skills/leecyang/Feishu Interactive Cards

Feishu Interactive Cards

💬 飞书交互卡片,让AI对话变点击

飞书交互卡片技能:为AI助手提供带按钮、表单、投票的富媒体卡片能力,替代纯文本回复,让用户通过点击完成交互,支持确认对话框、任务清单、投票等场景,自动处理回调。

收藏
14.8k
安装
3.4k
版本
1.0.1
CLS 安全性认证2026-05-20
点击查看完整报告 >

使用说明

核心功能与定位

Feishu Interactive Cards 是专为飞书(Lark)生态设计的交互增强技能,其核心设计理念是"当回复存在任何不确定性时,优先发送交互卡片而非纯文本"。该技能将传统的命令行式对话转化为可视化的卡片界面,用户通过点击按钮即可完成确认、选择、投票等操作,大幅降低交互摩擦。

显著优点

1. 零配置部署:采用长轮询(long-polling)模式,无需公网IP或复杂Webhook配置,Node.js脚本即开即用
2. 场景覆盖全面:内置确认对话框、待办清单、投票、表单四大模板,支持自定义JSON卡片
3. 自动化回调链路:点击事件自动路由至OpenClaw Gateway,Agent可无缝处理用户响应
4. 安全设计内建:官方文档强制要求路径验证、防命令注入、使用fs API替代shell命令

潜在局限

  • 生态锁定:深度绑定飞书(Lark)平台,无法迁移至企业微信、钉钉等竞品
  • 长轮询开销:相比WebSocket,长轮询在低频场景下存在不必要的网络消耗
  • 状态管理复杂:需在按钮value中携带完整状态,避免额外查询,增加卡片设计负担
  • Node.js依赖:回调服务器和发送脚本均为Node实现,非Node技术栈用户需额外环境

适合人群

  • 使用飞书作为主力IM的自动化工作流开发者
  • 需要构建"人-AI协作"确认流(如文件删除、代码部署前确认)的企业用户
  • 希望将AI助手从"聊天机器人"升级为"业务操作界面"的产品团队

常规风险

1. 命令注入:文档明确警示禁止将用户输入直接传入shell命令
2. 重复提交:虽内置3秒去重窗口,但高频点击仍可能引发竞态
3. 回调超时:用户长期未响应需主动超时处理,否则会话悬停
4. 权限边界:文件操作需校验路径是否在cwd内,防止目录遍历攻击

安全解读

核心功能与用法

feishu-interactive-cards 是一个专为飞书(Lark)设计的交互式卡片工具,核心设计原则是:当回复飞书消息存在任何不确定性时,发送交互卡片而非纯文本。它提供确认对话框、待办列表、投票表单、自定义卡片等模板,让用户通过按钮完成交互,而非手动输入。

主要用法:
1. 启动长轮询回调服务器(无需公网IP)
2. 使用 CLI 或 Agent 调用发送卡片命令
3. 自动接收用户点击回调并处理

典型场景:文件删除确认、多选项选择、任务分配、信息收集、投票决策等。

显著优点

| 维度 | 优势 |
|------|------|
| **交互体验** | 按钮式操作比文本输入更快、错误率更低 |
| **部署便捷** | 长轮询模式无需公网IP或复杂网络配置 |
| **集成友好** | 自动对接 OpenClaw Gateway,回调处理零配置 |
| **安全设计** | 内置完整安全文档,主动引导防注入、防遍历 |
| **模板丰富** | 预置确认、待办、投票、表单等多种卡片模板 |

潜在缺点与局限性

1. 依赖外部服务:必须同时运行飞书回调服务器和 OpenClaw Gateway,增加运维节点
2. 长轮询延迟:相比Webhook可能有秒级延迟,不适合极高实时性场景
3. 平台绑定:仅支持飞书/Lark生态,无法迁移至企业微信、钉钉等平台
4. 卡片复杂度限制:飞书卡片JSON结构有一定学习成本,复杂交互需自定义开发

适合人群

  • 企业自动化团队:需要将AI Agent接入飞书工作流的技术团队
  • 低代码开发者:希望通过卡片而非代码快速构建交互流程的用户
  • 运维/行政人员:需要在飞书群内发起投票、收集信息、确认操作的非技术用户

常规风险

| 风险类型 | 说明 | 缓解措施 |
|----------|------|----------|
| **凭证泄露** | 配置文件含AppID/Secret | 文档已建议设置600权限,支持环境变量覆盖 |
| **命令注入** | 历史风险:用户输入直接拼接shell命令 | **已重点防护**:文档反复强调用fs API替代shell,含路径遍历校验示例 |
| **重复点击** | 用户快速多次点击按钮 | 内置3秒去重窗口(event_id机制) |
| **依赖供应链** | axios和官方SDK存在漏洞风险 | 当前版本无已知CVE,建议定期`npm audit` |

安全认证摘要

  • 评分85/A级:静态分析88分,依赖审计90分,网络安全82分
  • 关键发现:3项低风险问题(配置文件权限、环境变量访问、外部依赖),无高危漏洞
  • 合规通过:GDPR、CCPA、敏感数据加密、输入验证、传输安全全部达标

总体评估

这是一个设计成熟、安全意识突出的Skill。不同于一般工具仅提供功能,它通过"不确定性即发卡"的设计哲学、详尽的安全最佳实践文档、以及内置的防护代码示例,将安全左移到开发阶段。适合对飞书集成有刚需、且重视交互确定性的团队部署。

feishularkinteractive-cardschatopsworkflow-automationenterprise-imcallback-handlingui-components

Feishu Interactive Cards 内容

examples文件夹
references文件夹
scripts文件夹
手动下载zip · 32.8 kB
confirmation-card.jsonapplication/json
请选择文件