跳转到主要内容

macOS 权限(TCC)

  1. macOS 的权限授权非常脆弱。 16. TCC 会将权限授权与应用的代码签名、bundle identifier 以及磁盘上的路径关联起来。 17. 如果其中任何一项发生变化,macOS 会将该应用视为新应用,并可能丢弃或隐藏权限提示。

稳定权限的要求

  • 相同路径:从固定位置运行应用(对于 OpenClaw,为 dist/OpenClaw.app)。
  • 相同 Bundle 标识符:更改 Bundle ID 会创建新的权限身份。
  • 已签名的应用:未签名或临时签名的构建不会持久化权限。
  • 一致的签名:使用真实的 Apple Development 或 Developer ID 证书,以确保签名在多次构建之间保持稳定。
  1. Ad-hoc 签名会在每次构建时生成新的身份。 临时签名每次构建都会生成新的身份。macOS 会忘记之前的授权,提示可能完全消失,直到清除过期条目为止。

权限提示消失时的恢复清单

  1. 退出应用。
  2. 在系统设置 -> 隐私与安全性中移除该应用条目。
  3. 从相同路径重新启动应用并重新授予权限。
  4. 如果提示仍未出现,使用 tccutil 重置 TCC 条目后重试。
  5. 某些权限仅在完全重启 macOS 后才会重新出现。
重置示例(根据需要替换 Bundle ID): 
sudo tccutil reset Accessibility bot.molt.mac
sudo tccutil reset ScreenCapture bot.molt.mac
sudo tccutil reset AppleEvents

33. 文件与文件夹权限(桌面/文稿/下载)

  1. macOS 也可能会对终端或后台进程访问桌面、文稿和下载文件夹进行限制。 35. 如果文件读取或目录列出操作卡住,请向执行文件操作的同一进程上下文授予访问权限(例如 Terminal/iTerm、由 LaunchAgent 启动的应用,或 SSH 进程)。
  2. 解决方法:如果想避免逐个文件夹授权,可将文件移动到 OpenClaw 工作区(~/.openclaw/workspace)。
如果你正在测试权限,请始终使用真实证书签名。临时签名的构建仅适用于不需要权限的快速本地运行。 38. Ad-hoc 构建仅适用于权限无关的快速本地运行。