QClaw 装好之后,最容易被忽略的不是“怎么发第一条指令”,而是“权限到底该给到什么程度”。权限给少了,任务跑不动;权限给太多,隐私和误操作风险都会变大。
这篇按站长视角写一份实用清单:哪些权限合理,哪些要谨慎,第一次使用前该怎么测试。它不替代软件自身说明,也不承诺绝对安全;目标是让你知道每个授权背后换来的能力和代价。
先用一句话判断权限是否合理
QClaw 的权限应该和当前任务直接相关。 你只是让它整理一个文件夹,就不该一次性放开所有磁盘、邮箱、日历和代码仓库;你只是测试微信绑定,也不需要先启用一堆第三方 Skills。
这个原则很简单,但能挡住大多数过度授权。
权限一:文件访问权限
文件访问是 QClaw 最常用、也最需要谨慎的权限。它要整理电脑文档、搜索本地资料、生成交接包,就必须能看到对应目录。
更安全的做法是按范围逐步放开:
- 第一次测试只选一个低风险文件夹,比如临时测试目录;
- 先让 QClaw “列出文件清单”,不要直接移动或删除;
- 确认结果正确后,再让它复制、归类或打包;
- 涉及客户资料、合同、财务、隐私文件时,不要把整个磁盘一次性开放给它。
一个好的测试指令是:
只读取“测试资料”文件夹,列出其中最近 7 天修改过的 PDF,不要移动、删除或上传任何文件。
这里把目录、动作和禁止动作都写清楚了,风险比“帮我整理电脑文件”低得多。
权限二:辅助功能和自动化权限
macOS 和 Windows 都可能要求你给桌面自动化、辅助功能、屏幕录制或应用控制权限。它们的用途通常是让 QClaw 能在电脑端点击、读取窗口、操作应用或执行脚本。
这类权限不是一定不能给,但要先想清楚:
- 这个权限是否和你当前任务有关;
- 是否可以只给单个应用或单个目录;
- 是否有日志或结果预览;
- 是否能随时关闭。
如果你只需要 QClaw 帮你总结文档,不一定要先给完整桌面控制权限。等你明确需要打开网页、操作应用、处理窗口时,再按需开启。
权限三:网络和云端模型
QClaw 的部分能力可能需要联网,例如调用云端模型、访问网页、处理在线资料。这里要分清两件事:本地文档在你电脑上,云端模型处理时可能会接收完成请求所需的提示词内容。
使用前建议问自己三个问题:
- 这次任务是否必须用云端模型?
- 提示词里有没有客户资料、账号、合同、源代码等敏感内容?
- 有没有办法先脱敏、摘要或只给必要片段?
如果你要处理敏感文件,优先让 QClaw 做“文件清单、目录整理、摘要框架”这类低风险任务,不要把完整敏感内容一股脑交给云端模型。
权限四:微信绑定
微信绑定是 QClaw 的核心入口,但绑定成功不代表可以放任所有指令自动执行。手机微信更像遥控器,真正干活的是电脑端。
绑定后建议先做三步测试:
- 发“返回当前时间”,确认链路通;
- 发“列出测试文件夹里的文件名”,确认文件访问范围;
- 发“生成一封邮件草稿,不要发送”,确认高风险动作会停在草稿阶段。
如果绑定后没反应,先看安装后没反应排查和微信绑定教程,不要急着扩大权限。
权限五:Skills 授权
Skills 是扩展能力,越强的 Skill 通常越可能需要更大的授权。比如 GitHub、邮箱、日历、网页处理、文件管理,每一类授权的风险都不同。
建议按这个顺序启用:
- 先启用不涉及外部账户的 Skills;
- 再启用只读类能力,例如读取日程或仓库状态;
- 最后才考虑写入、发送、删除、提交这类高影响动作;
- 不常用的 Skills 保持关闭,需要时再开。
如果你还没熟悉 Skills,可以先看QClaw Skills 安装与权限管理教程和必装 Skills 推荐。
高风险动作清单
下面这些动作不建议让 QClaw 自动完成,至少要先预览、再人工确认:
- 批量删除、覆盖、移动重要文件;
- 自动发送邮件、群发消息、陌生人私信;
- 登录账户、授权第三方、修改支付或安全设置;
- 对客户文件、合同、财务表、源代码做不可逆修改;
- 把完整敏感文档交给云端模型处理。
更稳的说法是:让 QClaw “生成建议、列出清单、起草内容、预览改名结果”,最终执行由你确认。
第一次使用前的 10 项检查
下载后第一次使用,按下面 10 项过一遍:
- 从可核对来源下载,避免捆绑包和“破解版”;
- 确认系统版本符合下载页说明;
- 先用测试目录,不直接开放全盘;
- 微信绑定后先发最小测试指令;
- 文件操作先预览,不直接删除或移动;
- 邮件和消息只生成草稿,不自动发送;
- 涉及云端模型前先删除敏感信息;
- 公司电脑先确认 IT 与合规要求;
- 不常用 Skills 关闭;
- 每次新增授权后,用一个小任务验证效果。
什么时候应该暂停使用
如果出现下面情况,先停下来排查:
- 安装包来源不明或被二次打包;
- 安装过程附带你没要的软件;
- 权限请求明显超出当前任务;
- 指令结果频繁误操作文件;
- 你不清楚某个 Skill 会访问哪些数据。
暂停不是保守,而是减少后续恢复成本。
小结
QClaw 的安全使用关键不是“权限越少越好”,而是“权限和任务匹配”。先从可信下载页安装,再用小目录、小任务、小权限测试;能预览就不要直接执行,能草稿就不要自动发送,能局部授权就不要一次性开放全部。
还没安装的用户先核对下载页;已经装好想知道能做哪些低风险任务,可以看20 个微信远程办公指令示例。
常见问题
QClaw 需要哪些权限才算正常?
QClaw 需要的权限应和你让它执行的任务相关。整理本地文档时需要文件访问,执行桌面操作时可能需要辅助功能或自动化权限,联网模型或网页任务需要网络访问。任何与当前任务无关的敏感授权,都建议先拒绝或延后。
QClaw 会不会自动读取所有文件?
不应把“安装了桌面端”等同于“可以随意读取所有文件”。更安全的做法是按目录授权、按任务测试,先让 QClaw 列清单或生成预览,再决定是否执行移动、删除或上传类动作。
公司电脑可以装 QClaw 吗?
如果电脑属于公司或含有客户资料,安装前应确认公司 IT 与合规要求。涉及邮箱、仓库、客户文件和内部系统的 Skills,不应绕过组织授权流程自行开启。
怎么降低 QClaw 使用风险?
使用可信下载来源,限制文件访问范围,高风险操作先预览不执行,自动发送类任务保留人工确认,不常用 Skills 关闭,需要云端模型时先核对会发送哪些提示词内容。