飞书机器人消息收发失效 — 完整问题回溯报告@openclaw
问题概述:安装飞书官方插件后,造成飞书机器人无响应,但是opencalw Web界面会话正常
一、什么时间点引起的这个错误?
| 时间 | 事件 |
|---|---|
| 2026-04-09 10:52:47 | 安装官方插件@larksuite/openclaw-larkv2026.4.7 |
| 2026-04-09 10:54:11 | 配置变更:禁用内置feishu插件,启用openclaw-lark,触发 Gateway 重启 |
| 2026-04-09 10:54:43 | 🚨 首次报错:[warn] failed to obtain token→AxiosError: Request failed with status code 400 |
| 10:54:43 ~ 19:16 | 持续报错,4 个飞书 WebSocket 连接全部失败,机器人完全无响应 |
| 2026-04-09 19:16:55 | 修复完成,4 个 WebSocket 客户端全部ws client ready,恢复正常 |
二、引起的错误的原因是什么?
直接原因:官方插件openclaw-lark无法获取tenant_access_token,导致飞书 API 调用返回 HTTP 400,WebSocket 连接建立失败。错误链:
appSecret 解析失败 → tenant_access_token 获取失败("failed to obtain token") → 飞书 API 返回 400 → WebSocket 连接失败 → 机器人无法收发消息三、这个错误是因什么东西引起的?
引起错误的配置项:channels.feishu.appSecret的值是一个secrets provider 引用对象,而非明文字符串:
// ❌ 错误的配置格式(安装 openclaw-lark 之前就存在) "channels.feishu.appSecret": { "source": "file", "provider": "lark-secrets", "id": "/lark/appSecret" }这个 secrets 引用格式是内置feishu插件支持的特性(OpenClaw 原生的 secrets 机制),但官方openclaw-lark插件不支持此格式。
四、为什么会引起这个错误?
根本原因在官方插件的账号解析逻辑(src/core/accounts.js):
function getLarkAccount(cfg, accountId) { // ... // 关键:对 DEFAULT_ACCOUNT_ID,只读顶层 base config const accountOverride = accountMap && requestedId !== DEFAULT_ACCOUNT_ID ? accountMap[requestedId] // 非 default 账号 → 从 accounts 查找 : undefined; // default 账号 → 只用 base config const merged = accountOverride ? mergeAccountConfig(base, accountOverride) : { ...base }; // default 账号直接使用 base const configured = !!(merged.appId && merged.appSecret); // ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ // 当 appSecret 是对象 {source:"file",...} 而非字符串时 // JavaScript 的 !!({}) === true,但后续 LarkClient 把对象当字符串传给飞书 API // 飞书返回 400 }逻辑缺陷拆解:
DEFAULT_ACCOUNT_ID账号(即"XX"机器人)只读取channels.feishu顶层的appId/appSecret,从不查找accounts.default顶层
appSecret是一个对象{source: "file", provider: "lark-secrets", id: "/lark/appSecret"}!!merged.appSecret对对象求值返回true(JS 中!!{}===true),所以configured = true但后续
LarkClient拿到这个对象当 appSecret 用,传给飞书/open-apis/auth/v3/tenant_access_token/internal接口飞书无法识别
[object Object]这样的 appSecret,返回 400
同时,对于其他 3 个非 default 账号(Project-Manager、Full-stack-engineer、Images-AI),它们的 appSecret 是明文字符串,理论上可以正确解析。但因为官方插件还有其他兼容性问题(日志中LarkClient[default]: appId and appSecret are required表明 base config 验证先失败),导致整个初始化流程中断,所有账号都受影响。
五、这个错误出现在什么地方?
出错位置:/home/xxx/.openclaw/extensions/openclaw-lark/src/core/accounts.js
函数
getLarkAccount():对DEFAULT_ACCOUNT_ID不查找accounts.default,只读 base config函数
getLarkCredentials():不做类型检查,把对象当作 appSecret 传递LarkClient:不验证 appSecret 是否为字符串类型
日志证据:
[warn]: failed to obtain token [error]: [ '[ws]', 'Request failed with status code 400' ] [info]: [ 'ws', 'unable to connect to the server after trying 4 times")' ] [secrets]: SECRETS_REF_IGNORED_INACTIVE_SURFACE - channels.feishu.appSecret: no enabled account inherits this top-level Feishu appSecret.六、这个错误出现后造成了什么后果?
| 影响范围 | 具体后果 |
|---|---|
| XX机器人 | 无法接收/回复飞书消息(default 账号完全失效) |
| 项目经理机器人 | 无法接收/回复飞书消息(初始化链中断) |
| 全栈工程师机器人 | 无法接收/回复飞书消息(初始化链中断) |
| 图片设计专家机器人 | 无法接收/回复飞书消息(初始化链中断) |
| 定时任务 | 每日 07:30 课表天气提醒无法通过飞书推送 |
| Agent 间通信 | 无法通过飞书 @机器人 进行 agent-to-agent 交互 |
| 持续时间 | 约 8 小时 22 分钟(10:54 ~ 19:16) |
七、最后的解决方案(含详细步骤)
核心思路:将顶层channels.feishu的appId/appSecret从 secrets 引用格式改为明文字符串,使官方插件能正确解析。
详细步骤
第一步:诊断问题
# 查看 Gateway 日志,确认错误 journalctl --user -u openclaw-gateway -n 200 --no-pager | grep -i "error\|fail\|token\|400" # 发现:failed to obtain token → Request failed with status code 400第二步:定位根因
# 查看当前配置 cat ~/.openclaw/openclaw.json | python3 -c "import sys,json; d=json.load(sys.stdin); print(d['channels']['feishu']['appSecret'])" # 发现:appSecret 是对象 {source: "file", provider: "lark-secrets", id: "/lark/appSecret"} 而非字符串 # 查看官方插件的账号解析逻辑 cat ~/.openclaw/extensions/openclaw-lark/src/core/accounts.js # 发现:getLarkAccount() 对 DEFAULT_ACCOUNT_ID 只读 base config,不查 accounts.default第三步:修复配置
通过config.patch将顶层appSecret从 secrets 引用改为明文字符串:
{ "channels": { "feishu": { "appId": "xxxxxxxxxxxxxxxxxxxx", "appSecret": "xxxxxxxxxxxxxxxxxxxxxxxxxxx", "dmPolicy": "open", "allowFrom": ["xxxxxxxxxxxxxxxxxxxxxxxxxx"] } } }⚠️ 中间有一次失败的尝试(移除了顶层 appId/appSecret),因为没意识到官方插件对
DEFAULT_ACCOUNT_ID的特殊处理逻辑。修正后恢复顶层配置,但使用明文而非 secrets 引用。
第四步:验证修复
# 查看 Gateway 日志确认连接成功 journalctl --user -u openclaw-gateway --since "2026-04-09 19:16" --no-pager | grep "ws client ready" # 输出: # feishu[default]: ws client ready # feishu[project-manager]: ws client ready # feishu[full-stack-engineer]: ws client ready # feishu[images-ai]: ws client ready # 确认无错误 journalctl --user -u openclaw-gateway --since "2026-04-09 19:16" --no-pager | grep -i "error\|fail\|400" # 无输出第五步:端到端测试
在飞书上给"xx"机器人发送消息,确认收到回复。
教训与建议
安装新插件前:检查新插件是否与现有配置格式兼容(特别是 secrets 引用格式)
官方插件
openclaw-lark的已知限制:不支持
appSecret的 secrets provider 引用格式,必须使用明文字符串DEFAULT_ACCOUNT_ID账号的配置必须在channels.feishu顶层,不能只放在accounts.default中
安全建议:明文 appSecret 存在配置文件中有一定安全风险,建议确保
openclaw.json权限为0600(当前已满足)