Get started
政策外掛
Policy 外掛
新增由政策支援的 doctor 檢查,以確認工作區符合規範。
發佈
- 套件:
@openclaw/policy - 安裝路徑:包含於 OpenClaw
介面
外掛
行為
Policy 外掛會為受政策管理的 OpenClaw 設定與受治理的工作區宣告提供 doctor 健全狀態檢查。Policy 目前涵蓋頻道 符合性、受治理的工具中繼資料、MCP 伺服器態勢、模型供應商態勢、 私有網路存取態勢、閘道暴露態勢、代理工作區/工具 態勢、已設定的全域/每代理工具態勢、已設定的沙箱執行階段 態勢、入口/頻道存取態勢、資料處理態勢,以及 OpenClaw 設定祕密 供應商/驗證設定檔態勢。
Policy 會將作者定義的要求儲存在 policy.jsonc,觀察既有的
OpenClaw 設定與工作區宣告作為證據,並透過
openclaw policy check 與 openclaw doctor --lint 回報偏移。乾淨的政策
檢查會輸出政策、證據、發現項目與證明雜湊,供操作人員
記錄以利稽核。
openclaw policy compare --baseline <file> 會將一個政策檔與另一個
政策檔比較。這只檢查設定層級的符合性:它使用政策規則中繼資料
驗證被檢查的政策沒有缺少作者定義的基準,且不比基準更弱,
並且不會檢查執行階段狀態、憑證或祕密值。
工具態勢規則可要求已核准的設定檔、僅限工作區的檔案系統
工具、受限的 exec 安全性/詢問/主機設定、停用提升模式、精確的
alsoAllow 項目,以及必要的工具拒絕項目。證據記錄會包含
新增的 alsoAllow 項目,因為它們可能擴大有效的工具態勢。
這些檢查只觀察設定符合性;它們不會讀取執行階段核准
狀態,也不會新增執行階段強制執行。
沙箱態勢規則可要求已核准的沙箱模式/後端、拒絕主機 容器網路、拒絕加入容器命名空間、要求唯讀容器 掛載、拒絕容器執行階段 socket 掛載與未受限制的容器設定檔, 並要求沙箱瀏覽器 CDP 來源範圍。 這些檢查只觀察設定符合性;它們不會讀取執行階段核准 狀態、檢查即時容器,或新增執行階段強制執行。
資料處理規則可要求敏感記錄遮蔽、拒絕遙測 內容擷取、要求工作階段保留維護,並拒絕工作階段 逐字稿記憶索引。這些檢查只觀察設定符合性;它們 不會檢查原始記錄、遙測匯出、逐字稿、記憶檔案、祕密 或個人資料。
scopes.<scopeName> 下的具名政策範圍,可為其列出的選擇器
新增更嚴格的一般政策區段。agentIds 支援 tools、
agents.workspace、sandbox 與 dataHandling.memory;channelIds 支援
ingress.channels。
未明確列於 agents.list[] 的執行階段代理 ID,會依照繼承的
全域/預設態勢檢查,而不是在沒有證據的情況下默默通過。
policy.jsonc 中存在的每個範圍,都必須對其選擇器有效且可強制執行。
覆疊規則是額外聲明,因此它們不會削弱頂層政策,且當同一個
已觀察到的設定同時違反兩個範圍時,可能產生自己的發現項目。
