# openclaw approvals

Quản lý phê duyệt exec cho máy chủ cục bộ, máy chủ gateway, hoặc máy chủ node. Theo mặc định, các lệnh nhắm tới tệp phê duyệt cục bộ trên đĩa. Dùng --gateway để nhắm tới gateway, hoặc --node để nhắm tới một node cụ thể.

Bí danh: openclaw exec-approvals

Liên quan:

• Phê duyệt exec: Phê duyệt exec
• Các node: Các node

# openclaw exec-policy

openclaw exec-policy là lệnh tiện ích cục bộ để giữ cấu hình tools.exec.* được yêu cầu và tệp phê duyệt của máy chủ cục bộ đồng bộ trong một bước.

Dùng lệnh này khi bạn muốn:

• kiểm tra chính sách cục bộ được yêu cầu, tệp phê duyệt của máy chủ, và kết quả hợp nhất hiệu dụng
• áp dụng một preset cục bộ như YOLO hoặc deny-all
• đồng bộ tools.exec.* cục bộ và ~/.openclaw/exec-approvals.json cục bộ

Ví dụ:

openclaw exec-policy show
openclaw exec-policy show --json

openclaw exec-policy preset yolo
openclaw exec-policy preset cautious --json

openclaw exec-policy set --host gateway --security full --ask off --ask-fallback full

Chế độ đầu ra:

• không có --json: in chế độ xem bảng dễ đọc cho người dùng
• --json: in đầu ra có cấu trúc đọc được bằng máy

Phạm vi hiện tại:

• exec-policy chỉ cục bộ
• lệnh này cập nhật đồng thời tệp cấu hình cục bộ và tệp phê duyệt cục bộ
• lệnh này không đẩy chính sách tới máy chủ gateway hoặc máy chủ node
• --host node bị từ chối trong lệnh này vì phê duyệt exec của node được lấy từ node khi chạy và thay vào đó phải được quản lý thông qua các lệnh phê duyệt nhắm tới node
• openclaw exec-policy show đánh dấu các phạm vi host=node là do node quản lý khi chạy thay vì suy ra chính sách hiệu dụng từ tệp phê duyệt cục bộ

Nếu bạn cần chỉnh sửa trực tiếp phê duyệt của máy chủ từ xa, hãy tiếp tục dùng openclaw approvals set --gateway hoặc openclaw approvals set --node <id|name|ip>.

# Các lệnh thường dùng

openclaw approvals get
openclaw approvals get --node <id|name|ip>
openclaw approvals get --gateway

openclaw approvals get hiện hiển thị chính sách exec hiệu dụng cho các mục tiêu cục bộ, gateway, và node:

• chính sách tools.exec được yêu cầu
• chính sách trong tệp phê duyệt của máy chủ
• kết quả hiệu dụng sau khi áp dụng các quy tắc ưu tiên

Thứ tự ưu tiên là có chủ đích:

• tệp phê duyệt của máy chủ là nguồn chân lý có thể thực thi
• chính sách tools.exec được yêu cầu có thể thu hẹp hoặc mở rộng ý định, nhưng kết quả hiệu dụng vẫn được suy ra từ các quy tắc của máy chủ
• --node kết hợp tệp phê duyệt của máy chủ node với chính sách tools.exec của gateway, vì cả hai vẫn áp dụng khi chạy
• nếu không có cấu hình gateway, CLI quay lại ảnh chụp phê duyệt của node và ghi chú rằng không thể tính toán chính sách cuối cùng khi chạy

# Thay thế phê duyệt từ một tệp

openclaw approvals set --file ./exec-approvals.json
openclaw approvals set --stdin <<'EOF'
{ version: 1, defaults: { security: "full", ask: "off" } }
EOF
openclaw approvals set --node <id|name|ip> --file ./exec-approvals.json
openclaw approvals set --gateway --file ./exec-approvals.json

set chấp nhận JSON5, không chỉ JSON nghiêm ngặt. Dùng --file hoặc --stdin, không dùng cả hai.

# Ví dụ "Không bao giờ nhắc" / YOLO

Đối với máy chủ không bao giờ được dừng vì phê duyệt exec, đặt giá trị mặc định phê duyệt của máy chủ thành full + off:

openclaw approvals set --stdin <<'EOF'
{
  version: 1,
  defaults: {
    security: "full",
    ask: "off",
    askFallback: "full"
  }
}
EOF

Biến thể cho node:

openclaw approvals set --node <id|name|ip> --stdin <<'EOF'
{
  version: 1,
  defaults: {
    security: "full",
    ask: "off",
    askFallback: "full"
  }
}
EOF

Việc này chỉ thay đổi tệp phê duyệt của máy chủ. Để giữ chính sách OpenClaw được yêu cầu đồng bộ, cũng đặt:

openclaw config set tools.exec.host gateway
openclaw config set tools.exec.security full
openclaw config set tools.exec.ask off

Lý do dùng tools.exec.host=gateway trong ví dụ này:

• host=auto vẫn có nghĩa là "dùng sandbox khi có, nếu không thì gateway".
• YOLO liên quan đến phê duyệt, không phải định tuyến.
• Nếu bạn muốn exec trên máy chủ ngay cả khi đã cấu hình sandbox, hãy chỉ định rõ lựa chọn máy chủ bằng gateway hoặc /exec host=gateway.

Điều này khớp với hành vi YOLO mặc định cho máy chủ hiện tại. Hãy siết chặt nếu bạn muốn có phê duyệt.

Lối tắt cục bộ:

openclaw exec-policy preset yolo

Lối tắt cục bộ đó cập nhật đồng thời cả cấu hình tools.exec.* cục bộ được yêu cầu và các giá trị mặc định phê duyệt cục bộ. Về ý định, nó tương đương với thiết lập thủ công hai bước ở trên, nhưng chỉ dành cho máy cục bộ.

# Trình trợ giúp danh sách cho phép

openclaw approvals allowlist add "~/Projects/**/bin/rg"
openclaw approvals allowlist add --agent main --node <id|name|ip> "/usr/bin/uptime"
openclaw approvals allowlist add --agent "*" "/usr/bin/uname"

openclaw approvals allowlist remove "~/Projects/**/bin/rg"

# Tùy chọn thường dùng

get, set, và allowlist add|remove đều hỗ trợ:

• --node <id|name|ip>
• --gateway
• các tùy chọn RPC node dùng chung: --url, --token, --timeout, --json

Ghi chú về nhắm mục tiêu:

• không có cờ mục tiêu nghĩa là tệp phê duyệt cục bộ trên đĩa
• --gateway nhắm tới tệp phê duyệt của máy chủ gateway
• --node nhắm tới một máy chủ node sau khi phân giải id, tên, IP, hoặc tiền tố id

allowlist add|remove cũng hỗ trợ:

• --agent <id> (mặc định là *)

# Ghi chú

• --node dùng cùng bộ phân giải như openclaw nodes (id, tên, ip, hoặc tiền tố id).
• --agent mặc định là "*", áp dụng cho tất cả agent.
• Máy chủ node phải quảng bá system.execApprovals.get/set (ứng dụng macOS hoặc máy chủ node headless).
• Tệp phê duyệt được lưu theo từng máy chủ tại ~/.openclaw/exec-approvals.json.

# Liên quan

• Tham chiếu CLI
• Phê duyệt exec