเอเจนต์:

{  "checkId": "policy/agents-workspace-access-denied",  "severity": "error",  "message": "agents.defaults sandbox workspaceAccess 'rw' is not allowed by policy.",  "source": "policy",  "path": "openclaw config",  "ocPath": "oc://openclaw.config/agents/defaults/sandbox/workspaceAccess",  "target": "oc://openclaw.config/agents/defaults/sandbox/workspaceAccess",  "requirement": "oc://policy.jsonc/agents/workspace/allowedAccess"}

การซ่อมแซม

doctor --lint และ policy check เป็นแบบอ่านอย่างเดียว

doctor --fix จะแก้ไขเฉพาะการตั้งค่าพื้นที่ทำงานที่จัดการโดยนโยบายเมื่อ เปิดใช้งาน workspaceRepairs อย่างชัดเจนเท่านั้น หากไม่เลือกเปิดใช้งานนี้ การตรวจนโยบายจะ รายงานสิ่งที่จะซ่อมแซมและปล่อยให้การตั้งค่าไม่เปลี่ยนแปลง

ในเวอร์ชันนี้ การซ่อมแซมสามารถปิดใช้งานช่องทางที่เปิดใช้งานอยู่ในการกำหนดค่า OpenClaw แต่ถูกปฏิเสธโดย channels.denyRules เปิดใช้งาน workspaceRepairs หลังจาก ตรวจสอบไฟล์นโยบายแล้วเท่านั้น เพราะกฎปฏิเสธที่ถูกต้องสามารถปิด ช่องทางที่กำหนดค่าไว้ได้:

{  "plugins": {    "entries": {      "policy": {        "config": {          "workspaceRepairs": true,        },      },    },  },}

รหัสออก

ที่เกี่ยวข้อง

• โหมด lint ของ Doctor
• CLI สำหรับพาธ