背景
lark-cli 当前的权限模型等同于使用者的飞书权限——用户在飞书里能看到什么,CLI 就能访问什么。但实际使用场景中,lark-cli 几乎 100% 是配合 AI Agent(Claude Code、Aiden 等)使用的,而非人在终端直接交互。
这意味着数据链路变成了:
飞书文档 → lark-cli → AI Agent 工具调用 → 模型厂商服务器 → 回复用户
文档内容实际上被发送到了第三方模型厂商,存在信息安全风险。
问题
在企业场景下,「用户在飞书 Web 端可以访问的文档」≠「应该允许 AI Agent 读取并发送到模型厂商的文档」。当前没有机制能区分这两者。
期望
希望 lark-cli 或飞书开放平台提供文档级 / 数据级的细粒度访问控制,例如:
在文档上标记"禁止 AI Agent 访问"
应用级别的文档白名单 / 黑名单
支持按知识库、文件夹、文档类型设置 CLI 可访问范围
或在 bridge / agent 层提供拦截机制,过滤敏感文档的 API 调用
场景
企业管理员希望员工能通过 AI Agent 查询日常文档,但禁止 Agent 读取财务、人事、战略等敏感文档并发送到模型厂商。
背景
lark-cli 当前的权限模型等同于使用者的飞书权限——用户在飞书里能看到什么,CLI 就能访问什么。但实际使用场景中,lark-cli 几乎 100% 是配合 AI Agent(Claude Code、Aiden 等)使用的,而非人在终端直接交互。
这意味着数据链路变成了:
飞书文档 → lark-cli → AI Agent 工具调用 → 模型厂商服务器 → 回复用户
文档内容实际上被发送到了第三方模型厂商,存在信息安全风险。
问题
在企业场景下,「用户在飞书 Web 端可以访问的文档」≠「应该允许 AI Agent 读取并发送到模型厂商的文档」。当前没有机制能区分这两者。
期望
希望 lark-cli 或飞书开放平台提供文档级 / 数据级的细粒度访问控制,例如:
在文档上标记"禁止 AI Agent 访问"
应用级别的文档白名单 / 黑名单
支持按知识库、文件夹、文档类型设置 CLI 可访问范围
或在 bridge / agent 层提供拦截机制,过滤敏感文档的 API 调用
场景
企业管理员希望员工能通过 AI Agent 查询日常文档,但禁止 Agent 读取财务、人事、战略等敏感文档并发送到模型厂商。