Skywork桌面版的权限体系,不再是简单的“全有或全无”式二进制开关,而是根据实际任务需求实施分层控制,并基于执行环境进行严格隔离。这种设计既能确保文件操作、模型调用、系统联动等生产力功能顺畅运行,也能有效防范越权读写、误删误发、横向渗透等风险事件。

权限并非单一整体开关,而是按能力类型拆分为三个独立管控域——模型访问、文件系统、系统交互,每个域均可单独配置。
权限分层:从模型调用到文件操作,逐级设限管控
- 模型访问层:可单独限制特定模型(如Claude或Gemini)的使用权限。例如,研发团队仅开放Claude Opus(代码能力强),财务团队仅启用Gemini Flash(速度快、支持票据识别),从而避免模型滥用并防止算力错配。
- 文件系统层:摒弃“全盘读写”的粗放授权模式,采用路径白名单实现精准控制。比如,销售助理只能访问
D:\SalesReports和C:\Users\Public\Templates,完全无法触及D:\Finance或用户主目录下的敏感文档。 - 系统交互层:对高危操作实施硬性拦截。默认禁用USB设备调用、注册表修改、PowerShell全局执行、Office宏自动运行等;如需启用,必须在管理员策略中显式勾选并附带审批留痕记录。
权限的生效依赖三层隔离机制——缺少任何一层都无法保证安全。
执行隔离:沙箱运行 + 环境变量裁剪 + 用户组绑定
- 虚拟机沙箱:所有Skills均在轻量级隔离环境中运行,与宿主系统的内核、硬件驱动、用户会话物理隔绝。即使某个Skill被注入恶意逻辑,也无法逃逸并污染本地系统。
- 环境变量驱动技能白名单:通过
OPENCLAW_SKILLS环境变量限定可加载的Skill列表。不同岗位的启动脚本预设不同值——人力专员只能调用employee-onboard和org-chart-builder,若尝试调用code-generator,系统直接返回“Permission denied”。 - RBAC用户组绑定:企业后台可创建Group_HR、Group_RnD、Group_Sales等角色组,每组绑定专属Workflow流程、数据源范围及操作日志级别。普通成员看不到未授权的按钮,也无法切换模型或导出原始日志。
实操建议:最小权限起步,按需动态扩展
权限配置并非一次性设置完成,而应随业务演进持续调整:
- 新员工入职时,默认分配只读及模板生成权限,禁止文件写入和外部网络访问;
- 执行跨部门协作任务前,临时授予指定目录的24小时读写权限,并自动记录操作轨迹;
- 高频使用的Skills(如票据识别、PPT自动生成)可固化为“受信技能”,免于二次授权,但每次调用仍需指纹或扫码确认;
- 所有权限变更需同步写入Windows事件日志,支持与SIEM系统对接审计。
另外,一个容易忽视的细节:权限以“沙箱启动那一刻”的配置为准,重启Agent后才会刷新。临时修改环境变量而不重载服务,权限不会自动更新。这个坑,踩过才会明白。
