npm - ai-scaffold-pro - Versions diffs - 2.0.3 → 2.0.4 - Mend

ai-scaffold-pro 2.0.3 → 2.0.4

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (6) hide show

package/i18n/en.json +2 -0
package/i18n/zh.json +2 -0
package/package.json +1 -1
package/templates/agents/proactive-correction.md +30 -1
package/templates/skills/performance_check/SKILL.md +398 -0
package/templates/skills/project_initialization/SKILL.md +16 -1

package/i18n/en.json CHANGED Viewed

@@ -410,6 +410,8 @@
     "dim2_action_step3": "Classify by severity: ❌ Fatal (must fix immediately) / ⚠️ Important (should fix soon) / 💡 Suggestion (optional optimization)",
     "dim2_action_step4": "Ask user whether to execute fixes; proceed with corrections after confirmation",
     "dim3_title": "Dimension 3: Implementation Rationality Analysis",
+    "dim4_title": "Dimension 4: Performance & Security Check",
+    "dim4_desc": "Automatically invoke performance_check skill to detect memory leaks, OOM, ANR, UI lag, and security vulnerabilities. Executes immediately after Dimension 2 scan to ensure comprehensive code quality coverage.",
     "dim3_desc": "Detect **clearly unreasonable** aspects in code implementation, even if they don't violate explicit rule entries:",
     "dim3_table_header": "| # | Check Item | Check Method | Rationality Standard |",
     "dim3_row1": "| 1 | Dead code/unused classes/methods | Search for public classes/methods not referenced by any code | Public classes/methods with no callers, no route targets, no reflection references |",

package/i18n/zh.json CHANGED Viewed

@@ -410,6 +410,8 @@
     "dim2_action_step3": "按严重程度分级：❌ 致命违规（必须立即修正） / ⚠️ 重要违规（应尽快修正） / 💡 改进建议（可选优化）",
     "dim2_action_step4": "询问用户是否执行修正，确认后按修正方案逐项修改",
     "dim3_title": "维度 3：实现合理性分析",
+    "dim4_title": "维度 4：性能与安全检查",
+    "dim4_desc": "自动调用 performance_check skill 执行内存泄漏、OOM、ANR、卡顿和安全漏洞检测。在维度2扫描后立即执行，确保代码质量全面覆盖。",
     "dim3_desc": "检测代码实现中**明显不合理**的地方，即使这些地方不一定违反了明确的规则条文：",
     "dim3_table_header": "| # | 检查项 | 检查方法 | 合理性判定标准 |",
     "dim3_row1": "| 1 | 死代码/未使用的类/方法 | 搜索未被任何代码引用的 public 类/方法 | 项目中无人调用、无路由指向、无反射引用的公开类/方法即为潜在死代码 |",

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "ai-scaffold-pro",
-  "version": "2.0.3",
+  "version": "2.0.4",
   "description": "AI Coding Skeleton — CLI + LLM协作架构: CLI搭建骨架 → AI深度初始化",
   "bin": {
     "ai-scaffold-pro": "bin/cli.js"

package/templates/agents/proactive-correction.md CHANGED Viewed

@@ -112,7 +112,36 @@ tools: Read, Grep, Glob, Write, Edit
 3. {{t "proactive_correction.dim3_action_step3"}}
 4. {{t "proactive_correction.dim3_action_step4"}}
-#### {{t "proactive_correction.impl_checklist_title"}}
+### {{t "proactive_correction.dim4_title"}}
+{{t "proactive_correction.dim4_desc"}}
+**自动调用**: 在维度2扫描后，自动调用 `{{DIR}}/skills/performance_check/SKILL.md` 执行性能与安全检查
+**检查范围**:
+| 检查类型 | 检查项 | 严重度 |
+|---------|---------|--------|
+| 内存泄漏 | Context/Listener/Bitmap/Handler泄漏 | ❌ 致命 |
+| OOM风险 | Bitmap/集合/线程池无限增长 | ❌ 致命 |
+| 启动速度 | Application/首屏加载耗时 | ️ 警告 |
+| ANR风险 | 主线程网络/数据库/IO操作 | ❌ 致命 |
+| 卡顿检测 | RecyclerView/动画/绘制卡顿 | ⚠️ 警告 |
+| 代码安全 | 硬编码密钥/明文存储/HTTP传输 | ❌ 致命 |
+**执行流程**:
+1. 收集待检查文件列表（从git diff或proactive-correction传入）
+2. 委派performance_check skill逐项扫描
+3. 按严重度分类输出报告（致命 → 警告 → 建议）
+4. 对致命问题提供修复方案
+5. 用户确认后执行修复
+6. 修复后重新扫描验证
+**与code_review的区别**:
+- `code_review` 关注代码规范和架构约束
+- `performance_check` 关注性能指标和安全漏洞
+- 两者互补，覆盖完整的代码质量检查
+{{t "proactive_correction.impl_checklist_title"}}
 {{t "proactive_correction.impl_checklist_header"}}
 |---|---------|---------|------|----------|

package/templates/skills/performance_check/SKILL.md ADDED Viewed

@@ -0,0 +1,398 @@
+---
+name: performance_check
+description: Performance and security audit for code quality. Checks memory leaks, OOM risks, startup speed, ANR, lag, and security vulnerabilities. Auto-triggered by proactive-correction agent.
+---
+# Performance & Security Check — 性能与安全检查
+> **触发方式**: 由 `proactive-correction` agent 在维度4中自动调用
+>
+> **检查范围**: 内存泄漏、OOM风险、启动速度、ANR、卡顿、代码安全
+---
+## 1. 内存泄漏检测 (Memory Leak Detection)
+### 1.1 Android/Java/Kotlin 内存泄漏
+| # | 检查项 | 检测方法 | 严重度 |
+|---|--------|---------|--------|
+| ML-1 | Context泄漏 | 检查静态字段持有Activity/Context引用 | ❌ 致命 |
+| ML-2 | 监听器未移除 | 检查onDestroy中是否移除Listener/Observer | ❌ 致命 |
+| ML-3 | Handler泄漏 | 检查Handler是否为静态内部类或使用WeakReference | ❌ 致命 |
+| ML-4 | 静态集合未清理 | 检查static List/Map是否无限增长 | ❌ 致命 |
+| ML-5 | Bitmap未recycle | 检查Bitmap使用后是否调用recycle() | ️ 警告 |
+| ML-6 | Cursor未关闭 | 检查数据库Cursor是否在finally中关闭 | ❌ 致命 |
+| ML-7 | WebView泄漏 | 检查WebView是否在onDestroy中销毁 | ❌ 致命 |
+| ML-8 | 单例持有Activity引用 | 检查单例模式是否持有Activity/View引用 | ❌ 致命 |
+**检测模式**:
+```kotlin
+//  错误示例
+class MyActivity : Activity() {
+    companion object {
+        var instance: MyActivity? = null  // 静态持有Activity
+    }
+    override fun onCreate() {
+        instance = this  // 泄漏！
+    }
+}
+// ✅ 正确示例
+class MyActivity : Activity() {
+    override fun onDestroy() {
+        super.onDestroy()
+        // 清理所有引用
+        listener?.remove()
+        handler?.removeCallbacksAndMessages(null)
+    }
+}
+```
+### 1.2 iOS/Swift 内存泄漏
+| # | 检查项 | 检测方法 | 严重度 |
+|---|--------|---------|--------|
+| ML-iOS1 | 强引用循环 | 检查delegate/closure是否使用weak | ❌ 致命 |
+| ML-iOS2 | Block循环引用 | 检查Block中是否使用__weak self |  致命 |
+| ML-iOS3 | NotificationCenter未移除 | 检查dealloc中是否removeObserver | ❌ 致命 |
+| ML-iOS4 | Timer未invalidate | 检查Timer使用后是否invalidate | ❌ 致命 |
+| ML-iOS5 | Delegate强引用 | 检查delegate属性是否为weak | ❌ 致命 |
+### 1.3 C++/NDK 内存泄漏
+| # | 检查项 | 检测方法 | 严重度 |
+|---|--------|---------|--------|
+| ML-NDK1 | malloc/free不匹配 | 检查每个malloc是否有对应的free | ❌ 致命 |
+| ML-NDK2 | new/delete不匹配 | 检查每个new是否有对应的delete | ❌ 致命 |
+| ML-NDK3 | JNI LocalRef泄漏 | 检查LocalRef使用后是否DeleteLocalRef | ❌ 致命 |
+| ML-NDK4 | 异常路径未释放 | 检查goto/error路径是否释放资源 | ❌ 致命 |
+---
+## 2. OOM风险检测 (Out of Memory Risk)
+### 2.1 Bitmap OOM
+| # | 检查项 | 检测方法 | 严重度 |
+|---|--------|---------|--------|
+| OOM-1 | 大图未压缩 | 检查Bitmap加载是否使用inSampleSize |  致命 |
+| OOM-2 | 频繁创建Bitmap | 检查循环中是否创建Bitmap | ❌ 致命 |
+| OOM-3 | 未使用图片缓存 | 检查是否使用Glide/Picasso/Fresco | ️ 警告 |
+| OOM-4 | 内存泄漏的Bitmap | 检查Bitmap是否被静态引用 | ❌ 致命 |
+**检测模式**:
+```kotlin
+// ❌ 错误示例 - 直接加载大图
+val bitmap = BitmapFactory.decodeResource(resources, R.drawable.huge_image)
+// ✅ 正确示例 - 采样加载
+val options = BitmapFactory.Options().apply {
+    inSampleSize = calculateInSampleSize(this, reqWidth, reqHeight)
+}
+val bitmap = BitmapFactory.decodeResource(resources, R.drawable.huge_image, options)
+```
+### 2.2 集合OOM
+| # | 检查项 | 检测方法 | 严重度 |
+|---|--------|---------|--------|
+| OOM-5 | List无限增长 | 检查List是否无限制add | ❌ 致命 |
+| OOM-6 | 缓存无上限 | 检查LruCache是否设置maxSize | ❌ 致命 |
+| OOM-7 | 字符串拼接 | 检查循环中是否使用+拼接字符串 | ⚠️ 警告 |
+### 2.3 线程OOM
+| # | 检查项 | 检测方法 | 严重度 |
+|---|--------|---------|--------|
+| OOM-8 | 线程池无界 | 检查ThreadPoolExecutor是否设置maxPoolSize | ❌ 致命 |
+| OOM-9 | 频繁创建线程 | 检查是否使用Thread而非线程池 | ️ 警告 |
+---
+## 3. 启动速度优化 (Startup Speed)
+### 3.1 Application初始化
+| # | 检查项 | 检测方法 | 严重度 |
+|---|--------|---------|--------|
+| ST-1 | Application.onCreate耗时 | 检查onCreate中是否有耗时操作 |  致命 |
+| ST-2 | 同步初始化过多 | 检查是否所有SDK都在主线程初始化 | ❌ 致命 |
+| ST-3 | 未使用懒加载 | 检查是否可以延迟初始化的组件 | ️ 警告 |
+| ST-4 | ContentProvider阻塞 | 检查自定义ContentProvider的onCreate | ❌ 致命 |
+**优化建议**:
+```kotlin
+//  错误示例 - 所有初始化在Application
+class MyApplication : Application() {
+    override fun onCreate() {
+        super.onCreate()
+        SDK1.init(this)  // 耗时100ms
+        SDK2.init(this)  // 耗时200ms
+        SDK3.init(this)  // 耗时150ms
+        // 总耗时450ms，严重拖慢启动！
+    }
+}
+// ✅ 正确示例 - 延迟初始化
+class MyApplication : Application() {
+    override fun onCreate() {
+        super.onCreate()
+        // 只初始化必需的SDK
+        EssentialSDK.init(this)
+        // 其他SDK延迟到首页展示后
+        lifecycle.addObserver(object : DefaultLifecycleObserver {
+            override fun onResume(owner: LifecycleOwner) {
+                // 延迟初始化非必需SDK
+                thread { OptionalSDK.init(this@MyApplication) }
+            }
+        })
+    }
+}
+```
+### 3.2 首屏加载
+| # | 检查项 | 检测方法 | 严重度 |
+|---|--------|---------|--------|
+| ST-5 | 首屏同步网络请求 | 检查onCreate中是否有网络请求 | ❌ 致命 |
+| ST-6 | 布局层级过深 | 检查XML布局嵌套层级(>5层) | ⚠️ 警告 |
+| ST-7 | 首屏加载大图 | 检查首屏是否加载未压缩图片 | ❌ 致命 |
+| ST-8 | 未使用异步加载 | 检查数据加载是否在主线程 | ❌ 致命 |
+---
+## 4. ANR检测 (Application Not Responding)
+### 4.1 主线程耗时操作
+| # | 检查项 | 检测方法 | 严重度 |
+|---|--------|---------|--------|
+| ANR-1 | 主线程网络请求 | 检查是否在主线程执行HTTP请求 | ❌ 致命 |
+| ANR-2 | 主线程数据库操作 | 检查是否在主线程执行SQL查询 |  致命 |
+| ANR-3 | 主线程文件IO | 检查是否在主线程读写文件 | ❌ 致命 |
+| ANR-4 | 主线程复杂计算 | 检查是否在主线程执行耗时计算 | ❌ 致命 |
+| ANR-5 | 主线程sleep | 检查是否有Thread.sleep在主线程 | ❌ 致命 |
+| ANR-6 | 锁竞争阻塞 | 检查synchronized块是否耗时>5s | ❌ 致命 |
+**检测模式**:
+```kotlin
+// ❌ 错误示例 - 主线程网络请求
+class MainActivity : AppCompatActivity() {
+    override fun onCreate(savedInstanceState: Bundle?) {
+        super.onCreate(savedInstanceState)
+        val response = httpClient.execute(request)  // ANR风险！
+        updateUI(response)
+    }
+}
+// ✅ 正确示例 - 异步网络请求
+class MainActivity : AppCompatActivity() {
+    override fun onCreate(savedInstanceState: Bundle?) {
+        super.onCreate(savedInstanceState)
+        lifecycleScope.launch {
+            val response = withContext(Dispatchers.IO) {
+                httpClient.execute(request)
+            }
+            updateUI(response)
+        }
+    }
+}
+```
+### 4.2 Broadcast/Service阻塞
+| # | 检查项 | 检测方法 | 严重度 |
+|---|--------|---------|--------|
+| ANR-7 | BroadcastReceiver耗时 | 检查onReceive中是否有耗时操作 | ❌ 致命 |
+| ANR-8 | Service onStartCommand耗时 | 检查Service是否在主线程执行耗时任务 | ❌ 致命 |
+---
+## 5. 卡顿检测 (UI Lag/Jank)
+### 5.1 RecyclerView卡顿
+| # | 检查项 | 检测方法 | 严重度 |
+|---|--------|---------|--------|
+| LAG-1 | onBindViewHolder耗时 | 检查是否在主线程执行复杂操作 | ❌ 致命 |
+| LAG-2 | 未使用ViewHolder复用 | 检查onCreateViewHolder频率 | ❌ 致命 |
+| LAG-3 | 嵌套RecyclerView | 检查是否有多层RecyclerView嵌套 | ⚠️ 警告 |
+| LAG-4 | 图片未异步加载 | 检查是否在onBind中同步加载图片 | ❌ 致命 |
+| LAG-5 | 频繁notifyDataSetChanged | 检查是否使用notifyItemInserted等精确更新 | ⚠️ 警告 |
+### 5.2 动画卡顿
+| # | 检查项 | 检测方法 | 严重度 |
+|---|--------|---------|--------|
+| LAG-6 | 属性动画复杂 | 检查是否同时执行多个属性动画 | ️ 警告 |
+| LAG-7 | 未使用硬件加速 | 检查View是否设置setLayerType | 💡 建议 |
+| LAG-8 | 过度绘制 | 检查布局是否有过多背景叠加 | ⚠️ 警告 |
+### 5.3 绘制卡顿
+| # | 检查项 | 检测方法 | 严重度 |
+|---|--------|---------|--------|
+| LAG-9 | onDraw耗时 | 检查自定义View的onDraw是否耗时>16ms | ❌ 致命 |
+| LAG-10 | invalidate频繁 | 检查是否过度调用invalidate | ️ 警告 |
+| LAG-11 | 布局测量耗时 | 检查onMeasure/onLayout是否复杂 | ❌ 致命 |
+---
+## 6. 代码安全检测 (Security)
+### 6.1 敏感数据泄露
+| # | 检查项 | 检测方法 | 严重度 |
+|---|--------|---------|--------|
+| SEC-1 | 硬编码密钥 | 检查代码中是否有API Key/Secret | ❌ 致命 |
+| SEC-2 | 明文存储密码 | 检查SharedPreferences是否明文存密码 | ❌ 致命 |
+| SEC-3 | Log泄露敏感信息 | 检查Log中是否打印Token/密码 | ❌ 致命 |
+| SEC-4 | WebView明文传参 | 检查WebView URL是否包含敏感参数 | ❌ 致命 |
+| SEC-5 | Clipboard敏感数据 | 检查是否复制密码到剪贴板 | ❌ 致命 |
+**检测模式**:
+```kotlin
+//  错误示例 - 硬编码密钥
+object Config {
+    const val API_KEY = "sk-123456789abcdef"  // 危险！
+    const val API_SECRET = "secret_key_here"  // 危险！
+}
+// ✅ 正确示例 - 从安全位置读取
+object Config {
+    val API_KEY: String
+        get() = BuildConfig.API_KEY  // 从BuildConfig读取
+}
+```
+### 6.2 加密与传输安全
+| # | 检查项 | 检测方法 | 严重度 |
+|---|--------|---------|--------|
+| SEC-6 | HTTP明文传输 | 检查是否使用HTTPS | ❌ 致命 |
+| SEC-7 | 弱加密算法 | 检查是否使用MD5/DES等弱加密 |  致命 |
+| SEC-8 | 证书校验跳过 | 检查是否trustAllCertificates | ❌ 致命 |
+| SEC-9 | 随机数不安全 | 检查是否使用Random而非SecureRandom | ⚠️ 警告 |
+### 6.3 权限安全
+| # | 检查项 | 检测方法 | 严重度 |
+|---|--------|---------|--------|
+| SEC-10 | 过度权限申请 | 检查是否申请不必要的危险权限 | ️ 警告 |
+| SEC-11 | 运行时权限未检查 | 检查使用前是否检查权限 | ❌ 致命 |
+| SEC-12 | Exported组件未保护 | 检查Activity/Service是否误设exported=true | ❌ 致命 |
+---
+## 7. 检查执行流程
+### 7.1 触发条件
+由 `proactive-correction` agent 在以下场景自动调用：
+1. **代码修改完成后** - 扫描修改的文件是否存在性能问题
+2. **plan_mode每步完成后** - 纠错检查点扫描
+3. **用户明确要求** - "检查性能问题" / "性能审查"
+4. **定期全量扫描** - proactive-correction维度4扫描
+### 7.2 检查流程
+```
+1. 收集待检查文件列表
+   ├─ 从 git diff 获取变更文件
+   ├─ 或从 proactive-correction 传入文件列表
+2. 按优先级逐项检查
+   ├─ 第一优先级: ❌ 致命问题 (内存泄漏、ANR、OOM)
+   ├─ 第二优先级: ⚠️ 警告问题 (启动速度、卡顿)
+   └─ 第三优先级: 💡 建议优化 (代码安全、最佳实践)
+3. 输出检查报告
+   ├─ 按严重度分类
+   ├─ 每个问题包含: 位置、原因、修复方案
+   └─ 统计问题数量
+```
+### 7.3 输出格式
+```markdown
+## 🔍 Performance & Security Check
+**检查范围**: [文件列表]
+**检查结果**: ✅ 通过 / ⚠️ N 警告 /  N 致命问题
+### ❌ 致命问题
+**问题 1**: [问题标题]
+- **位置**: `file:line`
+- **类型**: [内存泄漏/ANR/OOM/安全]
+- **原因**: [问题原因说明]
+- **当前代码**:
+  ```kotlin
+  // 问题代码
+  ```
+- **修复方案**:
+  ```kotlin
+  // 修复后代码
+  ```
+### ⚠️ 警告
+### 💡 建议优化
+### ✅ 通过检查项
+```
+---
+## 8. 平台特定检查
+### 8.1 Android 平台
+- **StrictMode检测**: 使用StrictMode检测主线程IO和网络
+- **LeakCanary集成**: 建议集成LeakCanary自动检测内存泄漏
+- **Method Profiling**: 使用Android Profiler分析耗时方法
+- **Layout Inspector**: 检查布局层级和过度绘制
+### 8.2 iOS 平台
+- **Instruments检测**: 使用Leaks/Allocations工具检测内存
+- **Time Profiler**: 分析耗时方法调用
+- **Main Thread Checker**: 检测主线程违规操作
+### 8.3 Flutter 平台
+- **DevTools检测**: 使用Flutter DevTools分析性能
+- **Widget重建**: 检查不必要的Widget重建
+- **Isolate使用**: 检查耗时操作是否使用Isolate
+---
+## 9. 修复验证
+### 9.1 修复后验证
+修复性能问题后，必须：
+1. **重新扫描**: 运行performance_check验证问题已解决
+2. **性能测试**: 使用工具验证性能指标改善
+3. **回归检查**: 确认修复未引入新问题
+### 9.2 性能指标要求
+| 指标 | 要求 | 检测方法 |
+|------|------|---------|
+| 冷启动时间 | < 2秒 | adb shell am start -W |
+| 首屏渲染 | < 1秒 | 手动计时或工具 |
+| 内存占用 | < 应用限制 | Android Studio Profiler |
+| 帧率 | ≥ 55 FPS | GPU渲染模式分析 |
+| ANR率 | < 0.1% | Firebase/友盟统计 |
+---
+**版本**: v1.0.0
+**最后更新**: 2026-05-31
+**维护者**: ai_scaffold 团队

package/templates/skills/project_initialization/SKILL.md CHANGED Viewed

@@ -472,6 +472,20 @@ const platformVars = await getPlatformVars(detection.platform, lang);
 {{PLATFORM_SUGGESTION_CHECKS}}
 ```
+#### performance_check/SKILL.md
+**直接复制模板文件**，无需修改：
+```bash
+cp {{DIR}}/skills/performance_check/SKILL.md.template {{DIR}}/skills/performance_check/SKILL.md
+```
+该skill包含完整的性能与安全检查能力：
+- 内存泄漏检测（Android/iOS/C++）
+- OOM风险检测（Bitmap/集合/线程池）
+- 启动速度优化（Application/首屏加载）
+- ANR检测（主线程耗时操作）
+- 卡顿检测（RecyclerView/动画/绘制）
+- 代码安全（敏感数据/加密/权限）
 ### 3.4 生成 references/ 文档
 **Step 1**: 脚本已生成 `_scan.json`（在Phase 1.1完成）
@@ -675,6 +689,7 @@ graph TD
 技能文件:
 - [ ] {{DIR}}/skills/plan_mode/SKILL.md 已生成
 - [ ] {{DIR}}/skills/code_review/SKILL.md 已生成
+- [ ] {{DIR}}/skills/performance_check/SKILL.md 已生成（性能与安全检查）
 - [ ] plan_mode 中包含平台特定的任务模板
 Agent文件:
@@ -720,7 +735,7 @@ Agent文件:
 📊 生成统计:
 - 规则文件: 2 个 (project_rule.md, conflict_resolution.md)
-- 技能文件: 2 个 (plan_mode, code_review)
+- 技能文件: 3 个 (plan_mode, code_review, performance_check)
 - Agent文件: {3或4} 个 (arch-review, resource-sync, proactive-correction{{#if HAS_NDK}}, cpp-memory-review{{/if}})
 - 引用文档: {N+2} 个 ({N}个模块 + dependencies.md + conventions.md)
 - Hook脚本: 2 个