解决 OpenClaw 2026.3.31 版本 exec 授权/批准问题exec approval 错误OpenClaw 在 2026.3.31 版本中加强了执行工具exec tool的安全策略导致许多用户遇到 exec approval required需要批准或授权失败的问题。即使在 openclaw.json 中将 tools.exec.security 设置为 “full” 并关闭询问命令执行仍然会被阻塞。核心原因仅修改 openclaw.json 中的 tools.exec 配置不够。OpenClaw 采用双层策略Agent 侧策略openclaw.json控制 Agent 端能请求什么。Host 侧策略~/.openclaw/exec-approvals.json主机端实际执行的最终把关策略作为上限存在。只有两层策略同时放开且一致exec 工具才能真正无限制运行适用于 Cron 任务、心跳 Agent、自动化脚本等场景。参考 GitHub Issue #1517 的官方说明。修复步骤修改两个文件修改 Agent 侧策略~/.openclaw/openclaw.json找到或新增tools.exec 配置块设置为完全放开{tools:{exec:{security:full,ask:off}}}提示如果你的配置文件中 tools 下面还有其他子项如 profile 等请合并保留。推荐使用 JSON5 格式支持注释。修改 Host 侧策略~/.openclaw/exec-approvals.json如果文件不存在请新建它。添加默认策略defaults并确保与 Agent 侧一致{version:1,defaults:{security:full,ask:off},agents:{// 这里可以针对特定 Agent 做更精细控制例如 //your-agent-name:{//security:full, //ask:off//}}}说明defaults 会应用到所有未特别指定的 Agent。security: “full” 表示允许所有命令执行。ask: “off” 表示无需人工批准适合全自动场景。Host 侧策略是更严格的上限即使 Agent 侧设置为 full如果 Host 侧仍是默认的 allowlist 或 ask: on-miss仍然会弹出批准提示。应用配置并重启 Gateway修改完两个文件后必须完整重启 OpenClaw Gateway让配置生效openclaw gateway stopopenclaw gateway start或者使用简洁的重启命令推荐openclaw gateway restart重启后建议检查 Gateway 状态openclaw gateway status验证效果运行需要执行 shell 命令的 AgentCron 任务、心跳检测、自动化脚本等。之前常见的 “exec approval errors” 或 “approval required” 提示应该完全消失。测试命令如 ls、echo、Git 操作、文件读写等均可正常执行。已测试场景Cron 定时任务心跳heartbeatAgent各类需要主机执行命令的自动化流程注意事项与安全提醒安全性将 security 设置为 “full” 并关闭 ask 会大幅提升权限。请仅在可信的本地/私有环境中使用并确保机器有良好的防火墙保护。配置文件路径默认都在 ~/.openclaw/ 目录下Linux/macOS。Windows 用户路径可能略有不同请参考官方文档。如果仍失败检查两个文件是否语法正确JSON 格式。确认重启 Gateway 成功无报错。查看 Gateway 日志openclaw gateway logs 或对应日志文件。尝试运行 openclaw doctor 进行诊断。回滚升级前建议备份整个 ~/.openclaw/ 目录。参考链接GitHub Issue #1517官方对 exec 策略双层机制的说明OpenClaw 官方文档Exec Approvals 配置说明通过以上步骤OpenClaw 2026.3.31 版本的 exec 授权问题即可彻底解决让你的 Agent 恢复全自动执行能力如果还有其他问题欢迎在评论区留言我会尽量帮忙排查。本文更新时间2026年4月欢迎收藏、点赞、转发帮助更多遇到同样问题的朋友