【转载】解决 OpenClaw 2026.3.31 版本 exec 授权/批准问题（exec approval 错误）

OpenClaw 在 2026.3.31 版本中加强了执行工具（exec tool）的安全策略，导致许多用户遇到 exec approval required（需要批准）或授权失败的问题。即使在 openclaw.json 中将 tools.exec.security 设置为 “full” 并关闭询问，命令执行仍然会被阻塞。
核心原因：仅修改 openclaw.json 中的 tools.exec 配置不够。OpenClaw 采用双层策略：

• Agent 侧策略（openclaw.json）：控制 Agent 端能请求什么。
  
• Host 侧策略（~/.openclaw/exec-approvals.json）：主机端实际执行的最终把关策略，作为上限存在。
  

只有两层策略同时放开且一致，exec 工具才能真正无限制运行（适用于 Cron 任务、心跳 Agent、自动化 脚本等场景）。
参考 GitHub Issue #1517 的官方说明。
修复步骤（修改两个文件）

• 修改 Agent 侧策略：~/.openclaw/openclaw.json
  

找到（或新增）tools.exec 配置块，设置为完全放开：

1. {
2.   "tools": {
3.     "exec": {
4.       "security": "full",
5.       "ask": "off"
6.     }
7.   }
8. }

复制代码

提示：如果你的配置文件 中 tools 下面还有其他子项（如 profile 等），请合并保留。推荐使用 JSON5 格式（支持注释）。

• 修改 Host 侧策略：~/.openclaw/exec-approvals.json
  

如果文件不存在，请新建它。添加默认策略（defaults）并确保与 Agent 侧一致：

1. {
2.   "version": 1,
3.   "defaults": {
4.     "security": "full",
5.     "ask": "off"
6.   },
7.   "agents": {
8.     // 这里可以针对特定 Agent 做更精细控制，例如：
9.     // "your-agent-name": {
10.     //   "security": "full",
11.     //   "ask": "off"
12.     // }
13.   }
14. }

复制代码

说明：

• defaults 会应用到所有未特别指定的 Agent。
  
• security: “full” 表示允许所有命令执行。
  
• ask: “off” 表示无需人工批准（适合全自动场景）。
  
• Host 侧策略是更严格的上限，即使 Agent 侧设置为 full，如果 Host 侧仍是默认的 allowlist 或 ask: on-miss，仍然会弹出批准提示。
  

应用配置并重启 Gateway
修改完两个文件后，必须完整重启 OpenClaw Gateway，让配置生效：

1. openclaw gateway stop && openclaw gateway start

复制代码

或者使用简洁的重启命令（推荐）：

1. openclaw gateway restart

复制代码

重启后，建议检查 Gateway 状态：

1. openclaw gateway status

复制代码

验证效果

• 运行需要执行 shell 命令的 Agent（Cron 任务、心跳检测、自动化脚本等）。
  
• 之前常见的 “exec approval errors” 或 “approval required” 提示应该完全消失。
  
• 测试命令如 ls、echo、Git 操作、文件读写等，均可正常执行。
  

已测试场景：

• Cron 定时任务
  
• 心跳（heartbeat）Agent
  
• 各类需要主机执行命令的自动化流程
  

注意事项与安全提醒

• 安全性：将 security 设置为 “full” 并关闭 ask 会大幅提升权限。请仅在可信的本地/私有环境中使用，并确保机器有良好的防火墙保护。
  
• 配置文件路径：默认都在 ~/.openclaw/ 目录下（Linux/macOS）。Windows 用户路径可能略有不同，请参考官方文档。
  
• 如果仍失败：
  

• 检查两个文件是否语法正确（JSON 格式）。
  
• 确认重启 Gateway 成功，无报错。
  
• 查看 Gateway 日志：openclaw gateway logs 或对应日志文件。
  
• 尝试运行 openclaw doctor 进行诊断。
  

• 回滚：升级前建议备份整个 ~/.openclaw/ 目录。
  

参考链接

• GitHub Issue #1517：官方对 exec 策略双层机制的说明
  
• OpenClaw 官方文档：Exec Approvals 配置说明
  

通过以上步骤，OpenClaw 2026.3.31 版本的 exec 授权问题即可彻底解决，让你的 Agent 恢复全自动执行能力！
————————————————
版权声明：本文为CSDN博主「肆月壹日君」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/weixin_44683338/article/details/159732851

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！