Workbuddy权限设置教程｜管理权限配置方法

本文详解WorkBuddy在多平台（飞书、企业微信、钉钉）及本地环境下的精细化权限配置方法：飞书支持JSON模板一键导入全场景办公权限，企业微信需同步配置Token、AESKey与Webhook实现安全回调，钉钉强调按需勾选三级接口以规避高危操作，本地运行则强制用户主动选择Craft/Plan/Ask三级安全沙箱模式——既保障任务执行所需能力，又严防过度授权带来的安全风险，是企业级AI助手安全落地的关键实践指南。

如果您已安装WorkBuddy并希望其在执行任务时具备恰当的操作权限，但又避免过度授权引发安全风险，则需通过权限管理模块进行精细化配置。以下是针对不同接入平台（飞书、企业微信、钉钉）的权限控制配置方法：

一、飞书应用权限导入配置

飞书平台要求机器人明确声明所需能力范围，手动逐项勾选易遗漏且耗时，推荐使用JSON权限模板一键导入，确保覆盖消息收发、文档读取、群组交互等核心办公场景。

1、进入飞书开放平台，创建企业自建应用，选择“添加机器人能力”。

2、在应用设置中点击“权限管理”，切换至“导入权限”选项卡。

3、将以下JSON内容完整粘贴至导入框：{"scopes":{"tenant":["contact:contact.base:readonly","docx:document:readonly","im:chat:read","im:chat:update","im:message.group_at_msg:readonly","im:message.p2p_msg:readonly","im:message.pins:read","im:message.pins:write_only","im:message.reactions:read","im:message.reactions:write_only","im:message:readonly","im:message:recall","im:message.send_as_bot","im:message.send_multi_users","im:message.send_sys_msg","im:message:update","im:resource","application:application:self_manage","cardkit:card:write","cardkit:card:read"],"user":["contact:user.employee_id:readonly","offline_access","base:app:copy","base:field:create","base:field:delete","base:field:read","base:field:update","base:record:create","base:record:delete","base:record:retrieve","base:record:update","base:table:create","base:table:delete","base:table:read","base:table:update","base:view:read","base:view:write_only","base:app:create","base:app:update","base:app:read","board:whiteboard:node:create","board:whiteboard:node:read","calendar:calendar:read"]}}

4、点击“确认导入”，系统自动校验并启用全部声明权限。

二、企业微信机器人API权限配置

企业微信采用URL回调机制，权限由后台策略与API调用范围共同决定，需同步配置Token、EncodingAESKey及Webhook URL三要素，缺一不可。

1、登录企业微信管理后台，进入「安全与管理 → 管理工具 → 智能机器人」。

2、点击“创建机器人”，右下角切换为“API模式创建”，选择“URL回调”方式。

3、点击“随机获取”，生成Token与EncodingAESKey，并务必完整记录该两组密钥值。

4、打开WorkBuddy客户端，进入「Claw设置 → 企微AIBot集成」，填入上述Token与EncodingAESKey。

5、点击“注册”，复制生成的Webhook URL，返回企业微信机器人创建页，粘贴至URL输入框并保存。

三、钉钉自建机器人权限分级设置

钉钉对机器人权限实行三级管控：基础消息权限、文件读写权限、组织通讯录访问权限，必须按需开启，不可全选。

1、访问钉钉开发者后台，使用管理员账号创建“自建机器人”。

2、在“机器人详情”页点击“权限管理”，展开“可调用接口列表”。

3、勾选必要接口：发送消息（text/markdown）、上传临时文件、获取部门用户列表（仅限本部门）。

4、取消勾选高危接口：删除消息、更新群公告、读取全员通讯录、调用审批API。

5、点击“保存权限”，等待后台审核通过（通常10分钟内完成）。

四、本地运行安全模式选择

WorkBuddy在本地执行任务前强制启用安全沙箱，用户需主动指定运行级别，系统不会默认启用最高权限。

1、启动WorkBuddy后，在主界面右下角点击“安全模式”按钮。

2、从三个选项中选择一项：Craft（允许执行系统命令与文件写入）、Plan（仅读取文件并生成执行计划）、Ask（仅读取文件并响应问答）。

3、若处理敏感数据或首次使用，必须选择Plan或Ask模式，确认无误后再切换至Craft模式。

4、每次切换模式后，需重启WorkBuddy使配置生效。

好了，本文到此结束，带大家了解了《Workbuddy权限设置教程｜管理权限配置方法》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多科技周边知识！