记一次 OpenClaw 2026-04-02 版本升级后 exec 命令被限制的踩坑

背景

最近升级 OpenClaw 到最新版本后，发现所有 exec 命令都被限制了，报错信息：

exec denied: allowlist miss

问题原因

OpenClaw 从某个版本开始引入了双层安全策略：

1. 配置层：tools.exec.security 和 tools.exec.ask
2. 本地审批层：~/.openclaw/exec-approvals.json

默认情况下，exec 被设置为 allowlist 模式，只有白名单中的命令才能执行，其他命令都会被拒绝。

解决方案

方法 1：修改配置（推荐，永久生效）

openclaw config set tools.exec.security full
openclaw config set tools.exec.ask off
openclaw gateway restart

方法 2：修改审批文件（永久生效）

openclaw approvals set --stdin <<'EOF'
{
  version: 1,
  defaults: {
    security: "full",
    ask: "off",
    askFallback: "full"
  }
}
EOF

方法 3：会话级别（临时生效）

在聊天中直接输入：

/exec security=full ask=off

查看当前配置

openclaw approvals get

这个命令会显示当前的安全策略和 allowlist 设置。

官方文档

详细说明可以参考：

• Security - OpenClaw
• Exec Approvals - OpenClaw

总结

这次升级是为了提高安全性，但确实给个人使用场景带来了一些不便。如果你信任自己的环境，可以按照上面的方法放权。如果需要更严格的控制，可以保持 allowlist 模式，手动添加允许的命令。

发布时间：2026-04-06