iven/zclaw_openfang
1
0
Fork 0
Code Issues Pull Requests Actions 1 Packages Projects Releases Wiki Activity

refactor: 清理未使用代码并添加未来功能标记
Some checks failed
CI / Rust Check (push) Has been cancelled
Details
CI / Lint & TypeCheck (push) Has been cancelled
Details
CI / Unit Tests (push) Has been cancelled
Details
CI / Build Frontend (push) Has been cancelled
Details
CI / Security Scan (push) Has been cancelled
Details
CI / E2E Tests (push) Has been cancelled
Details

Browse Source 
style: 统一代码格式和注释风格

docs: 更新多个功能文档的完整度和状态

feat(runtime): 添加路径验证工具支持

fix(pipeline): 改进条件判断和变量解析逻辑

test(types): 为ID类型添加全面测试用例

chore: 更新依赖项和Cargo.lock文件

perf(mcp): 优化MCP协议传输和错误处理
This commit is contained in:
iven
2026-03-25 21:55:12 +08:00
parent aa6a9cbd84
commit bf6d81f9c6
109 changed files with 12271 additions and 815 deletions
Download Patch File Download Diff File Expand all files Collapse all files

353
plans/playful-humming-engelbart.md Normal file
View File

@@ -0,0 +1,353 @@
# ZCLAW 后端功能前端集成审查方案
## 背景
用户反馈在 Tauri 端没有看到一些已开发的功能。本方案旨在系统性地审查所有后端已实现的功能是否正确集成到前端 UI。
---
## 1. 审查发现总结
### 1.1 后端命令统计
| 模块 | 命令数量 | 前端集成状态 |
|------|---------|-------------|
| Kernel 核心 | 20 | ✅ 完整 |
| Pipeline 工作流 | 8 | ✅ 完整 |
| OpenFang/Gateway | 16 | ⚠️ 部分 |
| OpenViking CLI | 9 | ❌ 无 |
| OpenViking Server | 4 | ❌ 无 |
| Memory 记忆 | 10 | ✅ 完整 |
| Browser 自动化 | 20 | ✅ 完整 |
| Secure Storage | 4 | ❌ 无 |
| Heartbeat Engine | 9 | ✅ 完整 |
| Context Compactor | 4 | ✅ 完整 |
| Reflection Engine | 6 | ✅ 完整 |
| Identity Manager | 14 | ✅ 完整 |
| Adaptive Mesh | 8 | ⚠️ 部分 |
| **总计** | **135** | - |
### 1.2 已识别的集成缺口
#### 完全缺失前端入口
| 功能 | 后端实现位置 | 影响等级 |
|------|-------------|---------|
| **Channels 通道** | `crates/zclaw-channels/` | P1 - 用户无法配置 Discord/Slack/Telegram |
| **OpenViking CLI** | `viking_commands.rs` | P2 - 语义搜索功能不可用 |
| **Secure Storage** | `secure_storage.rs` | P2 - 密钥管理无 UI |
| **Memory Extraction** | `memory/extractor.rs` | P3 - 自动记忆提取未暴露 |
| **LLM Complete** | `llm/mod.rs` | P3 - 独立 LLM 调用无入口 |
#### 部分集成需完善
| 功能 | 当前状态 | 缺失部分 |
|------|---------|---------|
| **Triggers 触发器** | Store 存在UI 不完整 | 编辑、测试触发器 UI |
| **Approvals 审批** | Store 存在UI 不完整 | 批量操作、历史记录 |
| **Adaptive Mesh** | Store 存在,无专用 UI | 模式可视化、推荐展示 |
| **Persona Evolver** | Store 存在,无 UI | 人格演化展示 |
---
## 2. 详细审查清单
### 2.1 核心功能 (P0) - 必须可用
```markdown
聊天系统
- [ ] agent_chat - 发送消息
- [ ] agent_chat_stream - 流式响应
- [ ] 消息列表正常显示
- [ ] 多模型切换生效
Agent 管理
- [ ] agent_create - 创建分身
- [ ] agent_list - 列出分身
- [ ] agent_get - 获取详情
- [ ] agent_delete - 删除分身
- [ ] 分身配置持久化
技能系统
- [ ] skill_list - 技能列表
- [ ] skill_refresh - 刷新技能
- [ ] skill_execute - 执行技能
- [ ] 技能执行结果显示
Hands 系统
- [ ] hand_list - Hands 列表
- [ ] hand_execute - 执行 Hand
- [ ] Hand 参数配置
- [ ] 执行状态反馈
```
### 2.2 重要功能 (P1) - 影响体验
```markdown
Pipeline 工作流
- [ ] pipeline_list - 发现 Pipeline
- [ ] pipeline_run - 执行 Pipeline
- [ ] pipeline_progress - 进度显示
- [ ] pipeline_result - 结果展示
- [ ] pipeline_cancel - 取消执行
Memory 记忆
- [ ] memory_store - 存储记忆
- [ ] memory_search - 搜索记忆
- [ ] memory_stats - 统计信息
- [ ] 记忆在聊天中自动使用
Identity 身份
- [ ] identity_get - 获取身份
- [ ] identity_build_prompt - 构建提示
- [ ] identity_propose_change - 提案变更
- [ ] identity_approve/reject - 审批
Browser 自动化
- [ ] browser_create_session - 创建会话
- [ ] browser_navigate - 导航
- [ ] browser_click/type - 交互
- [ ] browser_screenshot - 截图
- [ ] browser_scrape_page - 抓取
Triggers 触发器
- [ ] trigger_list - 列表
- [ ] trigger_create - 创建
- [ ] trigger_update - 更新
- [ ] trigger_delete - 删除
- [ ] trigger_execute - 手动执行
Approvals 审批
- [ ] approval_list - 待审批列表
- [ ] approval_respond - 响应审批
```
### 2.3 缺失功能 (需新增 UI)
```markdown
Channels 通道管理 (新增)
- [ ] Discord 配置界面
- [ ] Slack 配置界面
- [ ] Telegram 配置界面
- [ ] 通道状态显示
- [ ] 消息桥接测试
OpenViking CLI (新增)
- [ ] viking_add - 添加资源
- [ ] viking_find - 语义搜索
- [ ] viking_grep - 模式搜索
- [ ] viking_ls/tree - 资源浏览
Secure Storage (新增)
- [ ] 密钥列表
- [ ] 添加/删除密钥
- [ ] 安全存储可用性检查
Adaptive Mesh (完善)
- [ ] 模式检测可视化
- [ ] 推荐展示面板
- [ ] 活动记录查看
Persona Evolver (完善)
- [ ] 人格演化历史
- [ ] 人格调整界面
```
---
## 3. 验证方法
### 3.1 代码层面验证
```bash
# 检查前端客户端是否调用所有后端命令
cd desktop/src/lib
grep -r "invoke(" *.ts | grep -oP "'[^']+'" | sort -u
# 对比后端暴露的命令
cd src-tauri/src
grep -r "#\[tauri::command\]" *.rs -A 5 | grep "pub async fn" | awk '{print $3}'
```
### 3.2 功能测试验证
```bash
# 启动开发环境
pnpm start:dev
# 检查清单
1. 打开每个面板,确认无报错
2. 测试每个按钮和交互
3. 检查浏览器控制台错误
4. 验证数据持久化
```
### 3.3 集成测试脚本
创建 `tests/integration/api-coverage.test.ts`:
- 自动扫描后端命令
- 检查前端是否有对应调用
- 生成覆盖率报告
---
## 4. 实施计划
### Phase 1: 完善现有功能 (优先级最高)
**目标**: 让已实现的后端功能在前端完全可用
| 任务 | 涉及文件 | 预估工时 |
|------|---------|---------|
| 完善 TriggersPanel | `TriggersPanel.tsx`, `CreateTriggerModal.tsx` | 4h |
| 完善 ApprovalsPanel | `ApprovalsPanel.tsx`, `ApprovalQueue.tsx` | 3h |
| 连接 Mesh 推荐 | `WorkflowRecommendations.tsx`, `meshStore.ts` | 4h |
| 完善 Persona Evolver | `personaStore.ts`, 新增 UI | 4h |
### Phase 2: 添加缺失的 UI 入口
**目标**: 为无 UI 的后端功能创建管理界面
| 任务 | 涉及文件 | 预估工时 |
|------|---------|---------|
| 创建 ChannelsPanel | 新增 `ChannelsPanel.tsx` | 6h |
| 创建 VikingPanel | 新增 `VikingPanel.tsx` | 5h |
| 创建 SecureStoragePanel | 新增 `SecureStoragePanel.tsx` | 3h |
| 集成到设置页面 | `Settings/` 目录 | 2h |
### Phase 3: 优化用户体验
| 任务 | 涉及文件 | 预估工时 |
|------|---------|---------|
| 添加功能引导 | `use-onboarding.ts` | 3h |
| 完善错误提示 | `ErrorNotification.tsx` | 2h |
| 添加操作审计 | `AuditLogsPanel.tsx` | 3h |
| 更新文档 | `docs/features/` | 2h |
---
## 5. 关键文件路径
### 后端命令注册
- `g:\ZClaw_openfang\desktop\src-tauri\src\lib.rs` - 命令汇总入口
- `g:\ZClaw_openfang\desktop\src-tauri\src\kernel_commands.rs` - 核心 API
- `g:\ZClaw_openfang\desktop\src-tauri\src\viking_commands.rs` - OpenViking CLI
- `g:\ZClaw_openfang\desktop\src-tauri\src\secure_storage.rs` - 安全存储
### 前端客户端层
- `g:\ZClaw_openfang\desktop\src\lib\kernel-client.ts` - Kernel 客户端
- `g:\ZClaw_openfang\desktop\src\lib\intelligence-client.ts` - Intelligence 客户端
- `g:\ZClaw_openfang\desktop\src\lib\browser-client.ts` - 浏览器客户端
### 前端状态管理
- `g:\ZClaw_openfang\desktop\src\store\handStore.ts` - Hands 状态
- `g:\ZClaw_openfang\desktop\src\store\meshStore.ts` - Mesh 状态
- `g:\ZClaw_openfang\desktop\src\store\personaStore.ts` - 人格状态
### 前端组件
- `g:\ZClaw_openfang\desktop\src\components\TriggersPanel.tsx`
- `g:\ZClaw_openfang\desktop\src\components\ApprovalsPanel.tsx`
- `g:\ZClaw_openfang\desktop\src\components\WorkflowRecommendations.tsx`
---
## 6. 预期成果
1. **完整的功能清单文档** - 列出所有后端功能及其前端集成状态
2. **可执行的检查清单** - 用于验证每个功能是否正常工作
3. **缺失功能 UI** - 为无 UI 的功能创建管理界面
4. **完善的现有功能** - 修复部分集成的功能
5. **更新的文档** - 反映当前系统的完整能力
---
## 7. 审查结果 - 功能集成覆盖率
### 7.1 完整集成的功能 ✅
| 功能模块 | 后端命令 | 前端客户端 | UI 组件 | Store |
|---------|---------|-----------|---------|-------|
| 聊天对话 | agent_chat, agent_chat_stream | kernel-client.ts | ChatArea.tsx | chatStore.ts |
| Agent 管理 | agent_* | kernel-client.ts | CloneManager.tsx | agentStore.ts |
| 技能系统 | skill_* | kernel-client.ts | SkillMarket.tsx | skillMarketStore.ts |
| Hands 系统 | hand_* | kernel-client.ts | HandsPanel.tsx | handStore.ts |
| Pipeline | pipeline_* | pipeline-client.ts | PipelinesPanel.tsx | workflowStore.ts |
| Browser | browser_* | browser-client.ts | BrowserHand/* | browserHandStore.ts |
| Memory | memory_* | intelligence-client.ts | MemoryPanel.tsx | - |
| Heartbeat | heartbeat_* | intelligence-client.ts | HeartbeatConfig.tsx | - |
| Compactor | compactor_* | intelligence-client.ts | (自动) | - |
| Reflection | reflection_* | intelligence-client.ts | ReflectionLog.tsx | - |
| Identity | identity_* | intelligence-client.ts | IdentityChangeProposal.tsx | - |
| Triggers | trigger_* | kernel-client.ts | TriggersPanel.tsx | handStore.ts |
| Approvals | approval_* | kernel-client.ts | ApprovalsPanel.tsx | handStore.ts |
| Mesh 推荐 | mesh_* | intelligence-client.ts | WorkflowRecommendations.tsx | meshStore.ts |
### 7.2 部分集成的功能 ⚠️
| 功能模块 | 问题 | 缺失部分 |
|---------|------|---------|
| **Persona Evolver** | 后端命令可能不存在 | `persona_evolve` 命令在 Tauri 未注册 |
| **Channels** | 只读展示,无配置入口 | 无法配置 Discord/Slack/Telegram |
| **Secure Storage** | 无专用 UI 入口 | 仅用于 API Key 存储,无管理界面 |
| **OpenFang 进程** | 无前端客户端 | openfang_process_* 命令无 UI |
### 7.3 完全缺失前端的功能 ❌ (已部分完成)
| 功能模块 | 后端实现 | 前端状态 |
|---------|---------|---------|
| **OpenViking CLI** | viking_* (9命令) | ✅ 已创建 [viking-client.ts](desktop/src/lib/viking-client.ts) 和 [VikingPanel.tsx](desktop/src/components/VikingPanel.tsx) |
| **OpenViking Server** | viking_server_* (4命令) | ✅ 已集成到 viking-client.ts |
| **Memory Extraction** | extract_session_memories | P3 - 无前端调用 |
| **LLM Complete** | llm_complete | P3 - 无专用入口 |
### 7.4 集成覆盖率统计
| 状态 | 模块数 | 百分比 |
|------|--------|--------|
| ✅ 完整集成 | 14 | 67% |
| ⚠️ 部分集成 | 4 | 19% |
| ❌ 无前端 | 4 | 14% |
| **总计** | 22 | 100% |
---
## 8. 优先修复建议
### P0 - ✅ 已完成
1. **Persona Evolver** - 在 [lib.rs](desktop/src-tauri/src/lib.rs) 添加状态初始化和命令注册
- 緻加 7 个命令: `persona_evolver_init`, `persona_evolve`, `persona_evolution_history`, `persona_evolver_state`, `persona_evolver_config`, `persona_evolver_update_config`, `persona_apply_proposal`
- 緻加状态管理: `.manage(persona_evolver_state)`
### P1 - ✅ 已完成
2. **Channels 配置 UI** - 完整重写 [IMChannels.tsx](desktop/src/components/Settings/IMChannels.tsx)
- 添加 `ChannelConfigModal` 组件
- 添加配置 Discord/Slack/Telegram/Feishu/QQ/WeChat
- 更新 [configStore.ts](desktop/src/store/configStore.ts) 添加 `name`/`config` 字段
- 集成到设置页面导航
3. **Secure Storage 管理** - 创建 [SecureStorage.tsx](desktop/src/components/Settings/SecureStorage.tsx)
- OS Keyring/Keychain 管理界面
- 查看/添加/删除/显示密钥值
- 检测 Keyring 可用性
- 集成到设置页面导航
### P2 - ✅ 已完成
4. **OpenViking UI** - 创建客户端和 UI 面板
- 创建 [viking-client.ts](desktop/src/lib/viking-client.ts) - API 客户端
- 创建 [VikingPanel.tsx](desktop/src/components/VikingPanel.tsx) - 语义搜索 UI
- 服务器状态控制、 语义搜索功能
- 集成到设置页面导航
---
## 9. 风险与注意事项
1. **Breaking Changes**: 修改现有 Store 可能影响其他组件
2. **测试覆盖**: 新增 UI 需要添加对应的测试
3. **向后兼容**: 保持现有 API 不变
4. **性能影响**: 新增功能不应影响核心聊天体验
5. **Persona Evolver**: 需要先确认后端命令是否已实现

368
plans/refactored-booping-spring.md Normal file
View File

@@ -0,0 +1,368 @@
# ZCLAW 功能集成测试计划
> **版本**: v1.0
> **创建日期**: 2026-03-25
> **目标**: 对项目功能集成的完整性、可用性进行深度及广度测试
---
## 一、背景与目标
### 1.1 为什么需要这个测试计划
基于代码深度分析ZCLAW 项目当前测试覆盖率约为 **40%**,存在以下关键问题:
| 问题 | 影响 |
|------|------|
| zclaw-types, zclaw-memory 无测试 | 基础层缺乏质量保障 |
| Hand Approval Flow 无 E2E 测试 | 核心安全功能未验证 |
| Skill Execution 无集成测试 | 自动化能力不可靠 |
| Identity Evolution 无测试 | 自演化功能未验证 |
| Rust 后端测试覆盖不均 | 关键路径缺乏验证 |
### 1.2 测试目标
- **短期**: 覆盖率从 40% 提升到 60%,补充关键路径测试
- **中期**: 覆盖率提升到 75%,建立完整测试金字塔
- **长期**: 覆盖率 80%+,集成 CI/CD 自动化测试
---
## 二、测试策略
### 2.1 测试金字塔
```
/\
/E2\ - 10% (关键用户旅程)
/2E \ - Playwright, ~15 tests
/-----\
/ \
/Integration\ - 30% (跨组件流程)
/ \ - Vitest + Rust #[tokio::test]
/-------------\
/ \
/ Unit Tests \ - 60% (独立函数/组件)
/ \ - Vitest + #[cfg(test)]
/---------------------\
```
### 2.2 优先级排序
| 优先级 | 测试类型 | 覆盖功能 |
|--------|----------|----------|
| P0 | 关键路径 | Agent Loop, Chat Flow, Hand Execution |
| P1 | 核心功能 | Skill Execution, Pipeline, Memory |
| P2 | 高级功能 | Intelligence Layer, Mesh, Team |
| P3 | 辅助功能 | UI Components, Config |
---
## 三、关键功能链路测试设计
### 3.1 Agent 创建 → 配置 → 对话 流程
**测试范围**: 用户创建 Agent → 配置模型/API → 发送消息 → 流式响应
**单元测试 (Rust)**:
```rust
// crates/zclaw-kernel/tests/agent_lifecycle.rs
- test_agent_creation_with_valid_config
- test_agent_creation_rejects_duplicate_id
- test_agent_deletion_cleans_up_session
```
**集成测试 (TypeScript)**:
```typescript
// tests/desktop/integration/agent-flow.test.ts
- creates agent and verifies persistence
- configures model and sends message
- handles concurrent agent switching
```
**E2E 测试 (Playwright)**:
```typescript
// desktop/tests/e2e/specs/agent-lifecycle.spec.ts
- AGENT-001: Full agent lifecycle (create chat delete)
```
### 3.2 Skill 发现 → 执行 流程
**测试范围**: 扫描 skills/ 目录 → 加载 SKILL.md → execute_skill 工具调用
**单元测试 (Rust)**:
```rust
// crates/zclaw-skills/tests/skill_execution.rs
- test_skill_loader_parses_valid_md
- test_skill_executor_validates_parameters
- test_skill_registry_lists_available_skills
```
**集成测试 (TypeScript)**:
```typescript
// tests/desktop/integration/skill-execution.test.ts
- loads skill catalog from gateway
- executes skill via execute_skill tool
```
### 3.3 Hand 触发 → 执行 → 审批 流程
**测试范围**: 选择 Hand → 配置参数 → 触发执行 → 审批/短路执行
**单元测试 (Rust)**:
```rust
// crates/zclaw-hands/tests/hand_execution.rs
- test_hand_registry_registers_and_executes
- test_hand_requires_approval_when_configured
- test_hand_cancellation_during_execution
```
**集成测试 (TypeScript)**:
```typescript
// tests/desktop/integration/hand-approval-flow.test.ts
- triggers hand and receives run ID
- handles needs_approval status
- rejects approval correctly
```
**E2E 测试 (Playwright)**:
```typescript
// desktop/tests/e2e/specs/hand-approval.spec.ts
- HAND-APPROVAL-001: Full approval flow
```
### 3.4 Pipeline 解析 → 执行 → 结果 流程
**测试范围**: YAML 解析 → 步骤执行 → 结果聚合
**单元测试 (Rust)**:
```rust
// crates/zclaw-pipeline/tests/pipeline_execution.rs
- test_pipeline_parser_accepts_valid_yaml
- test_pipeline_executor_runs_steps_sequentially
- test_pipeline_parallel_execution
- test_pipeline_cancellation
```
### 3.5 记忆存储 → 检索 流程
**测试范围**: 对话 → 提取 → 存储 → 检索 → 注入
**单元测试 (Rust)**:
```rust
// crates/zclaw-memory/tests/memory_operations.rs
- test_memory_store_creates_entry
- test_memory_search_by_content
- test_memory_importance_decay
```
### 3.6 心跳 → 反思 → 身份演化 流程
**测试范围**: 定时检查 → 分析模式 → 提案 → 审批
**集成测试 (TypeScript)**:
```typescript
// tests/desktop/identity-evolution.test.ts
- heartbeat tick updates status
- reflection generates proposals
```
---
## 四、测试覆盖现状与缺口
### 4.1 Rust Crate 测试现状
| Crate | 现有测试 | 覆盖率 | 缺口 |
|-------|---------|--------|------|
| zclaw-types | 0 | 0% | **CRITICAL** |
| zclaw-memory | 0 | 0% | **CRITICAL** |
| zclaw-runtime | ~29 | ~40% | 需补充 agent loop |
| zclaw-kernel | ~8 | ~25% | 需补充 registry |
| zclaw-skills | ~18 | ~60% | 良好 |
| zclaw-hands | ~5 | ~15% | **需补充** |
| zclaw-protocols | ~3 | ~30% | 部分 |
| zclaw-pipeline | ~14 | ~50% | 良好 |
### 4.2 前端测试现状
| Store | 现有测试 | 缺口 |
|-------|---------|------|
| chatStore | 15+ | 良好 |
| gatewayStore | 10+ | 良好 |
| handStore | 5 | 需补充审批流程 |
| meshStore | 0 | **需新增** |
| personaStore | 0 | **需新增** |
---
## 五、测试环境配置
### 5.1 Mock 策略
```typescript
// tests/fixtures/mock-llm-driver.ts
export class MockLlmDriver {
async complete(request: CompletionRequest): Promise<CompletionResponse> {
return { content: [{ type: 'text', text: 'Mock response' }], stop_reason: 'end_turn' };
}
}
```
```rust
// crates/zclaw-runtime/src/driver/mock.rs
pub struct MockLlmDriver {
responses: RwLock<Vec<CompletionResponse>>,
}
```
### 5.2 测试数据目录结构
```
tests/
├── fixtures/
│ ├── skills/
│ │ └── test-skill/SKILL.md
│ ├── hands/
│ │ └── test-hand.HAND.toml
│ ├── pipelines/
│ │ ├── simple.yaml
│ │ └── parallel.yaml
│ └── conversations/
│ └── sample-chat.json
├── mock-server.ts
└── setup.ts
```
---
## 六、执行计划
### 6.1 短期 (1-2 周) - 补充关键缺口
| 任务 | 优先级 | 工作量 | 关键文件 |
|------|--------|--------|----------|
| zclaw-types 单元测试 | P0 | 2d | `crates/zclaw-types/src/*.rs` |
| zclaw-memory 单元测试 | P0 | 2d | `crates/zclaw-memory/src/*.rs` |
| Hand Approval E2E 测试 | P0 | 1d | `desktop/tests/e2e/specs/hand-approval.spec.ts` |
| Skill Execution 集成测试 | P1 | 1d | `tests/desktop/integration/skill-execution.test.ts` |
### 6.2 中期 (3-4 周) - 提升覆盖率到 70%
| 任务 | 优先级 | 工作量 | 关键文件 |
|------|--------|--------|----------|
| zclaw-hands 单元测试 | P1 | 2d | `crates/zclaw-hands/src/*.rs` |
| Pipeline 执行测试 | P1 | 2d | `crates/zclaw-pipeline/src/*.rs` |
| Intelligence Layer 测试 | P2 | 3d | `desktop/src-tauri/src/intelligence/*.rs` |
| meshStore 测试 | P2 | 1d | `tests/desktop/meshStore.test.ts` |
| personaStore 测试 | P2 | 1d | `tests/desktop/personaStore.test.ts` |
### 6.3 长期 (5-8 周) - CI/CD 集成
| 任务 | 优先级 | 工作量 |
|------|--------|--------|
| 覆盖率报告设置 | P2 | 2d |
| 性能基准测试 | P3 | 3d |
| 并发压力测试 | P3 | 2d |
| 测试模式文档 | P3 | 1d |
---
## 七、关键测试文件清单
### 7.1 需要新增的测试文件
**Rust 测试**:
- `crates/zclaw-types/src/id.rs` - 添加 `#[cfg(test)] mod tests`
- `crates/zclaw-types/src/message.rs` - 添加测试
- `crates/zclaw-memory/src/store.rs` - 添加测试
- `crates/zclaw-hands/tests/hand_registry_test.rs`
- `crates/zclaw-hands/tests/browser_hand_test.rs`
**TypeScript 集成测试**:
- `tests/desktop/integration/agent-flow.test.ts`
- `tests/desktop/integration/skill-execution.test.ts`
- `tests/desktop/integration/hand-approval-flow.test.ts`
- `tests/desktop/integration/pipeline-execution.test.ts`
**E2E 测试**:
- `desktop/tests/e2e/specs/agent-lifecycle.spec.ts`
- `desktop/tests/e2e/specs/hand-approval.spec.ts`
- `desktop/tests/e2e/specs/skill-discovery.spec.ts`
- `desktop/tests/e2e/specs/identity-evolution.spec.ts`
**新增 Store 测试**:
- `tests/desktop/meshStore.test.ts`
- `tests/desktop/personaStore.test.ts`
### 7.2 需要扩展的现有文件
- `tests/desktop/chatStore.test.ts` - 添加流式响应测试
- `tests/desktop/gatewayStore.test.ts` - 添加重连测试
- `desktop/tests/e2e/specs/core-features.spec.ts` - 添加审批流程场景
---
## 八、验证方法
### 8.1 单元测试验证
```bash
# Rust 单元测试
cargo test --workspace
# TypeScript 单元测试
pnpm test
```
### 8.2 集成测试验证
```bash
# 运行集成测试
pnpm test:integration
# 特定测试文件
pnpm vitest run tests/desktop/integration/
```
### 8.3 E2E 测试验证
```bash
# 启动应用
pnpm tauri dev
# 运行 E2E 测试
pnpm test:e2e
```
### 8.4 覆盖率报告
```bash
# Rust 覆盖率
cargo tarpaulin --workspace
# TypeScript 覆盖率
pnpm test:coverage
```
---
## 九、成功标准
| 指标 | 当前 | 目标 |
|------|------|------|
| Rust 测试覆盖率 | ~40% | **75%** |
| TypeScript 测试覆盖率 | ~60% | **80%** |
| E2E 关键路径覆盖 | 50% | **100%** |
| CI/CD 集成 | 部分 | **完整** |
---
## 十、风险与缓解
| 风险 | 缓解措施 |
|------|----------|
| LLM API 测试成本高 | 使用 Mock Driver |
| E2E 测试不稳定 | 添加重试机制和等待策略 |
| 测试数据管理复杂 | 使用 fixtures 目录集中管理 |
| 并发测试干扰 | 使用隔离的测试数据库 |

207
plans/test-results-report.md Normal file
View File

@@ -0,0 +1,207 @@
# ZCLAW 功能集成测试报告
> **执行日期**: 2026-03-25
> **最后更新**: 2026-03-25 (修复后)
> **测试目的**: 找出系统可能存在的问题, 而非为了完成测试工作
---
## 一、测试执行摘要
### Rust 单元测试结果
| Crate | 测试数 | 通过 | 失败 | 状态 |
|-------|--------|------|------|------|
| zclaw-types | 52 | 52 | 0 | ✅ 通过 |
| zclaw-memory | 20 | 20 | 0 | ✅ 通过 |
| zclaw-kernel | 29 | 29 | 0 | ✅ 通过 |
| zclaw-runtime | 26 | 26 | 0 | ✅ 通过 |
| zclaw-hands | 21 | 21 | 0 | ✅ 通过 |
| zclaw-skills | 17 | 17 | 0 | ✅ 通过 |
| zclaw-channels | 0 | 0 | 0 | ⚠️ 无测试 |
| zclaw-protocols | 5 | 5 | 0 | ✅ 通过 |
| zclaw-pipeline | 14 | 14 | 0 | ✅ 通过 |
| desktop (Tauri) | 66 | 66 | 0 | ✅ 通过 |
| viking-commands | 2 | 2 | 0 | ✅ 通过 |
| orchestration | 17 | 17 | 0 | ✅ 通过 |
**总计**: 269+ 个测试, 全部通过
---
## 二、已修复的问题
### 2.1 zclaw-pipeline Serde 反序列化问题 ✅ 已修复
**问题描述**:
`Pipeline` 结构体的字段名使用 snake_case (`api_version`),但 YAML 使用 camelCase (`apiVersion`)。
**修复方案**:
添加 `#[serde(rename_all = "camelCase")]` 属性到以下结构体:
- `Pipeline`
- `PipelineMetadata`
- `PipelineSpec`
- `PipelineInput`
- `PipelineStep`
- `RetryConfig`
- `PipelineRun`
- `PipelineProgress`
- `ValidationRules`
**修复文件**: `crates/zclaw-pipeline/src/types.rs`
**提交**: 修复了 11 个测试
---
### 2.2 zclaw-pipeline 条件评估逻辑 ✅ 已修复
**问题描述**:
`evaluate_condition` 方法无法正确处理字符串 "true"/"false" 和比较表达式中的字符串字面量。
**修复方案**:
1. 添加对字符串 "true"/"false" 的布尔值转换处理
2. 在比较表达式中正确处理带引号的字符串字面量 (`'video'``"video"`)
**修复文件**: `crates/zclaw-pipeline/src/executor.rs`
**提交**: 修复了 2 个测试
---
### 2.3 zclaw-pipeline 状态解析问题 ✅ 已修复
**问题描述**:
路径 `${steps.step1.output.result}` 无法正确解析,因为 `output` 被当作一个字段名处理, 而实际上步骤输出是直接存储的。
**修复方案**:
修改 `resolve_path` 方法,在处理 `steps` 路径时:
- 识别 `output` 作为特殊关键字
- 跳过 `output` 键,直接访问步骤的输出值
- 支持两种路径格式: `steps.step_id.field``steps.step_id.output.field`
**修复文件**: `crates/zclaw-pipeline/src/state.rs`
**提交**: 修复了 3 个测试
---
## 三、其他修复
### 3.1 zclaw-skills 测试编译问题 ✅ 已修复
**问题描述**:
测试代码中使用了错误的类型导入和 `SkillId` 创建方式。
**修复方案**:
- 添加 `SkillNode`, `SkillEdge`, `SkillId` 导入
- 使用 `SkillId::new()` 代替 `.into()`
**修复文件**:
- `crates/zclaw-skills/src/orchestration/validation.rs`
- `crates/zclaw-skills/src/orchestration/planner.rs`
---
### 3.2 zclaw-kernel PPTX 导出测试问题 ✅ 已修复
**问题描述**:
测试代码中缺少 `SceneType` 导入。
**修复方案**:
添加 `use crate::generation::{..., SceneType}` 导入
**修复文件**: `crates/zclaw-kernel/src/export/pptx.rs`
---
### 3.3 desktop doctest 路径问题 ✅ 已修复
**问题描述**:
doctest 使用了 `crate::intelligence::validation::`,但模块是私有的。
**修复方案**:
将 doctest 标记为 `ignore`,因为单元测试已经覆盖了这些功能。
**修复文件**: `desktop/src-tauri/src/intelligence/validation.rs`
---
## 四、代码编译警告
### 4.1 未使用的代码 (Dead Code)
| 文件 | 警告类型 | 说明 |
|------|---------|------|
| `zclaw-runtime/src/driver/anthropic.rs` | 字段未使用 | `AnthropicStreamEvent.index` |
| `zclaw-runtime/src/driver/openai.rs` | 字段未使用 | `OpenAiStreamChoice.finish_reason` |
| `zclaw-runtime/src/driver/gemini.rs` | 字段未使用 | `GeminiDriver.client`, `base_url` |
| `zclaw-runtime/src/driver/local.rs` | 字段未使用 | `LocalDriver.client`, `base_url` |
| `zclaw-runtime/src/loop_runner.rs` | 字段未使用 | `AgentLoop.loop_guard` |
| `zclaw-kernel/src/generation.rs` | 方法未使用 | 6 个生成方法 |
| `zclaw-kernel/src/export/html.rs` | 字段/方法未使用 | `template`, `with_template` |
| `zclaw-kernel/src/export/markdown.rs` | 方法未使用 | `without_front_matter` |
| `desktop/intelligence/trigger_evaluator.rs` | 大量未使用 | 整个 `TriggerEvaluator` 系统 |
### 4.2 未使用的变量
| 文件 | 变量 | 建议 |
|------|------|------|
| `zclaw-skills/src/runner.rs:142` | `duration_ms` | 重命名为 `_duration_ms` |
| `zclaw-runtime/src/tool/builtin/web_fetch.rs:287` | `mut url` | 移除 `mut` |
---
## 五、测试覆盖缺口
### 5.1 缺少测试的模块
| 模块 | 状态 | 建议 |
|------|------|------|
| zclaw-channels | 0 测试 | 需要添加通道适配器测试 |
| desktop/intelligence | 部分覆盖 | TriggerEvaluator 等组件未测试 |
### 5.2 缺少集成测试
以下关键流程缺少端到端集成测试:
- Agent 创建 → 配置 → 对话 流程
- Skill 发现 → 执行 流程
- Hand 触发 → 审批 流程
- Pipeline 解析 → 执行 → 结果 流程
---
## 六、测试执行命令
```bash
# 运行所有 Rust 测试
cargo test --workspace
# 运行特定 crate 测试
cargo test -p zclaw-pipeline
# 运行前端测试
pnpm vitest run
# 运行 E2E 测试
pnpm test:e2e
```
---
## 七、结论
**整体健康度**: 🟢 良好 (269+ 测试全部通过)
**关键发现**:
-**Serde 序列化问题已修复** - Pipeline YAML 解析现在正确支持 camelCase 字段名
-**条件评估逻辑已修复** - 布尔值和字符串比较现在正常工作
-**状态解析已修复** - 步骤输出访问现在支持 `output` 关键字
- ⚠️ **大量未使用代码** - 表明存在未完成的功能或重构残留
- ⚠️ **测试覆盖缺口** - 部分模块缺少测试
**下一步建议**:
1. 清理未使用的代码Dead Code
2. 为 zclaw-channels 添加测试
3. 添加端到端集成测试
4. 考虑运行前端 TypeScript 测试

196
plans/vivid-drifting-brook.md Normal file
View File

@@ -0,0 +1,196 @@
# ZCLAW 项目存量分析与交付优化方案
## 上下文
**目标**: 对 ZCLAW 项目进行深度和广度的梳理分析,了解项目存量,目标是完善系统并交付上线,不要过度开发和演化。
**分析日期**: 2026-03-25
**选定方向**: 先完成现有功能,确保核心功能可用
**交付必需功能**:
1. ✅ 文件工具 (file_read/file_write) - 实现路径安全验证
2. ✅ MCP 客户端集成 - 连接 BasicMcpClient 到 McpTransport
3. ✅ Triggers/Approvals API - 需要后端+前端配合
---
## 一、项目存量分析
### 1.1 项目规模
| 层级 | 组件数量 | 说明 |
|------|----------|------|
| 前端组件 | ~100 个 | React + TypeScript |
| Rust Crates | 8 个 | zclaw-types/memory/runtime/kernel/skills/hands/channels/protocols/pipeline |
| Rust 源文件 | ~90 个 | 后端核心能力 |
| 文档 | ~100 个 | 架构、知识库、计划等 |
| Store | 15+ 个 | Zustand 状态管理 |
### 1.2 功能完成度
| 功能模块 | 状态 | 说明 |
|----------|------|------|
| 聊天界面 | ✅ 完成 | 流式响应、多模型切换 |
| 分身管理 | ✅ 完成 | 创建、配置、切换 Agent |
| 自动化面板 | ✅ 完成 | Hands 触发、参数配置 |
| 技能系统 | ✅ 完成 | SKILL.md 解析、执行器 |
| Pipeline DSL | ✅ 完成 | 自动化工作流 |
| Intelligence Layer | ✅ 90% | 已迁移至 RustAgent Swarm TODO |
| MCP 协议 | ⚠️ 部分 | 传输层完成,客户端未集成 |
| Browser Hand | ✅ 完成 | 浏览器自动化 |
| Channel 适配器 | ⚠️ 占位 | Telegram/Discord/Slack 未实现 |
| 文件工具 | ⚠️ 占位 | 读写占位,缺路径验证 |
| Triggers/Approvals | ❌ 未实现 | 后端有类型定义,无 API |
---
## 二、待完成功能详细分析
### 2.1 文件工具 (file_read/file_write)
**现状**:
- `crates/zclaw-runtime/src/tool/builtin/file_read.rs` - 返回占位内容
- `crates/zclaw-runtime/src/tool/builtin/file_write.rs` - 返回假成功
- 安全配置已存在: `config/security.toml` 定义了 `allowed_paths``blocked_paths`
**实现方案**:
1. 在 ToolContext 中添加路径验证器
2. 实现 `validate_path()` 函数,检查 allowed/blocked paths
3. 实现真实的文件读写操作
4. 添加文件大小限制检查
**修改文件**:
- `crates/zclaw-runtime/src/tool/builtin/file_read.rs`
- `crates/zclaw-runtime/src/tool/builtin/file_write.rs`
- `crates/zclaw-runtime/src/tool/mod.rs` (添加 PathValidator)
### 2.2 MCP 客户端集成
**现状**:
- `crates/zclaw-protocols/src/mcp_transport.rs` - ✅ 完整实现 stdio 传输
- `crates/zclaw-protocols/src/mcp.rs` - BasicMcpClient 使用 HTTP返回占位
**实现方案**:
1. 让 BasicMcpClient 使用 McpTransport 而非 reqwest::Client
2. 或者创建新的 StdioMcpClient 包装 McpTransport
**修改文件**:
- `crates/zclaw-protocols/src/mcp.rs` - 重构 BasicMcpClient
### 2.3 Triggers/Approvals API
**现状**:
- 后端类型定义完整: `crates/zclaw-hands/src/trigger.rs` (TriggerConfig, TriggerType, TriggerState)
- 前端 API 占位: `desktop/src/lib/kernel-client.ts:771-785` 抛出 "Not implemented"
- Tauri 命令缺失: 无 trigger/approval 相关命令
**实现方案**:
1. **后端**: 在 zclaw-kernel 添加 trigger/approval 管理
2. **Tauri**: 添加 trigger_list, trigger_create, trigger_update, trigger_delete 命令
3. **前端**: 连接 kernel-client 到 Tauri 命令
**修改文件**:
- `crates/zclaw-kernel/src/kernel.rs` - 添加 trigger/approval 方法
- `desktop/src-tauri/src/kernel_commands.rs` - 添加 Tauri 命令
- `desktop/src/lib/kernel-client.ts` - 实现前端 API
---
## 三、实施计划
### Phase 1: 文件工具 (预计 2-3 小时)
1. 创建 `crates/zclaw-runtime/src/tool/path_validator.rs`
2. 实现 PathValidator 结构体
3. 更新 file_read.rs 和 file_write.rs
4. 添加单元测试
### Phase 2: MCP 客户端集成 (预计 1-2 小时)
1. 重构 BasicMcpClient 使用 McpTransport
2. 测试与真实 MCP server 的连接
### Phase 3: Triggers/Approvals API - 完整实现 (预计 4-6 小时)
**后端实现**:
1. 创建 `crates/zclaw-kernel/src/trigger_manager.rs`
- TriggerManager 结构体
- CRUD 操作 (create, read, update, delete, list)
- 状态持久化 (SQLite)
- 触发器执行调度 (tokio::time 定时任务)
2. 更新 `crates/zclaw-kernel/src/kernel.rs`
- 添加 trigger_manager 字段
- 暴露 trigger 方法
**Tauri 命令**:
3. 更新 `desktop/src-tauri/src/kernel_commands.rs`
- `trigger_list` - 列出所有触发器
- `trigger_create` - 创建触发器
- `trigger_update` - 更新触发器
- `trigger_delete` - 删除触发器
- `trigger_get` - 获取单个触发器
- `approval_list` - 列出待审批
- `approval_respond` - 响应审批
**前端实现**:
4. 更新 `desktop/src/lib/kernel-client.ts`
- 实现 listTriggers, createTrigger, updateTrigger, deleteTrigger
- 实现 listApprovals, respondToApproval
5. 更新 `desktop/src/store/handStore.ts`
- 连接到新的 kernel-client API
**端到端测试**:
6. 在自动化面板验证触发器创建和执行
---
## 四、验证方案
### 文件工具验证
```bash
# 运行 Rust 测试
cargo test -p zclaw-runtime --lib tool
# 手动验证
# 在聊天中让 Agent 读取/写入文件
```
### MCP 验证
```bash
# 启动 MCP server
npx -y @anthropic/mcp-server-filesystem /tmp/test
# 在 ZCLAW 中添加 MCP 服务并测试工具列表
```
### Triggers 验证
```bash
# 运行前端测试
pnpm vitest run tests/desktop/gatewayStore.test.ts
# 手动验证
# 在自动化面板创建触发器,检查是否保存和执行
```
---
## 五、风险评估
| 风险 | 可能性 | 影响 | 缓解措施 |
|------|--------|------|----------|
| 文件工具路径验证绕过 | 中 | 高 | 严格测试边界情况 |
| MCP 协议版本不兼容 | 低 | 中 | 使用标准 MCP 1.0 |
| Triggers 状态持久化 | 中 | 中 | 使用 SQLite |
---
## 六、不纳入本次交付的内容
- Local LLM 驱动 (Ollama) - 用户未选择
- Channel 适配器 (Telegram/Discord/Slack) - 非核心功能
- Agent Swarm - 标记为 TODO
- Store 迁移完成 - 质量改进,非功能
- 测试覆盖率提升 - 持续改进

447
plans/whimsical-mapping-patterson-agent-a62540065e70912bf.md Normal file
View File

@@ -0,0 +1,447 @@
# ZCLAW 前端代码审查报告
**审查日期**: 2026-03-25
**审查范围**: Intelligence Layer Phase 4 前端实现
**审查员**: Code Reviewer Agent
---
## 执行摘要
本次审查针对 ZCLAW 项目的 Intelligence Layer Phase 4 前端实现。整体来看,**后端 Rust 实现质量较高**,但**前端存在一个严重的阻塞性问题** - `personaStore.ts` 文件包含严重的语法错误,完全无法编译。
### 问题严重性分布
| 严重性 | 数量 | 说明 |
|--------|------|------|
| **CRITICAL (必须修复)** | 1 | personaStore.ts 语法错误导致编译失败 |
| **IMPORTANT (应该修复)** | 4 | 类型安全、API 集成、错误处理问题 |
| **SUGGESTION (建议改进)** | 3 | 代码组织、文档、测试相关 |
---
## 一、CRITICAL 问题 (必须立即修复)
### 1.1 personaStore.ts 语法完全损坏
**文件**: `G:\ZClaw_openfang\desktop\src\store\personaStore.ts`
**问题描述**: 该文件包含严重的语法错误,看起来像是 AI 生成的代码片段被错误地粘贴在一起,无法通过 TypeScript 编译。
**具体问题**:
```typescript
// 第 19-26 行 - 完全无效的语法
import {
toFrontendMemory, (e: MemoryEntryForAnalysis): MemoryEntryForAnalysis[] {
toFrontendProposal = (p: EvolutionProposal): FrontendProposal => {
const current = result.proposals.map((proposal) => proposal);
const accepted = result.proposals.filter(p => p.status === ProposalStatus::Pending);
const dismissed = result.proposals.filter(p => p.id !== proposal.id);
return proposals;
},}
```
**问题分析**:
1. 第 19 行开始了一个 import 语句,但立即混入了函数定义
2. 使用了 Rust 风格的 `::` 语法 (`ProposalStatus::Pending`)
3. 第 26-32 行包含不完整的代码片段
4. 整个文件没有有效的 Zustand store 定义
**影响**:
- 前端项目无法编译
- Persona Evolution 功能完全不可用
- 可能影响其他 store 的正常工作
**修复建议**:
1. 完全重写该文件
2. 参考 `meshStore.ts` 的实现模式
3. 确保使用正确的 TypeScript/JavaScript 语法
4. 添加完整的类型定义和 store 结构
**正确实现示例**:
```typescript
import { create } from 'zustand';
import { invoke } from '@tauri-apps/api/core';
import type {
EvolutionResult,
EvolutionProposal,
PersonaEvolverConfig,
} from '../lib/intelligence-client';
export interface PersonaEvolutionState {
currentAgentId: string;
proposals: EvolutionProposal[];
history: EvolutionResult[];
isLoading: boolean;
error: string | null;
config: PersonaEvolverConfig;
showProposalsPanel: boolean;
// Actions
evolve: (agentId: string) => Promise<void>;
acceptProposal: (proposalId: string) => Promise<void>;
dismissProposal: (proposalId: string) => Promise<void>;
loadHistory: (limit?: number) => Promise<void>;
updateConfig: (config: Partial<PersonaEvolverConfig>) => Promise<void>;
clearError: () => void;
}
export const usePersonaEvolutionStore = create<PersonaEvolutionState>((set, get) => ({
currentAgentId: 'default',
proposals: [],
history: [],
isLoading: false,
error: null,
config: {
auto_profile_update: true,
min_preferences_for_update: 3,
min_conversations_for_evolution: 5,
enable_instruction_refinement: true,
enable_soul_evolution: true,
max_proposals_per_cycle: 3,
},
showProposalsPanel: false,
evolve: async (agentId: string) => {
set({ isLoading: true, error: null });
try {
const result = await invoke<EvolutionResult>('persona_evolve', {
agentId,
memories: [], // TODO: Get memories from memory store
});
set((state) => ({
history: [result, ...state.history],
proposals: result.proposals,
isLoading: false,
}));
} catch (err) {
set({
error: err instanceof Error ? err.message : String(err),
isLoading: false,
});
}
},
acceptProposal: async (proposalId: string) => {
try {
const proposal = get().proposals.find((p) => p.id === proposalId);
if (!proposal) return;
await invoke('persona_apply_proposal', { proposal });
set((state) => ({
proposals: state.proposals.filter((p) => p.id !== proposalId),
}));
} catch (err) {
set({ error: err instanceof Error ? err.message : String(err) });
}
},
dismissProposal: async (proposalId: string) => {
set((state) => ({
proposals: state.proposals.filter((p) => p.id !== proposalId),
}));
},
loadHistory: async (limit = 10) => {
try {
const history = await invoke<EvolutionResult[]>('persona_evolution_history', { limit });
set({ history });
} catch (err) {
console.error('Failed to load evolution history:', err);
}
},
updateConfig: async (config: Partial<PersonaEvolverConfig>) => {
try {
const newConfig = { ...get().config, ...config };
await invoke('persona_evolver_update_config', { config: newConfig });
set({ config: newConfig });
} catch (err) {
set({ error: err instanceof Error ? err.message : String(err) });
}
},
clearError: () => set({ error: null }),
}));
```
---
## 二、IMPORTANT 问题 (应该修复)
### 2.1 intelligence-client.ts 缺少类型导出
**文件**: `G:\ZClaw_openfang\desktop\src\lib\intelligence-client.ts`
**问题描述**: `personaStore.ts` 尝试导入 `ProfileUpdate``PersonaEvolverConfig` 等类型,但这些类型在后端定义,前端 `intelligence-client.ts` 没有正确导出。
**位置**: 第 114-131 行
**当前代码**:
```typescript
export type {
HeartbeatConfig,
// ... 其他类型
IdentitySnapshot,
} from './intelligence-backend';
```
**缺失类型**:
- `ProfileUpdate`
- `EvolutionProposal`
- `EvolutionResult`
- `EvolutionChangeType`
- `EvolutionInsight`
- `InsightCategory`
- `PersonaEvolverConfig`
- `PersonaEvolverState`
**修复建议**:
1.`intelligence-client.ts` 添加缺失的类型导出
2. 或者在 `intelligence-backend.ts` 中添加前端兼容的类型定义
### 2.2 WorkflowRecommendations.tsx 缺少 Mesh 命令的 Accept/Dismiss 处理
**文件**: `G:\ZClaw_openfang\desktop\src\components\WorkflowRecommendations.tsx`
**问题描述**: 组件调用了 `acceptRecommendation``dismissRecommendation`,但后端 Tauri 命令 (`mesh_accept_recommendation`, `mesh_dismiss_recommendation`) 没有在 `mesh.rs` 中实现。
**位置**: 第 82-83 行
```typescript
onAccept={() => acceptRecommendation(rec.id)}
onDismiss={() => dismissRecommendation(rec.id)}
```
**后端缺失**: `mesh.rs` 中只有以下命令:
- `mesh_init`
- `mesh_analyze`
- `mesh_record_activity`
- `mesh_get_patterns`
- `mesh_update_config`
- `mesh_decay_patterns`
**修复建议**:
1.`mesh.rs` 添加 `mesh_accept_recommendation``mesh_dismiss_recommendation` 命令
2. 或者在 `meshStore.ts` 中实现本地状态管理,不依赖后端
### 2.3 kernel-client.ts Triggers API 错误处理不一致
**文件**: `G:\ZClaw_openfang\desktop\src\lib\kernel-client.ts`
**问题描述**: Triggers API 方法中,部分方法使用 try-catch 返回空数组,部分直接抛出异常。
**不一致示例**:
```typescript
// 第 771-788 行 - 捕获错误返回空数组
async listTriggers(): Promise<{...}> {
try {
const triggers = await invoke<...>('trigger_list');
return { triggers };
} catch (error) {
console.error('[kernel-client] listTriggers error:', error);
return { triggers: [] }; // 返回空数组
}
}
// 第 871-883 行 - 直接抛出异常
async updateTrigger(id: string, updates: {...}): Promise<{...}> {
return invoke<...>('trigger_update', { id, updates }); // 不捕获错误
}
```
**修复建议**:
统一错误处理策略:
1. 查询类方法 (list, get) 可以返回空值/空数组
2. 修改类方法 (create, update, delete) 应该抛出错误让调用方处理
### 2.4 meshStore.ts 使用 localStorage 获取 agentId
**文件**: `G:\ZClaw_openfang\desktop\src\store\meshStore.ts`
**问题描述**: 多处使用 `localStorage.getItem('currentAgentId')` 获取 agent ID这种方式容易出错且难以维护。
**位置**: 第 60, 82, 96, 111, 119, 129, 140 行
**示例**:
```typescript
const agentId = localStorage.getItem('currentAgentId') || 'default';
```
**问题**:
1. 如果 localStorage 中的值与实际状态不同步会导致数据不一致
2. 没有类型安全保证
3. 测试困难
**修复建议**:
1. 在 store 中维护 `currentAgentId` 状态
2. 或从父级 store/props 获取 agentId
---
## 三、SUGGESTION 问题 (建议改进)
### 3.1 WorkflowRecommendations.tsx 组件职责过重
**文件**: `G:\ZClaw_openfang\desktop\src\components\WorkflowRecommendations.tsx`
**观察**: 组件包含 341 行代码,包含两个子组件和复杂的类型处理逻辑。
**建议**:
1.`RecommendationCard``PatternCard` 提取到单独文件
2.`getPatternTypeLabel` 函数提取到 utils 文件
### 3.2 缺少单元测试
**观察**: 新增的前端文件 (`personaStore.ts`, `meshStore.ts`, `WorkflowRecommendations.tsx`) 没有对应的测试文件。
**建议**:
根据项目 `testing.md` 规范,添加单元测试确保 80% 覆盖率。
### 3.3 后端 Rust 文档注释不一致
**观察**: `trigger_evaluator.rs` 中部分函数缺少文档注释,如 `evaluate_composite` 使用了 Pin<Box> 复杂类型但没有充分解释。
**建议**:
添加更详细的文档注释,解释设计决策。
---
## 四、计划对齐分析
### 4.1 与 vivid-drifting-brook.md 计划的对比
| 计划项 | 实现状态 | 说明 |
|--------|----------|------|
| 文件工具路径验证 | 未在本次审查范围 | 需要单独验证 |
| MCP 客户端集成 | 未在本次审查范围 | 需要单独验证 |
| Triggers/Approvals API | **部分实现** | 后端有类型,前端有 API但 Tauri 命令缺失 |
| Pattern Detector | **完成** | `pattern_detector.rs` 实现完整 |
| Workflow Recommender | **完成** | `recommender.rs` 实现完整 |
| Adaptive Mesh | **完成** | `mesh.rs` 实现完整,缺少 accept/dismiss 命令 |
| Trigger Evaluator | **完成** | `trigger_evaluator.rs` 实现完整 |
| Persona Evolver | **后端完成** | Rust 实现完整,前端 store 损坏 |
### 4.2 偏离分析
**无正当理由的偏离**:
- `personaStore.ts` 的损坏代码不应该被提交
**合理的偏离**:
- 后端实现比计划更完善,增加了 Tauri 命令支持
---
## 五、代码质量评估
### 5.1 后端 Rust 代码 (优秀)
**优点**:
1. 完整的类型定义和文档注释
2. 遵循 Rust 最佳实践
3. 包含单元测试
4. 错误处理适当
**示例** (`mesh.rs` 第 54-63 行):
```rust
impl Default for MeshConfig {
fn default() -> Self {
Self {
enabled: true,
min_confidence: 0.6,
max_recommendations: 5,
analysis_window_hours: 24,
}
}
}
```
### 5.2 前端 TypeScript 代码 (混合)
**优点**:
1. `intelligence-client.ts``kernel-client.ts` 实现完整
2. `meshStore.ts` 遵循 Zustand 最佳实践
3. `WorkflowRecommendations.tsx` UI 实现完整
**缺点**:
1. `personaStore.ts` 完全损坏
2. 类型导出不完整
3. 缺少测试
---
## 六、安全性检查
### 6.1 通过项
- [x] 无硬编码密钥
- [x] 用户输入通过 Tauri invoke 传递 (类型安全)
- [x] 无 XSS 风险 (React 自动转义)
### 6.2 注意事项
- `localStorage` 使用可能存在数据泄露风险 (非敏感数据)
---
## 七、行动项清单
### 必须修复 (阻塞)
1. **[CRITICAL]** 完全重写 `personaStore.ts` 文件
- 负责人: 前端开发者
- 预计时间: 2-4 小时
### 应该修复 (高优先级)
2. **[IMPORTANT]** 在 `intelligence-client.ts` 添加缺失的类型导出
- 预计时间: 30 分钟
3. **[IMPORTANT]** 在 `mesh.rs` 添加 `mesh_accept_recommendation``mesh_dismiss_recommendation` 命令
- 预计时间: 1 小时
4. **[IMPORTANT]** 统一 `kernel-client.ts` 中的错误处理策略
- 预计时间: 1 小时
5. **[IMPORTANT]** 重构 `meshStore.ts` 中的 agentId 获取方式
- 预计时间: 30 分钟
### 建议改进 (低优先级)
6. **[SUGGESTION]** 拆分 `WorkflowRecommendations.tsx` 组件
- 预计时间: 1-2 小时
7. **[SUGGESTION]** 添加前端单元测试
- 预计时间: 4-6 小时
8. **[SUGGESTION]** 完善后端文档注释
- 预计时间: 1 小时
---
## 八、总结
### 优点
1. **后端实现质量高**: Rust 代码结构清晰,类型安全,文档完整
2. **架构设计合理**: Intelligence Layer 的模块划分清晰
3. **核心功能完整**: Pattern Detection 和 Workflow Recommendation 实现完善
### 需要改进
1. **personaStore.ts 必须重写**: 当前代码完全不可用
2. **类型导出不完整**: 前端无法正确使用后端定义的类型
3. **API 不一致**: 部分 Tauri 命令缺失,错误处理策略不统一
### 建议
1. **立即修复 personaStore.ts** - 这是阻塞性问题
2. **添加 CI 检查** - 确保类似损坏代码不会合并
3. **补充单元测试** - 防止回归问题
---
**审查完成时间**: 2026-03-25
**下一步**: 修复 CRITICAL 问题后可继续开发

293
plans/whimsical-mapping-patterson-agent-ae164c5c54d22eaf5.md Normal file
View File

@@ -0,0 +1,293 @@
# ZCLAW Rust Crates Code Review Report
## Architecture Evaluation (7.5/10)
The ZCLAW Rust backend demonstrates a well-organized layered architecture with clear separation of concerns. The crate structure follows the documented dependency hierarchy (types -> memory -> runtime -> kernel). However, there are several areas that need improvement in terms of code completeness, security hardening, and consistency.
**Strengths:**
- Clean layered architecture with proper dependency direction
- Comprehensive type system with unified error handling
- Good use of async/await patterns with proper synchronization
- Security-conscious design with path validation and shell execution controls
**Areas for Improvement:**
- Stub implementations in core components
- Incomplete integration of new modules
- Missing test coverage in critical paths
- Some security concerns in shell execution
---
## Critical Issues (Critical)
### 1. [Security] Shell Command Timeout Check is Ineffective
**File:** `G:\ZClaw_openfang\crates\zclaw-runtime\src\tool\builtin\shell_exec.rs`
**Lines:** 195-209
**Problem:** The timeout check occurs AFTER command execution completes, not during execution. If a command hangs, it will never timeout because the check happens after `output()` returns.
```rust
// Current (ineffective):
let output = tokio::task::spawn_blocking(move || {
cmd.output()
})
.await
...
let duration = start.elapsed();
if duration > Duration::from_secs(timeout_secs) {
return Err(...); // Too late - command already finished!
}
```
**Recommendation:** Use `tokio::time::timeout` wrapper around the blocking task, or use async process spawning with `tokio::process::Command` which supports proper timeout handling.
### 2. [Security] Shell Command Parsing is Fragile
**File:** `G:\ZClaw_openfang\crates\zclaw-runtime\src\tool\builtin\shell_exec.rs`
**Lines:** 170-177
**Problem:** Simple whitespace splitting fails for commands with quoted arguments:
- `echo "hello world"` becomes `["echo", "\"hello", "world\""]` instead of `["echo", "hello world"]`
- This can lead to unexpected behavior and potential security bypasses
**Recommendation:** Use `shlex` crate for proper shell-style quoting, or switch to structured command input (separate program and args in JSON schema).
### 3. [Architecture] TriggerManager Not Integrated with Kernel
**File:** `G:\ZClaw_openfang\crates\zclaw-kernel\src\kernel.rs`
**Lines:** 424-482
**Problem:** The `TriggerManager` is defined but never instantiated in `Kernel`. All trigger-related methods in `Kernel` are stub implementations that return empty lists or errors.
```rust
// All stubs - TriggerManager exists but is not used
pub async fn list_triggers(&self) -> Vec<crate::trigger_manager::TriggerEntry> {
Vec::new() // Stub!
}
```
**Recommendation:** Either:
1. Complete the integration by adding `TriggerManager` as a field in `Kernel` and wiring up the methods
2. Remove the stub methods entirely to avoid confusion
3. Add `#[deprecated]` markers if this is intentionally deferred
### 4. [Architecture] PathValidator Never Passed to Tools
**File:** `G:\ZClaw_openfang\crates\zclaw-runtime\src\loop_runner.rs`
**Lines:** 80-88, 345-351
**Problem:** The `ToolContext` created in `create_tool_context()` and in `run_streaming()` always sets `path_validator: None`, despite `PathValidator` being implemented for security.
```rust
fn create_tool_context(&self, session_id: SessionId) -> ToolContext {
ToolContext {
...
path_validator: None, // Always None!
}
}
```
**Impact:** File tools fall back to creating their own validators with default settings, defeating the purpose of centralized security configuration.
**Recommendation:** Add `PathValidator` configuration to `AgentLoop` and pass it through to `ToolContext`.
---
## Important Issues (Important)
### 5. [Concurrency] Potential Deadlock in TriggerManager
**File:** `G:\ZClaw_openfang\crates\zclaw-kernel\src\trigger_manager.rs`
**Lines:** 209-221
**Problem:** The `should_fire` method acquires `triggers` read lock, then tries to acquire `states` read lock. Other methods acquire these locks in different orders, which could lead to deadlock.
```rust
let triggers = self.triggers.read().await;
// ... then later ...
let states = self.states.read().await;
```
**Recommendation:** Always acquire locks in the same order globally, or use a single combined state structure, or use `tokio::sync::RwLock` with `try_read` and retry logic.
### 6. [Error Handling] MCP Transport Silently Discards stderr
**File:** `G:\ZClaw_openfang\crates\zclaw-protocols\src\mcp_transport.rs`
**Line:** 131
**Problem:** stderr is redirected to null, making debugging MCP server issues very difficult.
```rust
cmd.stdin(Stdio::piped())
.stdout(Stdio::piped())
.stderr(Stdio::null()); // All error output lost!
```
**Recommendation:** Capture stderr in a separate task and log it via `tracing`, or provide a configuration option to capture it.
### 7. [Error Handling] Missing MCP Process Cleanup
**File:** `G:\ZClaw_openfang\crates\zclaw-protocols\src\mcp_transport.rs`
**Lines:** 86-92
**Problem:** The `McpTransport` stores a `Child` process but never implements `Drop` to kill the child process when the transport is dropped. This leads to orphaned processes.
**Recommendation:** Implement `Drop` for `McpTransport` to kill the child process:
```rust
impl Drop for McpTransport {
fn drop(&mut self) {
// Kill child process if running
}
}
```
### 8. [Code Quality] Unused Assignment in TriggerManager::execute_trigger
**File:** `G:\ZClaw_openfang\crates\zclaw-kernel\src\trigger_manager.rs`
**Line:** 317
**Problem:** The return value handling is confusing - it maps the hand result to trigger result but the logic is unclear:
```rust
hand_result.map(|_| trigger_result) // Returns trigger_result, not hand result
```
**Recommendation:** Clarify the intent with a comment or restructure to make the mapping more explicit.
### 9. [Type Safety] Missing Clone Implementation for ToolContext
**File:** `G:\ZClaw_openfang\crates\zclaw-runtime\src\tool.rs`
**Lines:** 63-73
**Problem:** Manual `Clone` implementation is provided but `Debug` is also manual. Consider deriving these where possible, or document why manual implementation is needed.
**Recommendation:** If `SkillExecutor` trait object needs special handling, document this. Otherwise, consider restructuring to allow derive macros.
### 10. [Performance] Inefficient Tool Lookup
**File:** `G:\ZClaw_openfang\crates\zclaw-runtime\src\tool.rs`
**Lines:** 90-91
**Problem:** Tool lookup is O(n) linear search through the vector:
```rust
pub fn get(&self, name: &str) -> Option<Arc<dyn Tool>> {
self.tools.iter().find(|t| t.name() == name).cloned()
}
```
**Recommendation:** Use a `HashMap<String, Arc<dyn Tool>>` for O(1) lookups, especially important since tools are looked up frequently in the agent loop.
---
## Minor Issues (Minor)
### 11. [Style] Inconsistent Default Implementations
**File:** `G:\ZClaw_openfang\crates\zclaw-kernel\src\trigger_manager.rs`
**Lines:** 43-45
**Problem:** Default functions defined at module level rather than inline:
```rust
fn default_max_executions_per_hour() -> u32 { 10 }
fn default_persist() -> bool { true }
```
**Recommendation:** Use inline defaults where possible: `#[serde(default = "10")]` doesn't work, but consider using `const` values for clarity.
### 12. [Documentation] Missing Safety Documentation
**File:** `G:\ZClaw_openfang\crates\zclaw-runtime\src\tool\builtin\path_validator.rs`
**Problem:** The `PathValidator` has good comments but lacks `# Safety` sections for the security-critical functions.
**Recommendation:** Add `# Security` documentation sections explaining what guarantees each validation method provides.
### 13. [Style] Hardcoded Chinese String in Loop Runner
**File:** `G:\ZClaw_openfang\crates\zclaw-runtime\src\loop_runner.rs`
**Lines:** 117, 238
**Problem:** Hardcoded Chinese error message:
```rust
let error_msg = "Reach maximum iterations, please simplify request";
```
vs line 238:
```rust
let _ = tx.send(LoopEvent::Error("Reach maximum iterations".to_string())).await;
```
**Recommendation:** Use consistent language (Chinese per project requirements) and consider extracting to constants or i18n.
### 14. [Test Coverage] PathValidator Tests Only Cover Happy Paths
**File:** `G:\ZClaw_openfang\crates\zclaw-runtime\src\tool\builtin\path_validator.rs`
**Lines:** 327-365
**Problem:** Tests only check basic functionality. Missing tests for:
- Symlink blocking
- Max file size enforcement
- Blocked path detection on Windows
- Allowed paths whitelist behavior
**Recommendation:** Add comprehensive security tests, especially for edge cases.
### 15. [Architecture] Kernel::categorize_skills Has Hardcoded Categories
**File:** `G:\ZClaw_openfang\crates\zclaw-kernel\src\kernel.rs`
**Lines:** 177-189
**Problem:** Skill categories are hardcoded with Chinese names and specific skill IDs. This makes maintenance difficult.
**Recommendation:** Move category patterns to configuration file or use skill metadata for categorization.
---
## Highlights
### 1. Excellent Path Validator Design
The `PathValidator` in `path_validator.rs` is well-designed with:
- Clear separation of concerns
- Proper handling of symlinks, path traversal, and size limits
- Good default blocked paths for security
- Cross-platform considerations (Unix and Windows paths)
### 2. Clean Async Architecture
The agent loop in `loop_runner.rs` demonstrates excellent use of:
- Proper async/await patterns
- Channel-based streaming
- Multi-turn tool calling support
- Clean separation between streaming and non-streaming paths
### 3. Comprehensive Error Types
The `ZclawError` enum in `error.rs` covers all major error categories with proper `thiserror` integration, making error handling consistent across the codebase.
### 4. Well-Structured MCP Protocol Implementation
The MCP types and transport layer in `mcp_types.rs` and `mcp_transport.rs` provide:
- Complete JSON-RPC 2.0 implementation
- Clean type-safe request/response handling
- Good use of serde for serialization
---
## Summary and Recommendations
### Immediate Actions Required
1. **Fix shell_exec timeout** - This is a security issue that could allow commands to run indefinitely
2. **Complete TriggerManager integration** - Either integrate it or remove the stub methods
3. **Wire up PathValidator in AgentLoop** - Security configuration is being bypassed
### Short-term Improvements
4. Add MCP process cleanup on drop
5. Fix potential deadlock in TriggerManager
6. Improve tool lookup performance with HashMap
7. Capture MCP stderr for debugging
### Long-term Considerations
8. Add comprehensive security tests
9. Move hardcoded configurations to external files
10. Consider adding metrics/observability hooks
### Code Quality Score Breakdown
| Category | Score | Notes |
|----------|-------|-------|
| Architecture | 8/10 | Clean layers, good separation |
| Security | 6/10 | Good foundation but gaps in implementation |
| Error Handling | 8/10 | Comprehensive types, consistent usage |
| Concurrency | 7/10 | Proper async, some lock ordering concerns |
| Test Coverage | 5/10 | Basic tests, missing edge cases |
| Documentation | 6/10 | Module docs good, inline docs sparse |
| Code Style | 7/10 | Generally consistent, some hardcoded values |
**Overall: 7.5/10** - Solid foundation with some critical gaps that need addressing before production use.

336
plans/whimsical-mapping-patterson.md Normal file
View File

@@ -0,0 +1,336 @@
# ZCLAW 项目代码审查报告
> **审查日期**: 2026-03-25
> **审查范围**: Rust 后端 crates、前端 TypeScript、安全性、架构设计
---
## 综合评估
| 维度 | 评分 | 说明 |
|------|------|------|
| **架构设计** | 8/10 | 清晰的分层架构,依赖方向正确 |
| **安全性** | 7/10 | 已修复关键问题,基础良好 |
| **代码质量** | 7/10 | 后端规范,前端编译通过 |
| **错误处理** | 8/10 | 统一的 ZclawError 类型 |
| **并发安全** | 7/10 | 正确使用 async/await有锁顺序问题 |
| **测试覆盖** | 5/10 | 基础测试存在,缺少边界用例 |
| **文档完善** | 6/10 | 模块文档良好,内联注释不足 |
| **前端质量** | 7/10 | TypeScript 编译通过 |
**综合评分: 7.2/10** - 已修复关键安全问题,代码质量提升
---
## ✅ 已完成的修复
### 后端 (Rust)
1. **shell_exec 超时机制** - 使用 `tokio::time::timeout` 包装命令执行,确保超时真正生效
2. **PathValidator 连接** - 在 `AgentLoop` 中添加 `path_validator` 字段和 `with_path_validator()` 方法
3. **命令解析** - 使用 `shlex` crate 正确处理带引号的命令参数
4. **Mesh 命令** - 添加 `mesh_accept_recommendation``mesh_dismiss_recommendation` Tauri 命令
5. **MCP 进程清理** - 为 `McpTransport` 实现 `Drop` trait确保子进程被正确终止
### 前端 (TypeScript)
1. **meshStore.ts** - 已正确实现对 `mesh_accept_recommendation``mesh_dismiss_recommendation` 的调用
2. **TypeScript 编译** - 前端编译通过,无阻塞性错误
### 测试
- 新增 5 个 shell 解析测试用例(带引号参数处理)
### 前端代码清理
修复了 17 个 TypeScript 未使用变量警告 (TS6133)
- `ClassroomPreviewer.tsx` - 移除未使用的导入和参数
- `PipelineResultPreview.tsx` - 移除未使用的 toast 变量
- `PipelinesPanel.tsx` - 移除未使用的 hooks 和图标
- `WorkflowBuilder/*.tsx` - 移除未使用的 React 导入和参数
- `pipeline-recommender.ts` - 移除未使用的变量
---
## 🔴 关键问题 (Critical) - 必须立即修复
### 1. Shell 命令超时无效
**文件**: [shell_exec.rs:195-209](crates/zclaw-runtime/src/tool/builtin/shell_exec.rs#L195-L209)
**问题**: 超时检查在命令执行**完成后**进行,而非执行期间。如果命令挂起,超时机制完全无效。
```rust
// 当前实现 - 超时检查在命令完成后
let output = tokio::task::spawn_blocking(move || {
cmd.output() // 阻塞执行
}).await?;
let duration = start.elapsed();
if duration > Duration::from_secs(timeout_secs) {
return Err(...); // 太晚了!命令已经执行完毕
}
```
**修复方案**: 使用 `tokio::time::timeout` 包装或 `tokio::process::Command`
---
### 2. Shell 命令解析脆弱
**文件**: [shell_exec.rs:170-177](crates/zclaw-runtime/src/tool/builtin/shell_exec.rs#L170-L177)
**问题**: 简单的空格分割无法处理带引号的参数:
- `echo "hello world"``["echo", "\"hello", "world\""]` (错误)
- 可能导致安全绕过
**修复方案**: 使用 `shlex` crate 进行正确的 shell 引号解析
---
### 3. WebFetch SSRF 漏洞
**文件**: [web_fetch.rs](crates/zclaw-runtime/src/tool/builtin/web_fetch.rs)
**问题**: WebFetch 工具完全未实现,只有占位符。一旦启用将存在 SSRF 风险:
- 可访问内网资源
- 可扫描云元数据端点 (169.254.169.254)
- 可探测内部基础设施
**修复方案**: 实现完整的 SSRF 防护:
- 阻止私有 IP 范围
- 阻止云元数据端点
- 阻止 localhost/loopback
- 实现重定向保护
---
### 4. PathValidator 从未传递给工具
**文件**: [loop_runner.rs:80-88](crates/zclaw-runtime/src/loop_runner.rs#L80-L88)
**问题**: `ToolContext``path_validator` 始终为 `None`,绕过了所有路径验证安全配置。
```rust
fn create_tool_context(&self, session_id: SessionId) -> ToolContext {
ToolContext {
path_validator: None, // 始终为 None
...
}
}
```
**修复方案**: 在 `AgentLoop` 中添加 `PathValidator` 配置并传递到 `ToolContext`
---
### 5. TriggerManager 未集成
**文件**: [kernel.rs:424-482](crates/zclaw-kernel/src/kernel.rs#L424-L482)
**问题**: `TriggerManager` 已定义但从未在 `Kernel` 中实例化,所有触发器相关方法都是空桩。
**修复方案**: 完成集成或移除空桩方法
---
### 6. personaStore.ts 语法完全损坏 🔴🔴🔴
**文件**: [personaStore.ts](desktop/src/store/personaStore.ts)
**问题**: 该文件包含严重的语法错误,代码看起来像是 AI 生成的片段被错误粘贴:
```typescript
// 第 19-26 行 - 完全无效的语法
import {
toFrontendMemory, (e: MemoryEntryForAnalysis): MemoryEntryForAnalysis[] {
toFrontendProposal = (p: EvolutionProposal): FrontendProposal => {
// ...
```
**具体错误**:
1. import 语句中混入了函数定义
2. 使用了 Rust 风格的 `::` 语法 (`ProposalStatus::Pending`)
3. 整个文件没有有效的 Zustand store 定义
**影响**: 前端项目**无法编译**Persona Evolution 功能**完全不可用**
**修复方案**: 完全重写 `personaStore.ts` 文件(预计 2-4 小时)
---
## 🟠 重要问题 (Important) - 应尽快修复
### 6. PathValidator 默认允许所有路径
**文件**: [path_validator.rs:277-289](crates/zclaw-runtime/src/tool/builtin/path_validator.rs#L277-L289)
**问题**: 当未配置 `allowed_paths` 且无 `workspace_root` 时,验证器返回 `Ok(())` 允许访问任意路径。
**修复方案**: 要求显式配置工作空间,或默认使用安全沙箱目录
---
### 7. MCP 进程未清理
**文件**: [mcp_transport.rs](crates/zclaw-protocols/src/mcp_transport.rs)
**问题**: `McpTransport` 存储子进程但未实现 `Drop` trait导致孤儿进程。
**修复方案**: 实现 `Drop` 以在销毁时终止子进程
---
### 8. TriggerManager 潜在死锁
**文件**: [trigger_manager.rs:198-221](crates/zclaw-kernel/src/trigger_manager.rs#L198-L221)
**问题**: 嵌套锁获取顺序不一致,可能导致死锁。
**修复方案**: 统一锁获取顺序或使用 `try_read` + 重试
---
### 9. 工具查找 O(n) 复杂度
**文件**: [tool.rs:90-91](crates/zclaw-runtime/src/tool.rs#L90-L91)
**问题**: 线性搜索工具列表,频繁调用时影响性能。
**修复方案**: 使用 `HashMap<String, Arc<dyn Tool>>` 实现 O(1) 查找
---
### 10. Intelligence 模块缺少输入验证
**文件**: [intelligence/*.rs](desktop/src-tauri/src/intelligence/)
**问题**: agent_id、pipeline_id 等标识符无长度限制或字符验证,可能导致:
- 日志注入攻击
- 路径遍历(如果用于文件路径)
- 内存耗尽
**修复方案**: 添加输入验证,限制长度和字符白名单
---
### 11. Identity 文件存储未加密
**文件**: [identity.rs:191-216](desktop/src-tauri/src/intelligence/identity.rs#L191-L216)
**问题**: 身份文件以明文 JSON 存储在 `~/.zclaw/identity/store.json`
**修复方案**: 考虑加密敏感字段或使用平台安全存储
---
## 🟡 次要问题 (Minor) - 建议修复
---
## 🖥️ 前端专项审查
### 后端 Rust 实现评估 (优秀)
后端 Intelligence Layer Phase 4 实现质量较高:
- ✅ 完整的类型定义和文档注释
- ✅ 遵循 Rust 最佳实践
- ✅ 包含单元测试
- ✅ 错误处理适当
### 前端实现评估 (需要修复)
**损坏文件**:
- `personaStore.ts` - 语法完全损坏,无法编译
**缺少实现**:
- `mesh_accept_recommendation` 命令 - 后端未实现
- `mesh_dismiss_recommendation` 命令 - 后端未实现
**类型问题**:
- `intelligence-client.ts` 缺少 `ProfileUpdate``EvolutionProposal` 等类型导出
**代码质量**:
- `meshStore.ts` 多处硬编码 `localStorage.getItem('currentAgentId')`
- `kernel-client.ts` Triggers API 错误处理不一致
### 计划对齐情况
| 计划项 | 后端 | 前端 |
|--------|------|------|
| Pattern Detector | ✅ 完成 | ✅ 完成 |
| Workflow Recommender | ✅ 完成 | ✅ 完成 |
| Adaptive Mesh | ✅ 完成 | ⚠️ 缺少命令 |
| Trigger Evaluator | ✅ 完成 | ⚠️ 错误处理不一致 |
| Persona Evolver | ✅ 完成 | ❌ Store 损坏 |
---
| # | 问题 | 文件 | 建议 |
|---|------|------|------|
| 12 | MCP stderr 被丢弃 | mcp_transport.rs:131 | 捕获并记录日志 |
| 13 | 硬编码中文错误消息 | loop_runner.rs:117,238 | 统一语言,考虑 i18n |
| 14 | PathValidator 测试不足 | path_validator.rs:327-365 | 添加边界测试 |
| 15 | 技能分类硬编码 | kernel.rs:177-189 | 移至配置文件 |
| 16 | 调试打印暴露信息 | identity.rs:172-177 | 使用日志框架 |
| 17 | 正则表达式无复杂度限制 | trigger_evaluator.rs:383-392 | 添加 ReDoS 防护 |
| 18 | 速率限制存储内存泄漏 | security-utils.ts:569 | 定期清理过期条目 |
---
## ✅ 亮点 - 值得称赞的设计
### 1. 优秀的 PathValidator 设计
- 清晰的关注点分离
- 正确处理符号链接、路径遍历、大小限制
- 跨平台考虑Unix 和 Windows 路径)
### 2. 干净的异步架构
- 正确使用 async/await 模式
- 基于通道的流式传输
- 多轮工具调用支持
### 3. 全面的错误类型
- `ZclawError` 枚举覆盖所有主要错误类别
- 使用 thiserror 实现一致的错误处理
### 4. 良好的前端安全工具
- HTML 净化
- URL SSRF 防护
- 路径遍历防护
- 速率限制
- CSP 辅助函数
### 5. 安全的 API Key 存储
- 操作系统密钥链集成
- 密钥格式验证
- 审计日志
---
## 📋 优先修复清单
### 立即修复 (Critical)
1. [x] ~~**重写 personaStore.ts**~~ - 文件实际正常(误报)
2. [x] ✅ **修复 shell_exec 超时机制** - 使用 `tokio::time::timeout` 包装
3. [ ] 实现或禁用 WebFetch SSRF 防护
4. [x] ✅ **在 AgentLoop 中连接 PathValidator** - 添加了 `with_path_validator` 方法
5. [x] ✅ **使用 shlex 修复命令解析** - 使用 shlex crate 处理引号
6. [ ] 完成 TriggerManager 集成或移除
### 短期修复 (Important)
6. [x] ✅ **添加 Mesh accept/dismiss 后端命令** - 已添加 Tauri 命令并注册
7. [x] ✅ **添加 MCP 进程清理** - 实现了 Drop trait
8. [ ] 添加缺失的类型导出 (intelligence-client.ts)
9. [ ] 统一 Triggers API 错误处理策略
10. [ ] 重构 agentId 获取方式 (meshStore.ts)
11. [ ] 修复 TriggerManager 死锁风险
12. [ ] 使用 HashMap 优化工具查找
13. [ ] 添加 Intelligence 模块输入验证
14. [ ] PathValidator 默认拒绝而非允许
### 中期改进 (Minor)
11. [ ] 捕获 MCP stderr 用于调试
12. [ ] 添加安全测试覆盖
13. [ ] 移除调试打印语句
14. [ ] 添加正则复杂度限制
---
## 🔍 审查方法论
本次审查采用多维度分析:
- **静态代码分析**: 阅读源代码识别问题
- **安全审计**: 检查常见漏洞模式 (OWASP Top 10)
- **架构评估**: 验证模块边界和依赖关系
- **性能分析**: 识别潜在瓶颈
---
## 📝 结论
ZCLAW 项目展现了**良好的架构基础**和**安全意识**,但存在几个**关键的实现缺陷**需要在生产部署前修复。最紧迫的问题是 shell_exec 的超时机制和 PathValidator 的集成缺失。
建议按照优先级清单逐步修复,并在修复后进行回归测试验证。