OpenClaw 工作流一旦接入多个工具,权限就不能靠“信任这个 Agent”来管理。一个能查知识库的 Agent,不一定应该能发邮件;一个能创建草稿的 Agent,也不一定应该能直接发送。工具白名单的价值,就是把能做什么、什么时候能做、做到哪一步说清楚。
它和 连接器清单、权限矩阵、敏感动作审批 是同一套治理材料,只是更贴近执行层。
先把读动作和写动作拆开
很多工具名称看起来一样,风险却完全不同。读取表格、搜索邮件、查看工单属于读动作;修改字段、发送消息、删除文件、提交审批属于写动作。白名单不能只写“允许使用飞书”或“允许使用 CRM”,必须写到动作级别。
一个实用格式是:工具名称、动作名称、读写类型、允许场景、默认是否开启、是否需要审批、日志字段。
敏感动作默认不自动执行
涉及付款、外发、删除、权限变更、客户承诺、合同条款的动作,最好默认进入人工确认。Agent 可以准备内容、生成草稿、列出依据,但不要直接执行最后一步。
这不代表自动化没价值。相反,Agent 把材料准备好,人只确认关键动作,往往比完全人工处理更稳。
临时授权要有失效时间
很多权限风险来自临时授权忘记收回。排查问题时临时开放了写权限,活动期间临时允许外发,项目结束后却没人关闭。OpenClaw 的工具白名单应该支持失效时间,至少在台账里记录授权到期日。
前面写过 权限漂移巡检,工具白名单可以作为巡检依据:当前工具权限是不是还符合当前 SOP。
失败后不能自动扩大权限
Agent 调工具失败时,最危险的处理方式是自动换一个更高权限工具继续尝试。比如读接口失败就改用管理接口,草稿发送失败就换成直接发送。这类降级或绕路,必须进入审批。
如果结合 异常分级,权限拒绝不应该被简单当成错误重试,而应该判断是否触发了越权保护。
总结
OpenClaw 工具白名单要管到动作级别,读动作和写动作分开,敏感动作加审批,临时授权设失效时间,失败后不能自动扩大权限。工具越多,白名单越要细,否则 Agent 的能力越强,误操作风险也越大。