Feishu Interactive Cards

核心功能

feishu-interactive-cards 是一套面向飞书（Lark）平台的交互式卡片解决方案，旨在替代传统的纯文本消息回复，通过按钮、表单、投票等富 UI 元素实现更直观的人机交互。

显著优点

1. 交互范式升级：强制遵循"任何不确定场景使用卡片"的设计原则，将用户从输入文字转为点击选择，大幅降低沟通成本与误操作风险。

2. 零部署成本：采用飞书长轮询（long-polling）模式，无需公网 IP 或服务器穿透，本地即可运行回调服务器，自动重连并对接 OpenClaw Gateway。

3. 开箱即用模板：内置确认对话框、待办清单、投票、表单四大模板，覆盖 90% 常见业务场景，支持 JSON 自定义扩展。

4. 安全设计内建：文档明确要求"绝不将用户输入直接传入 shell 命令"，强制使用 Node.js fs API、路径验证、事件去重（3s 窗口）等防护措施，并附带独立安全指南。

潜在局限

• 平台绑定：仅支持飞书生态，无法迁移至钉钉、企业微信等其他平台。
• Node.js 依赖：要求本地运行 Node 环境，对纯 Python 或其他语言栈用户增加维护成本。
• 网络稳定性：长轮询模式虽免公网 IP，但在弱网环境下可能出现回调延迟或断连重连。

适合人群

• 使用 OpenClaw 框架构建飞书智能体的开发者
• 需要将 AI Agent 与飞书 IM 深度集成的企业团队
• 追求高交互体验、低误操作率的业务场景（审批、运维、客服等）

常规风险

• 回调服务单点故障：若 card-callback-server.js 未运行，按钮点击将无响应。
• 权限配置疏漏：需确保飞书后台订阅 card.action.trigger 事件并配置正确凭证。
• 状态管理复杂度：按钮 value 需携带完整状态以避免额外查询，卡片更新与异步任务需自行处理时序。

核心功能

该 Skill 为 OpenClaw 提供飞书（Lark）交互式卡片能力，替代传统文本回复，让用户通过按钮、表单、投票等方式直接交互。核心设计原则是"有任何不确定性时，发送交互卡片而非纯文本"，大幅提升人机协作的清晰度与效率。

显著优点

1. 交互体验升级：将确认对话框、任务列表、投票、表单等场景可视化，用户零输入即可完成复杂操作
2. 自动回调处理：内置长轮询（long-polling）回调服务器，无需公网 IP 即可实时接收用户点击事件
3. 安全漏洞已修复：v1.0.2 版本已修复早期版本的命令注入和路径遍历漏洞，实现了完善的输入验证和路径白名单机制
4. 官方 SDK 保障：采用飞书官方 @larksuiteoapi/node-sdk，API 调用安全可靠
5. 丰富的模板库：提供确认框、待办清单、投票、自定义表单等开箱即用模板

潜在局限

• 来源可信度 T3：作者为个人开发者（yangyang），无组织背书，需用户自行审查代码
• 配置文件敏感信息：依赖本地 ~/.openclaw/openclaw.json 存储飞书应用凭证，存在潜在泄露风险
• 模板目录白名单依赖启动路径：若 Skill 在敏感目录启动，可能允许读取非预期文件
• 依赖版本范围较宽：axios 使用 ^1.13.4 语义化版本，存在自动更新至不兼容版本的风险

适合人群

• 使用飞书作为协作平台的 OpenClaw 用户
• 需要构建确认流程、任务分配、投票收集等交互场景的开发者
• 重视安全、愿意审查代码的个人或小型团队

常规风险

• 凭证泄露：配置文件权限设置不当可能导致 appId/appSecret 泄露，建议设置 600 权限
• 回调处理安全：开发者需在回调处理中严格验证用户输入，避免二次注入攻击（Skill 文档已提供详细安全指南）
• 网络依赖：依赖飞书开放平台 API 可用性，以及本地 Gateway 服务的正常运行