> ## Documentation Index
> Fetch the complete documentation index at: https://docs.xpertai.cn/llms.txt
> Use this file to discover all available pages before exploring further.

# 访问控制与安全

Xpert Tag 的权限目标是让群组成为共享任务的安全边界。群里能让数字专家访问什么，不应随提问者个人临时变化，而应由管理员为群、组织或业务场景配置。

## 当前权限基础

| 能力               | 当前状态    | 说明                                                                                                                                                            |
| ---------------- | ------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| IM 集成凭证          | 已实现基础能力 | [飞书](../plugin/integration/lark-integration)、[钉钉](../plugin/integration/dingtalk-integration)、[企业微信](../plugin/integration/wecom-integration) 集成凭证由系统集成保存和使用。 |
| 触发器绑定            | 已实现基础能力 | 触发器将某个 IM 集成绑定到目标数字专家。                                                                                                                                        |
| 数字专家运行身份         | 已实现基础能力 | 数字专家按平台运行身份和工作流权限执行任务。                                                                                                                                        |
| 工具集授权            | 已实现基础能力 | 工具集、知识库和业务插件按 Xpert 平台现有权限模型使用。                                                                                                                               |
| Webhook 鉴权       | 已实现基础能力 | 插件使用平台 webhook guard、签名校验、Token 或加密回调保护入口。                                                                                                                    |
| 群级 Access Bundle | 未实现（规划） | 还没有跨 IM 的群级能力包模型。                                                                                                                                             |
| 统一 Tag 审计        | 未实现（规划） | 还没有以 Tag session 为中心的统一审计页。                                                                                                                                   |
| Credential Proxy | 未实现（规划） | 还没有统一的凭证代理和默认拒绝出站网络模型。                                                                                                                                        |

## 群级 Access Bundle

Access Bundle 是 Xpert Tag 后续最重要的治理对象。它应把以下能力组合成可复用包，再绑定到组织、IM 工作区、群或特定频道。

| 配置项    | 示例                                 | 状态      |
| ------ | ---------------------------------- | ------- |
| 知识库范围  | 公司制度、项目资料、产品手册。                    | 未实现（规划） |
| 工具集和插件 | 工单、CRM、BI、代码平台、审批、文档。              | 未实现（规划） |
| 业务系统凭证 | 服务账号 API key、OAuth client、数据库只读账号。 | 未实现（规划） |
| 可访问域名  | API 域名、文档域名、代码平台域名。                | 未实现（规划） |
| 默认指令   | 回复格式、风险提示、引用要求、禁止事项。               | 未实现（规划） |
| 写权限策略  | 只读、需确认、需审批、允许自动写入。                 | 未实现（规划） |
| 模型策略   | 默认模型、可切换模型、成本限制。                   | 未实现（规划） |
| 预算和用量  | 群级预算、每日上限、异常告警。                    | 未实现（规划） |

建议将 Bundle 按能力拆分，例如：

* `project-readonly`：项目知识库、文档只读、工单只读。
* `support-triage`：客服知识库、工单创建、客户状态查询。
* `bi-readonly`：指标语义模型和只读数据查询。
* `code-review`：代码仓库读取、PR 评论、CI 状态读取。
* `code-write`：代码仓库写入和 PR 创建，默认需要审批。

## 服务账号原则

Xpert Tag 的目标模型是：群内共享任务默认使用管理员配置的服务账号或平台技术账号，而不是直接使用提问者个人凭证。

| 场景       | 推荐身份              | 状态      |
| -------- | ----------------- | ------- |
| IM 收发消息  | IM 机器人应用身份。       | 已实现基础能力 |
| 数字专家后台执行 | 数字专家对应的平台运行身份。    | 已实现基础能力 |
| 业务系统读写   | 专用服务账号或受控 API 凭证。 | 部分实现    |
| 个人私有任务   | 用户个人连接和个人权限。      | 未实现（规划） |

服务账号带来的好处：

* 群内成员看到一致能力，不会因为谁提问而变化。
* 外部系统审计日志中能清楚看到“Xpert Tag 服务账号”做了什么。
* 管理员可以轮换、停用或缩小某个服务账号，而不影响个人账号。
* 写操作可以集中配置确认、审批和风险限制。

## 凭证与出站网络

当前各插件和工具按 Xpert 平台现有集成与工具机制使用凭证。后续 Xpert Tag 应补齐统一 Credential Proxy：

| 能力                    | 目标                            | 状态      |
| --------------------- | ----------------------------- | ------- |
| 凭证只写不读                | 用户保存后不再展示明文。                  | 部分实现    |
| 边界注入凭证                | 运行时请求到达受控代理边界时才注入凭证。          | 未实现（规划） |
| 默认拒绝出站网络              | 未被 Bundle 或环境允许的 host 默认不可访问。 | 未实现（规划） |
| 按 host/path/method 限制 | 精细控制可访问 API。                  | 未实现（规划） |
| 无凭证域名白名单              | 允许访问公共网站或公开 API，但不注入凭证。       | 未实现（规划） |
| 内网和元数据地址保护            | 阻断内网、云元数据和敏感地址。               | 未实现（规划） |

## 审计要求

统一 Tag 审计为 `未实现（规划）`。目标审计记录应至少包括：

* 触发平台、群、单聊、线程、消息 ID。
* 触发用户、可见成员范围和数字专家。
* 生效的 Access Bundle、模型、知识库、工具和技能。
* 输入摘要、附件摘要、上下文来源。
* 工具调用名称、参数摘要、结果摘要和错误。
* 写操作确认人、审批状态、外部系统记录 ID。
* 输出内容摘要、artifact 链接、最终状态。
* token、费用、耗时和重试记录。

## 风险控制

Xpert Tag 后续应内置以下策略：

| 风险          | 控制方式                        | 状态      |
| ----------- | --------------------------- | ------- |
| 群成员越权访问业务系统 | 群级 Access Bundle 和服务账号最小权限。 | 未实现（规划） |
| 敏感信息被发到大群   | 敏感过滤、输出前检查、群级禁止事项。          | 部分实现    |
| 写操作误执行      | 二次确认、审批流、只读默认、可回滚日志。        | 部分实现    |
| 长任务失控       | 取消按钮、预算上限、超时、重试限制。          | 部分实现    |
| 插件凭证泄漏      | 凭证只写、代理注入、脱敏日志。             | 部分实现    |
| 审计缺口        | Tag session 统一审计。           | 未实现（规划） |

## 推荐默认值

在 Xpert Tag 产品化前，建议试点时采用保守配置：

* 群聊默认只响应 @ 机器人。
* 群历史读取默认关闭，按群显式开启。
* 写操作默认需要人工确认。
* 高风险工具先只读上线。
* 新 Bundle 先绑定到私有试点群。
* [企业微信](../plugin/integration/wecom-integration) 需按平台能力降级，不承诺与其他平台完全一致体验。
