English简体中文繁體中文日本語EspañolPortuguês (BR)한국어DeutschFrançaisالعربيةItalianoTiếng ViệtNederlandsTürkçeУкраїнськаBahasa IndonesiaPolskiفارسیไทย
View as MarkdownView this page as plain textOpen in ChatGPTAsk questions about this pageOpen in ClaudeAsk questions about this pageOpen in PerplexityAsk questions about this page

Get started

Plugin นโยบาย

Plugin นโยบาย

เพิ่มการตรวจสอบ doctor ที่มีนโยบายรองรับสำหรับความสอดคล้องของเวิร์กสเปซ

การเผยแพร่

  • แพ็กเกจ: @openclaw/policy
  • เส้นทางการติดตั้ง: รวมอยู่ใน OpenClaw

พื้นผิว

Plugin

พฤติกรรม

Plugin นโยบายเพิ่มการตรวจสอบสุขภาพ doctor สำหรับการตั้งค่า OpenClaw ที่จัดการด้วยนโยบายและการประกาศเวิร์กสเปซที่อยู่ภายใต้การกำกับ ปัจจุบันนโยบายครอบคลุมความสอดคล้องของช่องทาง เมทาดาทาเครื่องมือที่อยู่ภายใต้การกำกับ ท่าทีของเซิร์ฟเวอร์ MCP ท่าทีของผู้ให้บริการโมเดล ท่าทีการเข้าถึงเครือข่ายส่วนตัว ท่าทีการเปิดเผย Gateway ท่าทีของเวิร์กสเปซ/เครื่องมือของเอเจนต์ ท่าทีของเครื่องมือแบบส่วนกลาง/ต่อเอเจนต์ที่กำหนดค่าไว้ ท่าทีของรันไทม์ sandbox ที่กำหนดค่าไว้ ท่าทีการเข้าถึง ingress/ช่องทาง ท่าทีการจัดการข้อมูล และท่าทีของผู้ให้บริการความลับในคอนฟิก OpenClaw/ โปรไฟล์การยืนยันตัวตน

นโยบายเก็บข้อกำหนดที่เขียนขึ้นใน policy.jsonc สังเกตการตั้งค่า OpenClaw และการประกาศเวิร์กสเปซที่มีอยู่เป็นหลักฐาน และรายงานความคลาดเคลื่อน ผ่าน openclaw policy check และ openclaw doctor --lint การตรวจสอบนโยบายที่สะอาด จะส่งออกแฮชของนโยบาย หลักฐาน สิ่งที่พบ และการรับรองที่ผู้ปฏิบัติงาน สามารถบันทึกไว้เพื่อการตรวจสอบได้

openclaw policy compare --baseline <file> เปรียบเทียบไฟล์นโยบายหนึ่งกับ ไฟล์นโยบายอีกไฟล์หนึ่ง เป็นความสอดคล้องระดับคอนฟิกเท่านั้น: ใช้เมทาดาทากฎนโยบาย เพื่อตรวจสอบว่านโยบายที่ถูกตรวจสอบไม่ได้ขาดหายหรืออ่อนกว่าค่าฐาน ที่เขียนไว้ และไม่ได้ตรวจสอบสถานะรันไทม์ ข้อมูลประจำตัว หรือค่าความลับ

กฎท่าทีของเครื่องมือสามารถกำหนดให้ต้องใช้โปรไฟล์ที่อนุมัติแล้ว เครื่องมือระบบไฟล์แบบเฉพาะเวิร์กสเปซ การตั้งค่า exec security/ask/host ที่มีขอบเขต โหมดยกระดับที่ปิดใช้งาน รายการ alsoAllow ที่ตรงกันทุกประการ และรายการปฏิเสธเครื่องมือที่ต้องมี บันทึกหลักฐาน จะบันทึกรายการ alsoAllow แบบเพิ่มเข้าไป เพราะรายการเหล่านี้สามารถขยายท่าทีของเครื่องมือที่มีผลได้ การตรวจสอบเหล่านี้สังเกตความสอดคล้องของคอนฟิกเท่านั้น; ไม่ได้อ่านสถานะการอนุมัติของรันไทม์ หรือเพิ่มการบังคับใช้ในรันไทม์

กฎท่าทีของ Sandbox สามารถกำหนดให้ต้องใช้โหมด/แบ็กเอนด์ sandbox ที่อนุมัติแล้ว ปฏิเสธเครือข่ายคอนเทนเนอร์ของโฮสต์ ปฏิเสธการเข้าร่วมเนมสเปซคอนเทนเนอร์ กำหนดให้เมานต์คอนเทนเนอร์แบบอ่านอย่างเดียว ปฏิเสธการเมานต์ซ็อกเก็ตรันไทม์คอนเทนเนอร์และโปรไฟล์คอนเทนเนอร์แบบไม่จำกัด และกำหนดให้ต้องมีช่วงแหล่งที่มา CDP ของเบราว์เซอร์ sandbox การตรวจสอบเหล่านี้สังเกตความสอดคล้องของคอนฟิกเท่านั้น; ไม่ได้อ่านสถานะการอนุมัติของรันไทม์ ตรวจสอบคอนเทนเนอร์จริง หรือเพิ่มการบังคับใช้ในรันไทม์

กฎการจัดการข้อมูลสามารถกำหนดให้ต้องมีการปกปิดบันทึกข้อมูลที่ละเอียดอ่อน ปฏิเสธการจับเนื้อหา telemetry กำหนดให้มีการบำรุงรักษาการเก็บรักษาเซสชัน และปฏิเสธการทำดัชนีหน่วยความจำของทรานสคริปต์เซสชัน การตรวจสอบเหล่านี้สังเกตความสอดคล้องของคอนฟิกเท่านั้น; ไม่ได้ตรวจสอบล็อกดิบ การส่งออก telemetry ทรานสคริปต์ ไฟล์หน่วยความจำ ความลับ หรือข้อมูลส่วนบุคคล

สโคปนโยบายที่ตั้งชื่อไว้ภายใต้ scopes.<scopeName> สามารถเพิ่มส่วนของนโยบายปกติ ที่เข้มงวดขึ้นสำหรับตัวเลือกที่ระบุ agentIds รองรับ tools, agents.workspace, sandbox, และ dataHandling.memory; channelIds รองรับ ingress.channels รหัสเอเจนต์รันไทม์ที่ไม่ได้ระบุไว้อย่างชัดเจนใน agents.list[] จะถูกตรวจสอบ กับท่าทีส่วนกลาง/ค่าเริ่มต้นที่สืบทอดมา แทนที่จะผ่านไปแบบเงียบ ๆ โดยไม่มี หลักฐาน ทุกสโคปที่มีอยู่ใน policy.jsonc ต้องถูกต้องและบังคับใช้ได้ สำหรับตัวเลือกของตน กฎ overlay เป็นข้อกล่าวอ้างเพิ่มเติม ดังนั้นจึงไม่ทำให้นโยบายระดับบนสุดอ่อนลง และสามารถสร้างสิ่งที่พบของตัวเองเมื่อคอนฟิกที่สังเกตเดียวกัน ละเมิดทั้งสองสโคป

เอกสารที่เกี่ยวข้อง

Was this useful?
On this page

On this page