chaimi-keep-mcp 3.1.47-beta.7 → 3.1.47

package/SKILL.md

@@ -96,7 +96,7 @@ Agent 必须输出：
 
 **如果不执行此步骤：**
 - ❌ 直接调用 `save_expense` / `save_receipt` / `save_income` 会被拒绝
-- ❌ 返回错误：`SKILL_NOT_READ`
+- ❌ 返回错误：没有读取 Skill 文件，请先调用 get_skill 工具
 
 **正确流程：**
 ```
@@ -195,6 +195,20 @@ get_statistics period="this_week"
 
 ## 工具详细说明
 
+### 时间戳规则（所有记账工具通用）
+
+**要求：** 13 位毫秒级时间戳（北京时间 UTC+8）
+
+**⚠️ 常见错误：** 不要直接把秒级时间戳 × 1000（会导致结尾是 000）
+
+**示例：**
+- 当前时间：`Date.now()`
+- 指定时间：`new Date("2026-04-21T14:30:00+08:00").getTime()`
+
+**校验：** 13 位数字，不能是未来时间
+
+---
+
 ### 文字记账（save_expense）
 
 **流程：**
@@ -202,20 +216,6 @@ get_statistics period="this_week"
 2. 使用 Prompt 解析用户输入，获取 JSON 结果
 3. 调用 `save_expense` 保存（传入所有解析结果字段）
 
-**时间处理规则：**
-
-Agent **直接使用当前时间**作为消费时间，无需进行时间语义解析。
-
-**最终传入的 `date` 参数格式：**毫秒级时间戳（13位数字）⚠️ **⚠️ ⚠️ 重要 ⚠️ ⚠️ ⚠️**：
-
-- **必须使用 date 命令计算时间戳，禁止手动填写或猜测**
-- **强制使用以下命令：**
-  ```bash
-  date -j -f "%Y-%m-%d %H:%M:%S" "YYYY-MM-DD HH:MM:SS" +%s000
-  ```
-- 如果未使用 date 命令计算，服务端将拒绝保存
-- 示例格式：`YYYY-MM-DD HH:mm:ss` → `[毫秒时间戳]`（北京时间），禁止使用示例中的具体数字，必须根据当前实际时间重新计算
-
 ---
 
 ### 收入记账（save_income）
@@ -225,20 +225,6 @@ Agent **直接使用当前时间**作为消费时间，无需进行时间语义
 2. 使用 Prompt 解析用户输入，获取 JSON 结果
 3. 调用 `save_income` 保存（传入所有解析结果字段）
 
-**时间处理规则：**
-
-Agent **直接使用当前时间**作为消费时间，无需进行时间语义解析。
-
-**最终传入的 `date` 参数格式：**毫秒级时间戳（13位数字）⚠️ **⚠️ ⚠️ 重要 ⚠️ ⚠️ ⚠️**：
-
-- **必须使用 date 命令计算时间戳，禁止手动填写或猜测**
-- **强制使用以下命令：**
-  ```bash
-  date -j -f "%Y-%m-%d %H:%M:%S" "YYYY-MM-DD HH:MM:SS" +%s000
-  ```
-- 如果未使用 date 命令计算，服务端将拒绝保存
-- 示例格式：`YYYY-MM-DD HH:mm:ss` → `[毫秒时间戳]`（北京时间），禁止使用示例中的具体数字，必须根据当前实际时间重新计算
-
 ---
 
 ### 小票记账（save_receipt）
@@ -249,20 +235,6 @@ Agent **直接使用当前时间**作为消费时间，无需进行时间语义
 3. **字段核对**：确保所有解析结果字段都传给 `save_receipt`
 4. 调用 `save_receipt` 保存
 
-**时间处理规则：**
-
-Agent **直接使用当前时间**作为消费时间，无需进行时间语义解析。
-
-**最终传入的 `date` 参数格式：**毫秒级时间戳（13位数字）⚠️ **⚠️ ⚠️ 重要 ⚠️ ⚠️ ⚠️**：
-
-- **必须使用 date 命令计算时间戳，禁止手动填写或猜测**
-- **强制使用以下命令：**
-  ```bash
-  date -j -f "%Y-%m-%d %H:%M:%S" "YYYY-MM-DD HH:MM:SS" +%s000
-  ```
-- 如果未使用 date 命令计算，服务端将拒绝保存
-- 示例格式：`YYYY-MM-DD HH:mm:ss` → `[毫秒时间戳]`（北京时间），禁止使用示例中的具体数字，必须根据当前实际时间重新计算
-
 ---
 
 ## 确认规则
@@ -286,12 +258,12 @@ Agent **直接使用当前时间**作为消费时间，无需进行时间语义
 
 ## 回复规范（必须严格遵守）
 
-记账成功后，回复格式：
+记账成功后，使用以下格式回复（代码块内每行一个换行）：
 
 ```
-✅ 【商品名/店名】¥【金额】 
+✅ 【商品名/店名】¥【金额】
     已录入【柴米AI记账】
-   【建议增加】自定义消费的内容，让记账信息更全面准确。
+    【补充信息，如购买地点日期】
 ✅ 【友好结束语】
 
 消费洞察：【洞察内容】（可选）
@@ -300,11 +272,11 @@ chaimi-keep-mcp: v【版本号】
 ```
 
 **友好结束语参考：**
-- 餐饮类：用餐愉快！🍚 / 好好吃饭哦~/(自定义正能力符合餐饮类的结束语)
-- 食品类：吃好喝好！🍎 /(自定义正能力符合食品类的结束语)
-- 交通类：出行顺利！🚗 /(自定义正能力符合交通类的结束语)
-- 购物类：买得开心！🛍️ /(自定义正能力符合购物类的结束语)
-- 收入类：入账顺利！💰 /(自定义正能力符合收入类的结束语)
+- 餐饮类：用餐愉快！🍚 / 好好吃饭哦~
+- 食品类：吃好喝好！🍎
+- 交通类：出行顺利！🚗
+- 购物类：买得开心！🛍️
+- 收入类：入账顺利！💰
 - 通用：记账完成！继续保持~ ✨
 
 **消费洞察（可选）：**
@@ -312,8 +284,9 @@ chaimi-keep-mcp: v【版本号】
 - 示例：这是你本周第19次餐饮消费，要不要看看本周餐饮花了多少钱？
 
 **真实示例：**
+
 ```
-✅ 【牛肉】¥24 
+✅ 【牛肉】¥24
     已录入【柴米AI记账】
     华润万家超市，2026年4月16日购买
 ✅ 好好吃饭哦~

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "chaimi-keep-mcp",
-  "version": "3.1.47-beta.7",
+  "version": "3.1.47",
   "description": "柴米记账 MCP Server - 支持 Claude、Cursor、OpenClaw、WorkBuddy 等 AI 工具直接记账",
   "main": "server.js",
   "bin": {

package/server.js

@@ -36,6 +36,93 @@ const { validateDate } = require('./utils/validators.js');
 // API 签名密钥（用于验证请求来自合法 MCP Server）
 const CHAIMI_API_SECRET = 'chaimi-mcp-secret-2024';
 
+// ==================== 请求频率限制 ====================
+
+// 限流配置
+const RATE_LIMITS = {
+  // 记账工具：30 秒 3 次
+  write: {
+    tools: ['save_expense', 'save_receipt', 'save_income'],
+    maxRequests: 3,
+    windowMs: 30 * 1000, // 30 秒
+  },
+  // 查询工具：30 秒 2 次
+  read: {
+    tools: ['get_expenses', 'get_receipt_list', 'get_statistics', 'get_insights', 'export_data'],
+    maxRequests: 2,
+    windowMs: 30 * 1000, // 30 秒
+  },
+  // 配置工具：30 秒 3 次
+  config: {
+    tools: ['get_skill', 'get_parse_prompt', 'get_text_parse_prompt'],
+    maxRequests: 3,
+    windowMs: 30 * 1000, // 30 秒
+  },
+  // 反馈提交：30 秒 1 次
+  feedback: {
+    tools: ['submit_feedback'],
+    maxRequests: 1,
+    windowMs: 30 * 1000, // 30 秒
+  },
+};
+
+// 限流记录：{ toolName: [timestamp1, timestamp2, ...] }
+const rateLimitRecords = {};
+
+// 检查是否超过频率限制
+function checkRateLimit(toolName) {
+  // 查找工具所属的限流组
+  let limitConfig = null;
+  let limitType = null;
+
+  for (const [type, config] of Object.entries(RATE_LIMITS)) {
+    if (config.tools.includes(toolName)) {
+      limitConfig = config;
+      limitType = type;
+      break;
+    }
+  }
+
+  // 如果工具不在限流列表中，直接通过
+  if (!limitConfig) {
+    return { allowed: true };
+  }
+
+  const now = Date.now();
+  const windowStart = now - limitConfig.windowMs;
+
+  // 初始化记录
+  if (!rateLimitRecords[toolName]) {
+    rateLimitRecords[toolName] = [];
+  }
+
+  // 清理过期记录
+  rateLimitRecords[toolName] = rateLimitRecords[toolName].filter(
+    timestamp => timestamp > windowStart
+  );
+
+  // 检查是否超过限制
+  if (rateLimitRecords[toolName].length >= limitConfig.maxRequests) {
+    const oldestRequest = rateLimitRecords[toolName][0];
+    const resetTime = oldestRequest + limitConfig.windowMs;
+    const waitSeconds = Math.ceil((resetTime - now) / 1000);
+
+    return {
+      allowed: false,
+      limitType,
+      maxRequests: limitConfig.maxRequests,
+      windowMs: limitConfig.windowMs,
+      resetTime,
+      waitSeconds,
+    };
+  }
+
+  // 记录本次请求
+  rateLimitRecords[toolName].push(now);
+
+  return { allowed: true };
+}
+
 // URL 加密密钥
 const URL_ENCRYPT_KEY = 'chaimi-url-key-2024';
 
@@ -676,6 +763,44 @@ server.setRequestHandler(CallToolRequestSchema, async (request) => {
     logSource: 'mcp'
   });
 
+  // 检查频率限制
+  const rateLimitResult = checkRateLimit(name);
+  if (!rateLimitResult.allowed) {
+    const waitTime = rateLimitResult.waitSeconds < 60
+      ? `${rateLimitResult.waitSeconds} 秒`
+      : `${Math.ceil(rateLimitResult.waitSeconds / 60)} 分钟`;
+
+    // 记录限流日志
+    logMcpCall({
+      traceId,
+      stage: 'rate_limited',
+      toolName: name,
+      error: 'RATE_LIMIT_EXCEEDED',
+      duration: Date.now() - startTime,
+      agentType,
+      apiProvider,
+      mcpVersion: MCP_VERSION,
+      osType: osInfo.osType,
+      osVersion: osInfo.osVersion,
+      timestamp: new Date().toISOString(),
+      logSource: 'mcp'
+    });
+
+    return {
+      content: [
+        {
+          type: 'text',
+          text: JSON.stringify({
+            success: false,
+            error: `请求过于频繁，30 秒内最多调用 ${rateLimitResult.maxRequests} 次，请 ${waitTime} 后再试`,
+            code: 429
+          })
+        }
+      ],
+      isError: true,
+    };
+  }
+
   // 强制检查：记账工具必须先调用 get_skill
   if (name === 'save_expense' || name === 'save_receipt' || name === 'save_income') {
     const now = Date.now();
@@ -1582,14 +1707,26 @@ function formatDateWithTimezone(dateInput) {
   }
 
   try {
-    // 如果是数字（时间戳），直接返回
+    let timestamp;
+
+    // 如果是数字（时间戳）
     if (typeof dateInput === 'number') {
-      return dateInput;
+      timestamp = dateInput;
     }
-
     // 如果是字符串形式的数字（时间戳）
-    if (/^\d+$/.test(dateInput)) {
-      return parseInt(dateInput, 10);
+    else if (/^\d+$/.test(dateInput)) {
+      timestamp = parseInt(dateInput, 10);
+    }
+
+    // 检测是否是假的时间戳（秒级转毫秒级，结尾是000）
+    if (timestamp && timestamp % 1000 === 0 && String(timestamp).length === 13) {
+      console.error(`⚠️ 警告：检测到可能错误的时间戳（秒级转毫秒级）：${timestamp}，使用当前时间替代`);
+      return Date.now();
+    }
+
+    // 如果是数字时间戳且没问题，直接返回
+    if (timestamp) {
+      return timestamp;
     }
 
     // 如果已经是 UTC 格式（以 Z 结尾），转换为时间戳
@@ -1613,12 +1750,12 @@ function formatDateWithTimezone(dateInput) {
     }
 
     // 其他情况，尝试解析为时间戳
-    const timestamp = new Date(dateInput).getTime();
-    if (isNaN(timestamp)) {
+    const parsedTimestamp = new Date(dateInput).getTime();
+    if (isNaN(parsedTimestamp)) {
       return Date.now(); // 解析失败，返回当前时间戳
     }
 
-    return timestamp;
+    return parsedTimestamp;
   } catch (error) {
     console.error('日期格式化错误:', error);
     return Date.now();
@@ -1689,8 +1826,8 @@ function convertParams(toolName, args) {
         transactionType: 'expense',
         note: sanitizeString(args.note, 500) || '',
         rawInput: sanitizeString(args.rawInput, 1000) || '',
-        agentType: args.agentType || '',
-        apiProvider: args.apiProvider || '',
+        agentType: sanitizeString(args.agentType, 50) || '',
+        apiProvider: sanitizeString(args.apiProvider, 50) || '',
         mcpVersion: MCP_VERSION,
         source: 'mcp_txt_expense',
       };
@@ -1722,7 +1859,7 @@ function convertParams(toolName, args) {
             amount: amount,
             category: sanitizeString(item.category, 50) || '其他',
             subCategory: sanitizeString(item.subCategory, 50) || '',
-            transactionType: item.transactionType || 'expense',
+            transactionType: sanitizeString(item.transactionType, 50) || 'expense',
             price: validateAmount(item.price),
             quantity: item.quantity ? String(item.quantity).substring(0, 20) : '1',
             unit: sanitizeString(item.unit, 20),
@@ -1743,8 +1880,8 @@ function convertParams(toolName, args) {
         totalPoints: parseInt(args.totalPoints) || 0,
         date: formatDateWithTimezone(args.date),
         rawInput: sanitizeString(args.rawInput, 2000),
-        agentType: args.agentType || '',
-        apiProvider: args.apiProvider || '',
+        agentType: sanitizeString(args.agentType, 50) || '',
+        apiProvider: sanitizeString(args.apiProvider, 50) || '',
         mcpVersion: MCP_VERSION,
         source: 'mcp_receipt',
         storeCategory: sanitizeString(args.storeCategory, 50) || '其他',
@@ -1775,8 +1912,8 @@ function convertParams(toolName, args) {
         note: sanitizeString(args.note, 500),
         transactionType: 'income',
         rawInput: sanitizeString(args.rawInput, 1000),
-        agentType: args.agentType || '',
-        apiProvider: args.apiProvider || '',
+        agentType: sanitizeString(args.agentType, 50) || '',
+        apiProvider: sanitizeString(args.apiProvider, 50) || '',
         mcpVersion: MCP_VERSION,
         source: 'mcp_txt_income',
       };