@modus-ai/modus 0.2.4 → 0.2.6

package/templates/skills/modus-agents/perf-auditor/SKILL.md

@@ -1,116 +1,153 @@
 ---
 name: modus-perf-auditor
-description: Use this skill when the Harness orchestrator needs to perform static performance audit on code changes. Detects N+1 queries, missing batch operations, unbounded data fetches, deep pagination risks, and ES query issues. Generates 04-perf-report.md. Triggered by modus-harness in parallel with SubAgents 03 and 05 after Gate A passes.
-allowed-tools: Read, Write, Glob
+description: Use this skill when the Harness orchestrator needs to perform static performance audit on changed code. Detects N+1 queries, missing batch operations, unprotected large data queries, deep pagination risks, and ES query issues. Quantifies each risk by data volume impact and grades as high/medium/low. Generates 04-perf-report.md with HANDOFF block. Triggered by modus-harness in parallel with tester and security-auditor after Gate A passes.
+allowed-tools: Read, Glob
 disable: false
 ---
 
 # modus-perf-auditor（性能审计 SubAgent）
 
-**调用方：** Harness Orchestrator（与 03/05 并行启动）  
-**输入：** `02-sprint-contract.md` + 代码变更  
+**调用方：** Harness Orchestrator（Gate A 通过后，与 03/05 并行触发）  
+**输入：** `02-sprint-contract.md`（变更文件列表）+ 代码变更 + 业务 Skill（≤ 2 个）  
 **产出物：** `modus/plans/active/{story-id}/04-perf-report.md`
 
 ## 职责
 
-对代码变更进行静态性能审计，识别 N+1 查询、缺少批量操作、大数据量风险等，量化每个风险的影响，按高/中/低分级输出报告。
+对本次代码变更进行静态性能审计，重点检测高频性能反模式，量化每个风险的潜在影响（N 条数据 → N 次 SQL），按高/中/低分级输出报告。不执行代码，不修改文件。
 
 ---
 
-## 审计重点
+## 检测规则
 
-### 1. N+1 查询（高优先级）
+### Rule 1：N+1 查询（高风险）
 
-**检测模式：**
-- 循环体内包含 DB 查询调用（`for/while` 内调用 `mapper.select*`）
-- 循环内调用 RPC/HTTP 接口
+**触发条件：** Service / Manager 类的 for 循环 / forEach / stream 内包含 Mapper 调用
 
-**量化影响：**
-- 指出循环的数据量（N 条记录 → N 次 SQL）
-- 估算最坏情况下的查询次数
+```java
+// ❌ 触发 N+1
+for (Long orderId : orderIds) {
+    Order order = orderMapper.selectById(orderId);  // N 次 SQL
+}
 
-**修复建议：**
-- 将循环内查询提取为批量查询（IN 查询 / 批量 RPC）
-- 先查全量，再在内存中分组/关联
+// ✅ 正确：批量查询
+List<Order> orders = orderMapper.selectByIds(orderIds);  // 1 次 SQL
+```
+
+**量化影响：** `N 个订单 → N+1 次 SQL（实测 1000 条 ≈ 1001 次查询）`  
+**修复建议：** 改用 `selectByIds(ids)` 批量查询，结果用 Map 分组后使用
+
+---
+
+### Rule 2：无分页保护的大数据量查询（高风险）
+
+**触发条件：** Mapper/SQL 中存在以下任一情况：
+- `selectAll()` / `SELECT * FROM table` 无 WHERE 限制
+- 列表查询缺少 `LIMIT` 或时间范围条件
+- 分页参数未设置最大页大小保护
+
+**量化影响：** `全表扫描，数据量增长后 OOM 风险`  
+**修复建议：** 添加 `LIMIT` 或时间范围条件；分页接口验证 `pageSize ≤ 200`
 
 ---
 
-### 2. 缺少批量操作（中优先级）
+### Rule 3：深分页风险（中风险）
 
-**检测模式：**
-- 循环内调用单条 insert/update
-- 应使用 `insertBatch` 但使用了逐条 `insert`
+**触发条件：** SQL 中使用 `LIMIT offset, size` 且 offset 无上限控制
 
-**修复建议：**
-- 使用 `insertBatchSomeColumn` 或自定义批量 insert XML
-- 大批量操作分批提交（每批 500-1000 条），避免超大事务
+**量化影响：** `offset=10000, size=10 → 扫描 10010 行，只返回 10 行`  
+**修复建议：** 改用游标分页（`WHERE id > lastId LIMIT size`）或设置 offset 上限
 
 ---
 
-### 3. 大数据量无保护（高优先级）
+### Rule 4：循环内批量写操作（中风险）
 
-**检测模式：**
-- 查询无 LIMIT 限制
-- 分页查询缺少总数上限保护
-- 深分页（`OFFSET` 过大）
-- 全表扫描风险（无索引条件）
+**触发条件：** for 循环内包含 `insert` / `update` / `delete` 调用（而非批量接口）
 
-**修复建议：**
-- 对列表查询强制设置最大返回条数
-- 深分页改用游标分页（基于最后一条记录的 ID）
+**量化影响：** `N 个写入 → N 次 SQL，N 个事务提交`  
+**修复建议：** 改用 `insertBatch(list)` / `updateBatch(list)`，单事务批量提交
 
 ---
 
-### 4. 搜索引擎查询（如适用）
+### Rule 5：缺少索引的高频查询（中风险）
+
+**触发条件：** SQL 的 WHERE 条件字段组合在 Entity 注解或已知索引列表中不存在对应索引
 
-**检测模式：**
-- ES 查询缺少 `fetchSource`（返回不必要的字段）
-- 缺少 `trackTotalHits: false`（数据量大时计算总数代价高）
-- 聚合查询无 `size: 0`（无需 hits 时）
+**量化影响：** `全表扫描，数据量 > 10 万行后查询超时风险`  
+**修复建议：** 添加复合索引 `idx_{field1}_{field2}`
 
 ---
 
-### 5. 事务范围过大（中优先级）
+### Rule 6：前缀模糊匹配（低风险）
 
-**检测模式：**
-- `@Transactional` 方法内包含远程调用（RPC/HTTP）
-- 事务内包含大量数据查询或处理逻辑
+**触发条件：** SQL 中使用 `LIKE '%keyword%'`（前缀通配符导致索引失效）
 
-**修复建议：**
-- 将远程调用移到事务外
-- 大事务拆分为多个小事务
+**量化影响：** `索引失效，全表扫描`  
+**修复建议：** 改用全文索引（FULLTEXT）或引入 ES 搜索
+
+---
+
+## 执行流程
+
+### Step 1：确定审计范围
+
+读取 `02-sprint-contract.md` 的 `changed_files`，筛选需要审计的文件：
+- Service / Manager 类（Rule 1/4）
+- Mapper 接口 + XML（Rule 2/3/5/6）
+- Controller（Rule 2 的分页参数）
+
+### Step 2：逐规则扫描
+
+对每个目标文件，逐一应用上述 6 条规则，记录发现的风险。
+
+### Step 3：风险分级与量化
+
+| 风险等级 | 定义 | 处理要求 |
+|---------|------|---------|
+| 高（需 P2 重入）| 生产环境下数据量正常情况即会触发的性能问题 | modus-reviewer 将标记为 P2，触发 Loop 2 |
+| 中（建议修复）| 数据量增长后可能触发，当前影响有限 | cr-report 中作为 P3 建议 |
+| 低（记录观察）| 仅在极端场景下触发 | 记录但不阻塞 |
 
 ---
 
 ## 产出物格式（04-perf-report.md）
 
 ```markdown
-# 性能审计报告
+<!--HANDOFF
+agent: "04-perf-auditor"
+story_id: "{story-id}"
+gate_status: "passed"
+high_risks: {N}
+medium_risks: {N}
+-->
+
+# 性能审计报告 — {Story 标题}
 
 ## 审计摘要
 - 审计文件数: {N}
 - 高风险: {N} 个 | 中风险: {N} 个 | 低风险: {N} 个
 
-## 高风险问题
+## 高风险（需修复）
 
-### [HIGH-01] N+1 查询
+### [PERF-HIGH-01] N+1 查询 — {ClassName}.{method}()
 - **位置：** `{文件名}.java:{行号}`
-- **问题：** `for` 循环中对每条订单调用 `orderMapper.selectById()`，N 条数据产生 N 次 SQL
-- **影响：** 订单列表 100 条 → 100 次 SELECT，响应时间线性增长
-- **修复方案：**
-  ```java
-  // 改为批量查询
-  List<Long> ids = orders.stream().map(Order::getId).collect(toList());
-  Map<Long, Order> orderMap = orderMapper.selectBatchIds(ids)
-      .stream().collect(toMap(Order::getId, o -> o));
-  ```
-
-## 中风险问题
+- **风险描述：** 循环内调用 `{MapperClass}.{queryMethod}()`
+- **量化影响：** N 个{实体} → N+1 次 SQL（1000 条 ≈ 1001 次查询）
+- **修复建议：** 改为 `{MapperClass}.selectByIds(ids)` 批量查询
+
+## 中风险（建议修复）
 ...
 
-## 低风险问题
+## 低风险（观察记录）
 ...
 
-## 无性能问题确认
-{如无问题，明确说明已检查的内容，不要留空}
+## 无风险确认
+{若某类规则未发现风险，明确写出「Rule N：未发现 XXX 问题」}
 ```
+
+---
+
+## 质量标准
+
+- 每个风险必须有文件路径 + 行号定位
+- 高风险必须量化影响（N 条数据 → N 次查询）
+- **HANDOFF 块必须位于文件最顶部**，`high_risks` 字段供 modus-reviewer 决定是否报 P2

package/templates/skills/modus-agents/reviewer/SKILL.md

@@ -8,8 +8,8 @@ disable: false
 # modus-reviewer（代码评审 SubAgent）
 
 **调用方：** Harness Orchestrator（Gate B 通过后触发）  
-**输入：** 全部产出物（01-analysis.md 至 05-security-report.md）+ 代码变更  
-**产出物：** `modus/plans/active/{story-id}/cr-report.md`
+**输入：** 全部产出物（01-analysis.md 至 06-security-report.md）+ 代码变更  
+**产出物：** `modus/stories/{story-id}/harness/cr-report.md`
 
 ## 职责
 
@@ -53,18 +53,29 @@ disable: false
 - 日志是否完整（入参、出参、异常信息）
 
 **金额处理：**
-- 金额字段是否使用 BigDecimal
-- 运算是否使用 BigDecimal API（避免 `+`/`*` 运算）
+- 金额字段是否符合项目宪法的规范（以 `constitution.hard_rules` 为准，如规则为「金额字段使用 Long（单位：分）」则检查 Long 类型，如规则为「使用 BigDecimal」则检查 BigDecimal；**不得硬编码检查某一具体类型**）
+- 若 `constitution.hard_rules` 未明确金额规范，则默认检查是否使用 BigDecimal，并在报告中标注「未找到金额规范配置，使用默认规则」
 
-### 维度 3：测试覆盖（参考 03-test-report.md）
+### 维度 3：测试覆盖（参考 04-test-report.md）
 
 - 核心业务逻辑是否有测试
 - 测试是否覆盖了重要异常路径
 
-### 维度 4：性能与安全（参考 04/05 报告）
+### 维度 4：性能与安全（参考 05/06 报告）
 
-- 04 报告中的高风险问题是否已在代码中修复
-- 05 报告中的严重/高风险问题是否已修复
+**分级映射规则（将 05/06 报告分级转换为 CR 分级）：**
+
+| 来源报告 | 原始级别 | CR 级别 | 处理 |
+|---------|---------|--------|------|
+| 06-security-report | 严重 | P1 | 必须修复，触发 Loop 2 重入 |
+| 06-security-report | 高风险 | P2 | 必须修复，触发 Loop 2 重入 |
+| 06-security-report | 低风险 | P3 | 建议修复，不阻塞 |
+| 05-perf-report | 高风险 | P2（若影响 SLA 则升为 P1）| 必须修复 |
+| 05-perf-report | 中风险 | P3 | 建议修复，不阻塞 |
+| 05-perf-report | 低风险 | P3 | 建议修复，不阻塞 |
+
+- 06（安全）报告中「严重」和「高风险」问题是否已在代码中修复
+- 05（性能）报告中「高风险」问题是否已修复
 
 ---
 
@@ -81,6 +92,34 @@ disable: false
 ## 产出物格式（cr-report.md）
 
 ```markdown
+---
+schema_version: "1.1"
+agent: "07-review"
+run_id: "{YYYYMMDD}-{story_id_prefix}"
+story_id: "{story-id}"
+task_id: ""
+domains: ["{domain1}", "{domain2}"]
+gate_status: "{passed|failed}"
+artifact_status: "complete"
+issues:
+  - level: "P1"
+    code: "P1-01"
+    agent: "07-review"
+    location: "{文件名}.java:{行号}"
+    summary: "{一句话问题摘要，供 Orchestrator 定位重入范围}"
+    suggestion: "{修复建议}"
+    affected_sprint: "{受影响的 Sprint 编号，如 Sprint 2}"
+  - level: "P2"
+    code: "P2-01"
+    agent: "07-review"
+    location: "{文件名}.java:{行号}"
+    summary: "{一句话问题摘要}"
+    suggestion: "{修复建议}"
+    affected_sprint: "{N}"
+skill_refs:
+  - "modus-biz-{domain}@{version}"
+---
+
 # 代码评审报告
 
 ## 评审摘要
@@ -116,15 +155,26 @@ disable: false
 {如无 P1/P2 → "通过评审，可进入 Final Review"}
 ```
 
+**HANDOFF 块填写规则（YAML frontmatter 格式，v1.1）：**
+- `gate_status`：无 P1/P2 → `passed`；有 P1/P2 → `failed`
+- `issues`：仅列 P1/P2 问题（P3 不阻塞，Orchestrator 不读取）；无 P1/P2 时写空列表 `issues: []`
+- 每条 issue 的 `affected_sprint` 字段：填写受影响代码所属的 Sprint 编号（如「Sprint 2」），供 Orchestrator 精准定位重入范围
+- 每条 issue 的 `code` 字段：填写问题编码（如 `P1-01`、`P2-03`），用于精准重入定位
+- HANDOFF 块**必须位于文件最顶部（`---...---` YAML frontmatter）**，Orchestrator 仅读此块（≤ 25 行）以决策是否触发 Loop 2
+
 ---
 
 ## 创建 Bug 单（可选）
 
-如果项目配置了 `tapdProjectId`（来自 `modus/config.yaml`），对于 P1/P2 问题可以选择自动创建 TAPD Bug 单：
+> **前置条件：** 需在 `{project}/modus/config.yaml` 中配置 `tapdProjectId`（非空）才能触发 Bug 创建。当前 `tapdProjectId: ""` 时跳过此步骤。
+
+> **协调说明：** 如果 workspace 中已安装独立的 `tapd-bug-creator` Skill，**优先使用外部 Skill** 创建 Bug 单（职责更单一），本节逻辑作为降级兜底（外部 Skill 不可用时才启用）。两者不应同时执行。
+
+如果满足前置条件，对于 P1/P2 问题自动创建 TAPD Bug 单：
 
 - Bug 标题：`[Modus CR] {问题标题}`
 - 关联 Story ID：`{当前 story-id}`
-- 描述：包含代码位置、问题代码片段、修复方案
+- 描述：包含代码位置（`location` 字段）、问题代码片段、修复方案（`suggestion` 字段）
 - 严重程度：P1 → 严重，P2 → 一般
 
-创建完成后将 Bug ID 写入 cr-report.md 末尾。
+创建完成后将 Bug ID 写入 cr-report.md 末尾的 `tapd_bugs` 列表。

package/templates/skills/modus-agents/security-auditor/SKILL.md

@@ -1,123 +1,167 @@
 ---
 name: modus-security-auditor
-description: Use this skill when the Harness orchestrator needs to perform security audit on code changes. Checks multi-tenant data isolation, missing authorization annotations, sensitive data logging, SQL injection risks, and bypass interface protection. Generates 05-security-report.md. Triggered by modus-harness in parallel with SubAgents 03 and 04 after Gate A passes.
-allowed-tools: Read, Write, Glob
+description: Use this skill when the Harness orchestrator needs to perform static security audit on changed code. Detects multi-tenant data isolation leaks (tenantId from request vs UserContext), missing permission annotations, SQL injection risks, sensitive data logging, and improper bypass interfaces. Grades as critical/high/low and generates 05-security-report.md with HANDOFF block. Triggered by modus-harness in parallel with tester and perf-auditor after Gate A passes.
+allowed-tools: Read, Glob
 disable: false
 ---
 
 # modus-security-auditor（安全审计 SubAgent）
 
-**调用方：** Harness Orchestrator（与 03/04 并行启动）  
-**输入：** `02-sprint-contract.md` + 代码变更  
+**调用方：** Harness Orchestrator（Gate A 通过后，与 03/04 并行触发）  
+**输入：** `02-sprint-contract.md`（变更文件列表）+ 代码变更 + 业务 Skill（≤ 2 个）  
 **产出物：** `modus/plans/active/{story-id}/05-security-report.md`
 
 ## 职责
 
-对代码变更进行安全审计，重点检测多租户数据隔离漏洞、权限校验缺失、敏感信息泄露、SQL 注入等风险，按严重/高/低分级输出报告。
+对本次代码变更进行静态安全审计，重点检测多租户隔离漏洞、权限校验缺失、SQL 注入、敏感信息泄露等高频安全问题。不执行代码，不修改文件。
 
 ---
 
-## 审计重点
+## 检测规则
 
-### 1. 多租户数据隔离（严重）
+### Rule 1：多租户数据隔离漏洞（严重）
 
-**检测模式：**
-- DB 查询/更新缺少 `tenantId` 条件
-- `tenantId` 来自 request 参数（可被篡改），而不是从用户会话/上下文中获取
-- 数据归属校验：操作前是否验证当前用户有权操作该条记录
+**触发条件：** Service / Mapper 中的 WHERE 条件使用了来自 request 参数而非 UserContext 的 `tenantId`
 
-**修复建议：**
-- `tenantId` 始终从服务端 UserContext/Session 中获取，不信任客户端传入
-- 关键查询增加 `AND tenant_id = #{tenantId}` 条件
-- 修改操作前查询数据归属，确认归属于当前租户
+```java
+// ❌ 严重漏洞：tenantId 来自用户输入，可查看任意租户数据
+public List<Order> listOrders(OrderQueryRequest request) {
+    return orderMapper.selectByTenantId(request.getTenantId());  // 危险
+}
+
+// ✅ 正确：tenantId 必须来自 UserContext（登录上下文）
+public List<Order> listOrders(OrderQueryRequest request) {
+    Long tenantId = UserContext.getCurrentTenantId();  // 安全
+    return orderMapper.selectByTenantId(tenantId);
+}
+```
+
+**危害：** 横向越权，A 租户可读取 B 租户数据
+
+---
+
+### Rule 2：Facade/Controller 权限校验缺失（高风险）
+
+**触发条件：** 新增的 Facade / Controller 方法缺少权限注解（如 `@UserAuthorization`、`@PreAuthorize`、`@RolesAllowed`）
+
+**危害：** 未授权用户可直接调用接口  
+**修复建议：** 所有对外接口必须有权限注解，最小权限原则
 
 ---
 
-### 2. 接口权限校验（高风险）
+### Rule 3：敏感信息日志泄露（高风险）
 
-**检测模式：**
-- 对外暴露的接口（Controller/Facade）缺少权限校验注解
-- 管理员操作接口未校验当前用户是否为管理员角色
-- 查询接口未过滤当前用户无权访问的数据
+**触发条件：** `log.info` / `log.debug` / `log.error` 中直接打印以下敏感字段：
+- 身份证号（idCard / idNo）
+- 银行卡号（bankCard / cardNo）
+- 手机号（phone / mobile）
+- 密码（password / pwd）
+- 完整 Token / sessionId
 
-**修复建议：**
-- 接口层添加权限校验注解或调用权限校验方法
-- 结合项目的权限框架（RBAC/自定义注解）进行检查
+**危害：** 日志系统通常访问范围较广，敏感信息泄露风险高  
+**修复建议：** 使用脱敏工具类处理后再打印，如 `MaskUtils.maskPhone(phone)`
 
 ---
 
-### 3. 敏感信息泄露（高风险）
+### Rule 4：SQL 注入风险（严重）
+
+**触发条件：** MyBatis XML / 注解 SQL 中使用 `${}` 拼接用户输入（应使用 `#{}`）
 
-**检测模式：**
-- 日志中打印手机号、身份证号、银行卡号、密码等
-- 接口响应中返回不必要的敏感字段
-- 异常信息中暴露内部实现细节（SQL 语句、堆栈等）
+```xml
+<!-- ❌ SQL 注入 -->
+SELECT * FROM orders WHERE status = ${status}
 
-**修复建议：**
-- 日志脱敏：手机号保留前 3 后 4，身份证保留前 3 后 4
-- 响应对象中敏感字段加脱敏注解或做 mask 处理
-- 生产环境不返回原始异常信息
+<!-- ✅ 安全 -->
+SELECT * FROM orders WHERE status = #{status}
+```
+
+**危害：** 用户可构造恶意 SQL 执行任意查询或修改数据
 
 ---
 
-### 4. SQL 注入风险（严重）
+### Rule 5：Bypass 接口缺少多租户保护（高风险）
 
-**检测模式：**
-- MyBatis XML 中使用 `${}` 拼接用户输入（应使用 `#{}`）
-- 动态表名/列名未做白名单校验
-- 排序字段直接拼接到 SQL（`ORDER BY ${sortField}`）
+**触发条件：** 以下类型的"内部接口"没有 tenantId 过滤：
+- 定时任务（`@Scheduled` / `@XxlJob`）中的全量查询
+- 管理后台接口中可跨租户的查询
+- MQ 消费者处理消息时未验证消息的 tenantId
 
-**修复建议：**
-- 用户输入一律使用 `#{}` 参数化
-- 动态排序字段做枚举白名单校验
+**危害：** 批量操作可能意外处理其他租户的数据
 
 ---
 
-### 5. 越权操作（高风险）
+### Rule 6：不安全的反序列化（中风险）
+
+**触发条件：** 使用 `ObjectInputStream` 直接反序列化用户可控的数据，或使用不安全的 JSON 反序列化（如 `JSONObject.parseObject(str, Object.class)`）
 
-**检测模式：**
-- 通过 ID 查询/修改数据，未校验该数据是否属于当前用户/租户
-- 批量操作接口未限制操作范围（如用户传入他人的 ID 列表）
+**危害：** 远程代码执行（RCE）风险
+
+---
+
+## 执行流程
+
+### Step 1：确定审计范围
+
+读取 `02-sprint-contract.md` 的 `changed_files`，筛选需要审计的文件：
+- Controller / Facade（Rule 1/2/3）
+- Service / Manager（Rule 1/3/5）
+- XML Mapper（Rule 4）
+- MQ Consumer（Rule 5）
+- 定时任务类（Rule 5）
+
+### Step 2：逐规则扫描
+
+对每个目标文件，逐一应用上述 6 条规则，记录发现的安全漏洞。
+
+### Step 3：风险分级
+
+| 风险等级 | 定义 | 处理要求 |
+|---------|------|---------|
+| 严重（需 P1 重入）| 可直接导致数据泄露或越权的漏洞 | modus-reviewer 标记为 P1，触发 Loop 2 |
+| 高（需 P2 重入）| 安全隐患，在特定条件下可被利用 | modus-reviewer 标记为 P2，触发 Loop 2 |
+| 中（建议修复）| 潜在风险，当前影响有限 | cr-report 中作为 P3 建议 |
 
 ---
 
 ## 产出物格式（05-security-report.md）
 
 ```markdown
-# 安全审计报告
+<!--HANDOFF
+agent: "05-security-auditor"
+story_id: "{story-id}"
+gate_status: "passed"
+critical_risks: {N}
+high_risks: {N}
+-->
+
+# 安全审计报告 — {Story 标题}
 
 ## 审计摘要
-- 严重: {N} 个 | 高风险: {N} 个 | 低风险: {N} 个
+- 审计文件数: {N}
+- 严重: {N} 个 | 高风险: {N} 个 | 中风险: {N} 个
 
-## 严重问题
+## 严重漏洞（必须修复）
 
-### [SEC-CRITICAL-01] 多租户隔离缺失
+### [SEC-CRITICAL-01] 多租户隔离漏洞 — {ClassName}.{method}()
 - **位置：** `{文件名}.java:{行号}`
-- **问题：** `tenantId` 从 request 参数获取，攻击者可篡改访问他人数据
-- **修复：**
-  ```java
-  // 错误
-  Long tenantId = request.getTenantId();
-  // 正确
-  Long tenantId = UserContext.getCurrentTenantId();
-  ```
-
-## 高风险问题
+- **漏洞描述：** tenantId 来自 request.getTenantId()，而非 UserContext
+- **危害：** 横向越权，A 租户可读取 B 租户数据
+- **修复方案：** 将 `request.getTenantId()` 替换为 `UserContext.getCurrentTenantId()`
+
+## 高风险（必须修复）
 ...
 
-## 低风险问题
+## 中风险（建议修复）
 ...
 
-## 无安全问题确认
-{如无问题，明确说明已检查的内容}
+## 无风险确认
+{若某类规则未发现风险，明确写出「Rule N：未发现 XXX 风险」}
 ```
 
 ---
 
-## 评级标准
+## 质量标准
 
-| 级别 | 说明 | 处理要求 |
-|------|------|----------|
-| 严重 | 可直接导致数据泄露或越权 | 必须在合入前修复，触发 Loop 2 重入 |
-| 高风险 | 有潜在安全风险，影响范围较大 | 必须在合入前修复，触发 Loop 2 重入 |
-| 低风险 | 安全最佳实践问题，影响范围有限 | 建议修复，不阻塞合入 |
+- 每个漏洞必须有文件路径 + 行号定位
+- 严重/高风险必须提供具体修复代码示例
+- **HANDOFF 块必须位于文件最顶部**，`critical_risks` + `high_risks` 供 modus-reviewer 决定 P1/P2 级别