问题描述
刚部署完OpenClaw,发现Agent无法执行基本操作:
- ❌ 无法读取/修改本地文件
- ❌ 无法访问终端执行命令
- ❌ Gateway Dashboard的Tools页面显示大量权限被关闭
- ❌ 尝试在Dashboard中手动开启权限,开关无法点击或保存后失效
如下图所示,Tools页面显示大部分工具处于禁用状态:
原因分析
OpenClaw默认使用最小权限原则(minimal profile),出于安全考虑,默认禁用了文件操作、命令执行等敏感工具。Dashboard中的权限开关受全局配置控制,当profile设置为minimal时,单个工具的开关无法被手动覆盖。
!!!解决方案!!!
修改OpenClaw配置文件,将工具权限策略从minimal(也有可能是别的,例如message)改为full。
步骤
-
找到OpenClaw配置文件,通常位于:
~/.openclaw/openclaw.json # 或 /etc/openclaw/openclaw.json -
编辑配置文件,在
tools部分添加或修改profile字段:{ "tools": { "profile": "full" } }完整配置示例:
{ "gateway": { "host": "0.0.0.0", "port": 8080 }, "tools": { "profile": "full" }, "agents": { "main": { "model": "kimi-coding/k2p5" } } } -
重启OpenClaw Gateway使配置生效:
openclaw gateway restart # 或使用systemd sudo systemctl restart openclaw
验证修复
重启后访问Gateway Dashboard(默认http://localhost:8080),进入Tools页面:
可以看到所有工具权限已正常启用,显示"25/25 enabled"。
权限策略说明
| Profile | 说明 | 适用场景 |
|---|---|---|
minimal | 仅启用最基础工具(如web搜索) | 生产环境、高安全性要求 |
coding | 启用开发相关工具(文件读写、终端) | 代码开发、脚本编写 |
messaging | 启用消息发送相关工具 | 自动化通知、IM集成 |
full | 启用所有可用工具 | 本地开发、功能测试 |
安全建议
- 本地开发:可使用
fullprofile获得完整功能 - 生产部署:建议根据实际需求选择
coding或messaging,而非直接全开 - 敏感环境:保持
minimal,通过perToolOverrides单独授权特定工具
参考
记录于2026年3月4日
