@noobdemon/noob-cli 1.11.0 → 1.11.1

package/CHANGELOG.md

@@ -2,6 +2,17 @@
 
 Tất cả thay đổi đáng kể của `@noobdemon/noob-cli` được ghi vào file này.
 
+## [1.11.1] - 2026-06-10
+
+### Fixed
+- **Câu trả lời không còn bị cắt cụt khi viết về web search / SEO** (`src/api.js`): regex dọn block `## Web Search Results` chỉ chạy ở `/search` mode. Trước đây nó chạy luôn ở chat → nếu bạn đang viết content/SEO có heading dạng đó, phần còn lại của câu trả lời bị nuốt mất.
+- **SSE stream bền hơn với reverse proxy CRLF**: chuẩn hoá `\r\n` → `\n` trước khi parse, tránh dòng SSE bị bỏ sót khi gateway trả line-ending hỗn tạp.
+- **Cờ `--insecure-tls` áp dụng đúng thời điểm** (`src/api.js`): bỏ lệnh áp dụng top-level (chạy trước parse argv vì ESM hoist). Giờ chỉ áp dụng đúng một lần từ `bin/noob.js` sau khi đọc argv.
+- **Không còn `MaxListenersExceededWarning` khi chạy test / dynamic import** (`src/tools.js`): handler cleanup tiến trình nền (`exit` + `SIGTERM`) có guard chống đăng ký kép.
+
+### Chore
+- **`.gitignore` / `.npmignore`**: bổ sung `*.bak`, `*.swp`, `Thumbs.db`, `Desktop.ini`, lockfile backup của npm/yarn/pnpm — defence-in-depth, không ảnh hưởng nội dung package đã publish.
+
 ## [1.11.0] - 2026-06-10
 
 ### Fixed

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@noobdemon/noob-cli",
-  "version": "1.11.0",
+  "version": "1.11.1",
   "publishConfig": {
     "access": "public"
   },

package/src/api.js

@@ -45,8 +45,10 @@ export function applyInsecureTLS() {
     '\x1b[33m⚠ NOOB_INSECURE_TLS=1: TLS verification DISABLED for this process. MITM-vulnerable. Unset when done.\x1b[0m'
   );
 }
-// Vẫn áp dụng ngay nếu env có sẵn từ shell (export NOOB_INSECURE_TLS=1).
-applyInsecureTLS();
+// KHÔNG gọi applyInsecureTLS() ở top-level: vì ESM hoist, lệnh này sẽ chạy
+// TRƯỚC khi bin/noob.js kịp parse `--insecure-tls` và set env. bin/noob.js đã
+// gọi applyInsecureTLS() sau khi parse argv — đó là điểm duy nhất.
+// Nếu env NOOB_INSECURE_TLS=1 đã có sẵn từ shell, bin/noob.js cũng sẽ áp dụng.
 
 function authHeaders() {
   const h = { 'Content-Type': 'application/json' };
@@ -98,7 +100,13 @@ async function parseError(resp) {
 // Unlimited.surf & similar proxies inject web search results as XML/markdown blocks
 // into the SSE stream. These get appended as regular text and confuse the AI model
 // when seen in subsequent turns (it thinks they are prompt injection attempts).
-function cleanResponseText(text) {
+//
+// QUAN TRỌNG: chỉ chạy stripping markdown-heading khi mode === 'search'. Với
+// chat/merge, người dùng có thể đang viết về chính chủ đề "Web Search Results"
+// (vd nội dung SEO/content) — regex tham sẽ nuốt mất câu trả lời thật.
+// Các tag XML/bracket/plain-marker thì hiếm khi xuất hiện tự nhiên nên vẫn an
+// toàn để strip ở mọi mode.
+function cleanResponseText(text, mode = 'chat') {
   if (!text) return text;
   let cleaned = text;
   // XML/SGML style: <web_search_results>...</web_search_results>
@@ -110,11 +118,15 @@ function cleanResponseText(text) {
   // Plain text markers: web_search_results ... web_search_results_end
   cleaned = cleaned.replace(/web_search_results[\s\S]*?web_search_results_end/gi, '');
   cleaned = cleaned.replace(/web_search_summary[\s\S]*?web_search_summary_end/gi, '');
-  // Markdown headings: ## Web Search Results / ## Web Search Summary (with content until next heading)
-  cleaned = cleaned.replace(
-    /^#{1,3}\s+Web\s+Search\s+(Results|Summary)\s*[\s\S]*?(?=^#{1,3}|\n# |$)/gim,
-    ''
-  );
+  // Markdown headings: chỉ áp dụng cho search mode (nguồn duy nhất bị inject
+  // dạng heading bởi proxy). Lookahead bám sát: dừng tại heading kế tiếp HOẶC
+  // 2 dòng trống liên tiếp (đoạn văn mới) — tránh nuốt phần còn lại của câu trả lời.
+  if (mode === 'search') {
+    cleaned = cleaned.replace(
+      /^#{1,3}\s+Web\s+Search\s+(Results|Summary)\b[^\n]*\n[\s\S]*?(?=^#{1,3}\s|\n\n\n|$)/gim,
+      ''
+    );
+  }
   return cleaned.trim();
 }
 
@@ -213,7 +225,7 @@ export async function stream({
   }
 
   return {
-    text: cleanResponseText(fullText.trim()),
+    text: cleanResponseText(fullText.trim(), mode),
     reasoning: reasoning.trim(),
     finishReason: lastFinishReason,
   };
@@ -321,6 +333,11 @@ async function streamOnce({
       const { done, value } = await reader.read();
       if (done) break;
       buf += decoder.decode(value, { stream: true });
+      // Chuẩn hoá CRLF→LF: một số reverse proxy (Cloudflare, nginx config khác)
+      // gửi line endings \r\n. processLine() có trim() nên \r trailing tự rụng,
+      // nhưng nếu chunk biên giới rơi đúng giữa \r và \n thì vẫn ổn — đây là
+      // safety belt cho trường hợp \r đơn lẻ (rất hiếm nhưng có thấy thực tế).
+      buf = buf.replace(/\r\n/g, '\n').replace(/\r/g, '\n');
       let nl;
       while ((nl = buf.indexOf('\n')) !== -1) {
         processLine(buf.slice(0, nl));

package/src/tools.js

@@ -217,11 +217,19 @@ function killBgTree(child) {
 function cleanupBg() {
   for (const p of bg.values()) killBgTree(p.child);
 }
-process.on('exit', cleanupBg);
-process.on('SIGTERM', () => {
+function onSigterm() {
   cleanupBg();
   process.exit(143);
-});
+}
+// Guard chống đăng ký kép: vitest hot-reload / dynamic import có thể re-evaluate
+// module này → nhiều listener → MaxListenersExceededWarning + leak. Chỉ add khi
+// chưa có handler chính xác này.
+if (!process.listeners('exit').includes(cleanupBg)) {
+  process.on('exit', cleanupBg);
+}
+if (!process.listeners('SIGTERM').includes(onSigterm)) {
+  process.on('SIGTERM', onSigterm);
+}
 
 // Helper: throw nếu signal đã abort. Dùng ở đầu mỗi tool + giữa các vòng walk dài
 // để tool fs (glob/grep) cũng phản ứng với Ctrl+C, không chỉ run_command.