当前权限基础
| 能力 | 当前状态 | 说明 |
|---|---|---|
| IM 集成凭证 | 已实现基础能力 | 飞书、钉钉、企业微信 集成凭证由系统集成保存和使用。 |
| 触发器绑定 | 已实现基础能力 | 触发器将某个 IM 集成绑定到目标数字专家。 |
| 数字专家运行身份 | 已实现基础能力 | 数字专家按平台运行身份和工作流权限执行任务。 |
| 工具集授权 | 已实现基础能力 | 工具集、知识库和业务插件按 Xpert 平台现有权限模型使用。 |
| Webhook 鉴权 | 已实现基础能力 | 插件使用平台 webhook guard、签名校验、Token 或加密回调保护入口。 |
| 群级 Access Bundle | 未实现(规划) | 还没有跨 IM 的群级能力包模型。 |
| 统一 Tag 审计 | 未实现(规划) | 还没有以 Tag session 为中心的统一审计页。 |
| Credential Proxy | 未实现(规划) | 还没有统一的凭证代理和默认拒绝出站网络模型。 |
群级 Access Bundle
Access Bundle 是 Xpert Tag 后续最重要的治理对象。它应把以下能力组合成可复用包,再绑定到组织、IM 工作区、群或特定频道。| 配置项 | 示例 | 状态 |
|---|---|---|
| 知识库范围 | 公司制度、项目资料、产品手册。 | 未实现(规划) |
| 工具集和插件 | 工单、CRM、BI、代码平台、审批、文档。 | 未实现(规划) |
| 业务系统凭证 | 服务账号 API key、OAuth client、数据库只读账号。 | 未实现(规划) |
| 可访问域名 | API 域名、文档域名、代码平台域名。 | 未实现(规划) |
| 默认指令 | 回复格式、风险提示、引用要求、禁止事项。 | 未实现(规划) |
| 写权限策略 | 只读、需确认、需审批、允许自动写入。 | 未实现(规划) |
| 模型策略 | 默认模型、可切换模型、成本限制。 | 未实现(规划) |
| 预算和用量 | 群级预算、每日上限、异常告警。 | 未实现(规划) |
project-readonly:项目知识库、文档只读、工单只读。support-triage:客服知识库、工单创建、客户状态查询。bi-readonly:指标语义模型和只读数据查询。code-review:代码仓库读取、PR 评论、CI 状态读取。code-write:代码仓库写入和 PR 创建,默认需要审批。
服务账号原则
Xpert Tag 的目标模型是:群内共享任务默认使用管理员配置的服务账号或平台技术账号,而不是直接使用提问者个人凭证。| 场景 | 推荐身份 | 状态 |
|---|---|---|
| IM 收发消息 | IM 机器人应用身份。 | 已实现基础能力 |
| 数字专家后台执行 | 数字专家对应的平台运行身份。 | 已实现基础能力 |
| 业务系统读写 | 专用服务账号或受控 API 凭证。 | 部分实现 |
| 个人私有任务 | 用户个人连接和个人权限。 | 未实现(规划) |
- 群内成员看到一致能力,不会因为谁提问而变化。
- 外部系统审计日志中能清楚看到“Xpert Tag 服务账号”做了什么。
- 管理员可以轮换、停用或缩小某个服务账号,而不影响个人账号。
- 写操作可以集中配置确认、审批和风险限制。
凭证与出站网络
当前各插件和工具按 Xpert 平台现有集成与工具机制使用凭证。后续 Xpert Tag 应补齐统一 Credential Proxy:| 能力 | 目标 | 状态 |
|---|---|---|
| 凭证只写不读 | 用户保存后不再展示明文。 | 部分实现 |
| 边界注入凭证 | 运行时请求到达受控代理边界时才注入凭证。 | 未实现(规划) |
| 默认拒绝出站网络 | 未被 Bundle 或环境允许的 host 默认不可访问。 | 未实现(规划) |
| 按 host/path/method 限制 | 精细控制可访问 API。 | 未实现(规划) |
| 无凭证域名白名单 | 允许访问公共网站或公开 API,但不注入凭证。 | 未实现(规划) |
| 内网和元数据地址保护 | 阻断内网、云元数据和敏感地址。 | 未实现(规划) |
审计要求
统一 Tag 审计为未实现(规划)。目标审计记录应至少包括:
- 触发平台、群、单聊、线程、消息 ID。
- 触发用户、可见成员范围和数字专家。
- 生效的 Access Bundle、模型、知识库、工具和技能。
- 输入摘要、附件摘要、上下文来源。
- 工具调用名称、参数摘要、结果摘要和错误。
- 写操作确认人、审批状态、外部系统记录 ID。
- 输出内容摘要、artifact 链接、最终状态。
- token、费用、耗时和重试记录。
风险控制
Xpert Tag 后续应内置以下策略:| 风险 | 控制方式 | 状态 |
|---|---|---|
| 群成员越权访问业务系统 | 群级 Access Bundle 和服务账号最小权限。 | 未实现(规划) |
| 敏感信息被发到大群 | 敏感过滤、输出前检查、群级禁止事项。 | 部分实现 |
| 写操作误执行 | 二次确认、审批流、只读默认、可回滚日志。 | 部分实现 |
| 长任务失控 | 取消按钮、预算上限、超时、重试限制。 | 部分实现 |
| 插件凭证泄漏 | 凭证只写、代理注入、脱敏日志。 | 部分实现 |
| 审计缺口 | Tag session 统一审计。 | 未实现(规划) |
推荐默认值
在 Xpert Tag 产品化前,建议试点时采用保守配置:- 群聊默认只响应 @ 机器人。
- 群历史读取默认关闭,按群显式开启。
- 写操作默认需要人工确认。
- 高风险工具先只读上线。
- 新 Bundle 先绑定到私有试点群。
- 企业微信 需按平台能力降级,不承诺与其他平台完全一致体验。