需通过平台级权限配置与WorkBuddy本地安全模式协同控制群内使用权限:一、飞书端限制机器人可见范围及只读权限;二、企业微信端设置应用可见性、群聊范围并禁用敏感接口;三、启用WorkBuddy Plan安全模式,绑定群ID白名单并可选关键词白名单;四、IM平台群管理中单独停用机器人入口。
☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 免费无限量使用 DeepSeek R1 模型☜☜☜
如果您已将WorkBuddy接入飞书、企业微信或钉钉等群组协作平台,但希望限制其在特定群内可执行的操作范围或仅允许部分成员触发指令,则需通过平台级权限配置与WorkBuddy本地安全模式协同控制。以下是实现群内使用权限限制的具体步骤:
一、在飞书开放平台配置机器人可见范围与群组授权
飞书机器人默认对应用所属企业全员可见,需手动限定其可加入的群组及对应权限,防止未授权群组调用WorkBuddy能力。
1、登录飞书开放平台,进入已创建的WorkBuddy企业自建应用。
2、在左侧菜单选择「机器人管理」→「机器人设置」,点击「编辑机器人信息」。
3、在「可见范围」区域,取消勾选「对全企业可见」,改选「指定部门/群组」。
4、点击「添加群组」,从列表中仅勾选需启用WorkBuddy的**目标工作群**(如“财务部周报自动化群”),其他群组不添加。
5、返回「权限管理」页,确认已导入的JSON权限中不包含im:chat:write或im:chat:update等高危写入权限,仅保留im:message.p2p_msg:readonly和im:message.group_at_msg:readonly等只读类权限。
二、在企业微信管理后台设置应用可见性与群聊范围
企业微信要求管理员在后台明确指定应用可被哪些成员使用、可接入哪些群聊,从而实现粒度更细的群权限隔离。
1、管理员登录企业微信管理后台,进入「应用管理」→「WorkBuddy」应用详情页。
2、点击「设置可见范围」,选择「按部门/成员设置」,仅勾选需使用该应用的部门(如“市场部”)或具体成员账号。
3、在「群聊应用」模块中,点击「添加群聊」,手动录入或搜索目标客户群/内部协作群ID,确保仅这些群聊中显示WorkBuddy入口按钮。
4、关闭「允许成员在任意群聊中@机器人」开关,避免非授权群内误触发指令。
5、在「权限配置」中,禁用「获取群成员列表」「修改群公告」「踢出群成员」等敏感接口权限。
三、启用WorkBuddy本地安全模式并绑定群标识
WorkBuddy内置Craft/Plan/Ask三级安全模式,配合群唯一标识(如飞书群ID、企微群ID)可实现指令级拦截,确保仅白名单群内指令被解析执行。
1、打开WorkBuddy桌面客户端,点击右上角头像 →「Claw设置」→「安全策略」。
2、将安全等级设为Plan模式,此时AI仅能读取文件、生成计划,无法直接执行系统命令或写入操作。
3、在「群组白名单」输入框中,粘贴目标群的唯一标识符:飞书群ID格式为oc_XXXXXXXXXXXXXXXXXXXXXX,企业微信群ID为wwxxxxxxxxxxxxxxxx。
4、点击「启用群标识校验」,保存设置。此后,任何来自非白名单群的消息(含@指令)将被WorkBuddy自动忽略且不返回响应。
5、如需进一步限制指令类型,可在同一页面开启「关键词白名单」,仅允许输入含“日报”“合并”“转PDF”等预设词的指令被执行。
四、通过IM平台群管理功能禁用机器人交互入口
部分平台支持在单个群聊内独立关闭第三方机器人权限,无需修改全局配置,适合临时性权限收口场景。
1、在飞书客户端中,长按目标群聊 →「群设置」→「群管理」→「机器人」。
2、找到「WorkBuddy」机器人条目,点击右侧开关将其关闭,该操作仅影响当前群,不影响其他已授权群组。
3、在企业微信中,进入目标群 → 点击右上角「…」→「群管理」→「群机器人」→ 找到WorkBuddy → 点击「停用」。
4、钉钉端操作路径为:群设置 →「智能群助手」→ 找到WorkBuddy → 取消勾选「启用」并点击「确定」。
5、完成上述任一平台侧停用后,该群内所有成员将无法@或发送消息给WorkBuddy,界面中亦不再显示其机器人头像与交互按钮。
