为了保障 OpenClaw 飞书机器人稳定运行且避免权限过大带来的安全隐患,建议在飞书开发者后台的权限管理中按以下清单勾选。
权限配置清单
基础必备权限
无论个人还是团队场景,以下权限是机器人正常交互的基础:
im:message:p2p_msg:readonly:接收单聊消息,允许与你一对一沟通。im:message:group_at_msg:readonly:接收群聊@消息,仅在被提及时响应,保护群隐私。im:message.p2p_msg:send:发送单聊回复。im:message.group_msg:send:在群聊中回复大家。
进阶功能权限
如需处理文档、查看成员或发送富媒体,请按需开启:
- 文档/表格处理:
drive:file:readonly:读取云文档或 Excel 进行分析。sheet:spreadsheet:readonly:专门用于自动化报表读取。
- 身份识别(团队推荐):
contact:user.id:readonly:辅助区分指令来源,实现权限隔离。
- 富媒体发送:
im:resource:upload:若需 AI 绘图或生成文件发回,必须勾选。
⚠️ 安全红线:如无特殊需求,保持关闭。
im:message:everything:readonly:极度危险,会监听所有闲聊,易触发合规风险。contact:contact:readonly:除非需要基于职位的复杂审批流,否则勿开。
部署与密钥安全
发布生效
权限勾选后,务必在飞书后台点击'版本管理与发布',创建新版本申请上线,权限才会正式生效。
IP 白名单
在'安全设置'中,强烈建议填入部署机器的固定公网 IP,防止 App Secret 泄露后被冒用。
密钥管理方案
将 App ID 和 App Secret 明文写在配置文件(如 config.yaml)中存在极大风险。为兼顾安全与可用,推荐以下三种方案:
方案一:环境变量(推荐)
通过操作系统环境变量注入,而非写死在代码中。
修改配置文件引用变量:
lark:
app_id: ${LARK_APP_ID}
app_secret: ${LARK_APP_SECRET}
服务器设置环境:
- Linux/Mac:终端执行
export LARK_APP_ID="你的 ID"。 - Docker:在
docker-compose.yml中配置:
environment:
- LARK_APP_ID=cli_xxxxxxxx
