需通过权限管理模块为WorkBuddy精细化配置各平台权限:飞书用JSON模板一键导入;企业微信同步配置Token、AESKey与Webhook;钉钉按需勾选三级接口;本地运行须手动选择Craft/Plan/Ask安全模式。
☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 免费无限量使用 DeepSeek R1 模型☜☜☜
如果您已安装WorkBuddy并希望其在执行任务时具备恰当的操作权限,但又避免过度授权引发安全风险,则需通过权限管理模块进行精细化配置。以下是针对不同接入平台(飞书、企业微信、钉钉)的权限控制配置方法:
一、飞书应用权限导入配置
飞书平台要求机器人明确声明所需能力范围,手动逐项勾选易遗漏且耗时,推荐使用JSON权限模板一键导入,确保覆盖消息收发、文档读取、群组交互等核心办公场景。
1、进入飞书开放平台,创建企业自建应用,选择“添加机器人能力”。
2、在应用设置中点击“权限管理”,切换至“导入权限”选项卡。
3、将以下JSON内容完整粘贴至导入框:{"scopes":{"tenant":["contact:contact.base:readonly","docx:document:readonly","im:chat:read","im:chat:update","im:message.group_at_msg:readonly","im:message.p2p_msg:readonly","im:message.pins:read","im:message.pins:write_only","im:message.reactions:read","im:message.reactions:write_only","im:message:readonly","im:message:recall","im:message.send_as_bot","im:message.send_multi_users","im:message.send_sys_msg","im:message:update","im:resource","application:application:self_manage","cardkit:card:write","cardkit:card:read"],"user":["contact:user.employee_id:readonly","offline_access","base:app:copy","base:field:create","base:field:delete","base:field:read","base:field:update","base:record:create","base:record:delete","base:record:retrieve","base:record:update","base:table:create","base:table:delete","base:table:read","base:table:update","base:view:read","base:view:write_only","base:app:create","base:app:update","base:app:read","board:whiteboard:node:create","board:whiteboard:node:read","calendar:calendar:read"]}}
4、点击“确认导入”,系统自动校验并启用全部声明权限。
二、企业微信机器人API权限配置
企业微信采用URL回调机制,权限由后台策略与API调用范围共同决定,需同步配置Token、EncodingAESKey及Webhook URL三要素,缺一不可。
1、登录企业微信管理后台,进入「安全与管理 → 管理工具 → 智能机器人」。
2、点击“创建机器人”,右下角切换为“API模式创建”,选择“URL回调”方式。
3、点击“随机获取”,生成Token与EncodingAESKey,并务必完整记录该两组密钥值。
4、打开WorkBuddy客户端,进入「Claw设置 → 企微AIBot集成」,填入上述Token与EncodingAESKey。
5、点击“注册”,复制生成的Webhook URL,返回企业微信机器人创建页,粘贴至URL输入框并保存。
三、钉钉自建机器人权限分级设置
钉钉对机器人权限实行三级管控:基础消息权限、文件读写权限、组织通讯录访问权限,必须按需开启,不可全选。
1、访问钉钉开发者后台,使用管理员账号创建“自建机器人”。
2、在“机器人详情”页点击“权限管理”,展开“可调用接口列表”。
3、勾选必要接口:发送消息(text/markdown)、上传临时文件、获取部门用户列表(仅限本部门)。
4、取消勾选高危接口:删除消息、更新群公告、读取全员通讯录、调用审批API。
5、点击“保存权限”,等待后台审核通过(通常10分钟内完成)。
四、本地运行安全模式选择
WorkBuddy在本地执行任务前强制启用安全沙箱,用户需主动指定运行级别,系统不会默认启用最高权限。
1、启动WorkBuddy后,在主界面右下角点击“安全模式”按钮。
2、从三个选项中选择一项:Craft(允许执行系统命令与文件写入)、Plan(仅读取文件并生成执行计划)、Ask(仅读取文件并响应问答)。
3、若处理敏感数据或首次使用,必须选择Plan或Ask模式,确认无误后再切换至Craft模式。
4、每次切换模式后,需重启WorkBuddy使配置生效。
