安全设置
本文档提供飞书插件的安全使用建议。
⚠️ 核心风险提示
重要:该插件通过飞书 API 连接了你的工作数据(消息、文档、日历、联系人等)。AI 能读取的内容理论上就存在泄露风险。
安全建议
1. 优先使用个人账号
- 现阶段优先使用个人飞书账号进行体验和测试
- 避免使用公司账号连接敏感数据
- 评估后再考虑扩展使用范围
2. 谨慎在群聊中使用
- 建议避免在群聊中使用,降低数据泄露风险
- 群聊中 AI 可能读取到不该看的信息
- 如需在群聊使用,务必配置
groupPolicy
3. 人工审核重要操作
- 对于发送、修改、写入等重要操作
- 务必做到**"先预览,再确认"**
- 切勿让 AI 处于完全自动驾驶状态
4. 理解权限边界
- 用户身份授权:机器人权限等同于用户本人权限
- 应用身份授权:机器人权限由应用配置决定
- 定期检查和清理不必要的权限
操作风险
AI 幻觉
- AI 可能误解你的意图
- 可能生成看似合理但不准确的内容
- 重要信息请务必核实
不可逆操作
- AI 代发的消息以你的名义发出,无法撤回
- 删除的文档无法恢复
- 谨慎执行删除类操作
权限最小化原则
应用权限
- 只开通必要的 API 权限
- 定期审查已开通的权限
- 及时关闭不再需要的权限
群组配置
json
{
"channels": {
"feishu": {
"groups": {
"oc_xxxxx": {
"groupPolicy": "allowlist",
"requireMention": true,
"tools": {
"deny": ["feishu_drive_file"]
}
}
}
}
}
}敏感操作确认
对于以下操作,插件会要求用户确认:
- 删除文档
- 删除多维表格
- 群发消息
- 批量操作
审计和监控
日志查看
使用诊断命令检查插件状态:
bash
openclaw feishu-diagnose审计建议
- 定期检查消息历史
- 关注异常访问行为
- 记录重要操作日志
免责声明
本软件基于 MIT 许可证发布。使用时会调用飞书开放平台 API,需遵守: