Exec 审批(Exec Approvals)
Exec 审批是配套应用/节点主机护栏,用于让沙箱代理在真实主机(gateway 或 node)上运行命令。将其视为安全联锁:仅当策略 + 白名单 + (可选)用户审批都同意时才允许命令。Exec 审批是附加到工具策略和提升门控的(除非提升设置为 full,这会跳过审批)。有效策略是 tools.exec.* 和审批默认值中更严格的;如果省略审批字段,则使用 tools.exec 值。
如果配套应用 UI 不可用,任何需要提示的请求都由**询问回退(ask fallback)**解决(默认:拒绝)。
适用范围
Exec 审批在执行主机上本地强制执行:
- 网关主机 → 网关机器上的 openclaw 进程
- 节点主机 → 节点运行器(macOS 配套应用或无头节点主机)
macOS 分离:
- 节点主机服务通过本地 IPC 将 system.run 转发到 macOS 应用。
- macOS 应用在 UI 上下文中强制执行审批 + 执行命令。
设置和存储
审批位于执行主机上的本地 JSON 文件中:
~/.openclaw/exec-approvals.json
示例架构:
{
"version": 1,
"socket": {
"path": "~/.openclaw/exec-approvals.sock",
"token": "base64url-token"
},
"defaults": {
"security": "deny",
"ask": "on-miss",
"askFallback": "deny",
"autoAllowSkills": false
},
"agents": {
"main": {
"security": "allowlist",
"ask": "on-miss",
"askFallback": "deny",
"autoAllowSkills": true,
"allowlist": [
{
"id": "B0C8C0B3-2C2D-4F8A-9A3C-5A4B3C2D1E0F",
"pattern": "~/Projects/**/bin/rg",
"lastUsedAt": 1737150000000,
"lastUsedCommand": "rg -n TODO",
"lastResolvedPath": "/Users/user/Projects/.../bin/rg"
}
]
}
}
}
策略旋钮
安全性(Security)(exec.security)
- deny:阻止所有主机 exec 请求。
- allowlist:仅允许白名单中的命令。
- full:允许一切(等同于提升)。
询问(Ask)(exec.ask)
- off:永不提示。
- on-miss:仅在白名单不匹配时提示。
- always:每个命令都提示。
询问回退(Ask Fallback)(askFallback)
如果需要提示但无法访问 UI,回退决定:
- deny:阻止。
- allowlist:仅在白名单匹配时允许。
- full:允许。
白名单(每个代理)
白名单是每个代理的。如果存在多个代理,请在 macOS 应用中切换你正在编辑的代理。模式是不区分大小写的通配符匹配。模式应解析为二进制路径(仅基本名称的条目将被忽略)。旧的 agents.default 条目在加载时迁移到 agents.main。
示例:
- ~/Projects/**/bin/bird
- ~/.local/bin/*
- /opt/homebrew/bin/rg
每个白名单条目跟踪:
- id 用于 UI 标识的稳定 UUID(可选)
- 上次使用时间戳
- 上次使用的命令
- 上次解析的路径
自动允许技能 CLI
当启用**自动允许技能 CLI(Auto-allow skill CLIs)**时,已知技能引用的可执行文件在节点(macOS 节点或无头节点主机)上被视为白名单。这使用 Gateway RPC 上的 skills.bins 来获取技能 bin 列表。如果你想要严格的手动白名单,请禁用此功能。
安全 bin(仅 stdin)
tools.exec.safeBins 定义了一个小的仅 stdin 二进制文件列表(例如 jq),这些文件可以在白名单模式下运行而无需显式的白名单条目。安全 bin 拒绝位置文件参数和类似路径的令牌,因此它们只能对传入流进行操作。在白名单模式下不会自动允许 shell 链接和重定向。
当每个顶级段满足白名单(包括安全 bin 或技能自动允许)时,允许 Shell 链接(&&、||、;)。白名单模式下仍不支持重定向。
默认安全 bin:jq、grep、cut、sort、uniq、head、tail、tr、wc。
控制 UI 编辑
使用控制 UI → 节点 → Exec 审批卡来编辑默认值、每个代理覆盖和白名单。选择一个范围(默认值或代理),调整策略,添加/删除白名单模式,然后保存。UI 显示每个模式的上次使用元数据,以便你可以保持列表整洁。
目标选择器选择 Gateway(本地审批)或节点(Node)。节点必须通告 system.execApprovals.get/set(macOS 应用或无头节点主机)。如果节点尚未通告 exec 审批,请直接编辑其本地 ~/.openclaw/exec-approvals.json。
CLI:openclaw approvals 支持网关或节点编辑(见 审批 CLI(Approvals CLI))。
审批流程
当需要提示时,网关向操作员客户端广播 exec.approval.requested。控制 UI 和 macOS 应用通过 exec.approval.resolve 解决它,然后网关将批准的请求转发到节点主机。
当需要审批时,exec 工具立即返回一个审批 ID。使用该 ID 关联后续系统事件(Exec finished / Exec denied)。如果在超时之前没有做出决定,请求被视为审批超时,并作为拒绝原因显示。
确认对话框包括:
- 命令 + 参数
- cwd
- 代理 ID
- 解析的可执行路径
- 主机 + 策略元数据
操作:
- 允许一次(Allow once) → 现在运行
- 始终允许(Always allow) → 添加到白名单 + 运行
- 拒绝(Deny) → 阻止
审批转发到聊天频道
你可以将 exec 审批提示转发到任何聊天频道(包括插件频道),并使用 /approve 批准它们。这使用正常的出站投递管道。
配置:
{
approvals: {
exec: {
enabled: true,
mode: "session", // "session" | "targets" | "both"
agentFilter: ["main"],
sessionFilter: ["discord"], // substring or regex
targets: [
{ channel: "slack", to: "U12345678" },
{ channel: "telegram", to: "123456789" }
]
}
}
}
在聊天中回复:
/approve <id> allow-once
/approve <id> allow-always
/approve <id> deny
macOS IPC 流程
Gateway -> Node Service (WS)
| IPC (UDS + token + HMAC + TTL)
v
Mac App (UI + approvals + system.run)
安全注意事项:
- Unix socket 模式 0600,令牌存储在 exec-approvals.json 中。
- 相同 UID 对等检查。
- 挑战/响应(nonce + HMAC 令牌 + 请求哈希)+ 短 TTL。
系统事件
Exec 生命周期作为系统消息呈现:
- Exec running(仅当命令超过运行通知阈值时)
- Exec finished
- Exec denied
这些在节点报告事件后发布到代理的会话。网关主机 exec 审批在命令完成时(以及可选地在运行时间超过阈值时)发出相同的生命周期事件。审批门控的 exec 重用审批 ID 作为这些消息中的 runId,以便轻松关联。
影响
- full 功能强大;在可能的情况下建议使用白名单。
- ask 让你保持在循环中,同时仍允许快速审批。
- 每个代理的白名单防止一个代理的审批泄漏到其他代理。
- 审批仅适用于来自授权发送者的主机 exec 请求。未授权的发送者无法发出 /exec。
- /exec security=full 是授权操作员的会话级便利功能,按设计跳过审批。要硬阻止主机 exec,请将审批安全性设置为 deny 或通过工具策略拒绝 exec 工具。
相关: