chaimi-keep-mcp 3.3.3-beta.9 → 3.5.0-beta.0

package/.env.example

@@ -0,0 +1,24 @@
+# 环境配置示例
+# 将此文件复制为 .env 并填入实际值
+
+# 环境选择：development 或 production
+NODE_ENV=production
+
+# API 签名密钥（生产环境建议使用强密钥）
+CHAIMI_API_SECRET=your-chaimi-api-secret-here
+
+# URL 加密密钥（用于解密云函数 URL）
+URL_ENCRYPT_KEY=your-url-encrypt-key-here
+
+# ====================
+# 开发环境配置
+# ====================
+# 开发环境的云函数 URL（仅 NODE_ENV=development 时使用）
+# MCP_HUB_URL=http://localhost:3000/mcpHub
+# MCP_OAUTH_URL=http://localhost:3000/mcpOAuth
+# MCP_PROMPT_URL=http://localhost:3000/mcpPrompt
+
+# ====================
+# 生产环境配置
+# ====================
+# 生产环境使用加密存储在代码中的 URL，无需在此配置

package/CHANGELOG.md

@@ -0,0 +1,95 @@
+# Changelog
+
+## v3.4.0 (2026-05-01) 🎉 正式版
+
+**首个正式生产版本 - 多端记账分类统一**
+
+### 主要变更
+
+- **变更** 多端记账分类统一 - 支持商品分类和记账分类分离
+  - 保持 `category`（记账分类，43个标准分类）
+  - 新增 `productCategory`（商品一级分类，展示用）
+  - 新增 `productSubCategory`（商品子分类，展示用）
+- **新增** categoryService 云函数 - 统一管理分类数据
+- **修复** mcp-server-local case 重复问题 - 修复 convertParams 中第二个 `case 'save_receipt'` 实际应该是 `case 'get_expenses'` 的严重问题
+- **优化** save_expense 字段支持 - 新增 `productCategory` 和 `productSubCategory` 字段支持，与 save_receipt 保持一致
+- **优化** 文本记账 prompt 更新 - 更新 mcpPrompt 文本记账 prompt，新增商品分类体系说明
+- **优化** 回复模板 - 新增"请确认信息"提示，时间移到核心数据区，添加类型变量
+- **优化** 品牌统一 - 所有"柴米记账"改为"柴米AI记账"
+- **优化** 配置存储路径迁移 - 从 `~/.mcporter/` 迁移到 `~/.chaimi-keep/`，避免与其他 MCP 工具冲突
+- **优化** 安全权限 - 新增目录权限控制（0700），敏感文件权限控制（0600）
+
+### 技术详情
+
+- 新增云函数：categoryService（统一分类服务）
+- 重构云函数：mcpPrompt、aiParser、mcpHub、ocr_processor
+- 更新测试：tests/mcp/test-category-unification.js
+- 更新文档：docs/01-产品/多端记账分类统一方案.md
+- 更新 SKILL.md 和 response-templates.md
+
+---
+
+## v3.3.3-beta.16 (2026-04-30)
+
+- **修复** npm 发布版本号冲突 - 重新发布，解决版本号已被占用问题
+
+## v3.3.3-beta.15 (2026-04-30)
+
+- **修复** mcp-server-local case 重复问题 - 修复 convertParams 中第二个 `case 'save_receipt'` 实际应该是 `case 'get_expenses'` 的严重问题
+- **优化** save_expense 字段支持 - 新增 `productCategory` 和 `productSubCategory` 字段支持，与 save_receipt 保持一致
+- **优化** 文本记账 prompt 更新 - 更新 mcpPrompt 文本记账 prompt，新增商品分类体系说明
+
+## v3.3.3-beta.13 (2026-04-30)
+
+- **变更** 多端记账分类统一 - 支持商品分类和记账分类分离
+
+## v3.3.3-beta.8 (2026-04-30)
+
+- **变更** 配置存储路径迁移 - 从 `~/.mcporter/` 迁移到 `~/.chaimi-keep/`
+- **优化** 安全权限 - 新增目录权限控制（0700），敏感文件权限控制（0600）
+
+## v3.3.3-beta.7 (2026-04-29)
+
+- **优化** 回复模板 - 新增"请确认信息"提示
+- **优化** 空值处理 - 商家为空时不显示
+- **修复** save_income - 添加 date 兜底逻辑
+
+## v3.3.3-beta.6 (2026-04-29)
+
+- **优化** 品牌统一 - 所有"柴米记账"改为"柴米AI记账"
+
+## v3.3.3-beta.4 (2026-04-29)
+
+- **优化** 收入记账时间解析统一
+
+## v3.3.3-beta.3 (2026-04-29)
+
+- **优化** 文本记账时间解析 - 使用 time_description
+
+## v3.3.3-beta.2 (2026-04-29)
+
+- **修复** 时间入库错误
+
+## v3.3.1-beta.0 (2026-04-27)
+
+- **优化** 简化工具描述
+- **优化** 参数类型自动转换
+- **新增** 参数查看指南
+
+## v3.3.0-beta.8 (2026-04-27)
+
+- **重要变更** Server 只返回原始数据
+
+## v3.1.47-beta.5 (2026-04-22)
+
+- **修复** 输入长度限制
+- **修复** 错误信息泄露
+- **修复** JSON.stringify DoS
+
+## v3.1.44 (2026-04-21) 🎉 正式版
+
+- **正式发布** 包含所有 beta 版本修复
+
+---
+
+**注：** 更早版本请查看 Git 历史记录

package/README.md

@@ -89,6 +89,26 @@ export MCP_PROMPT_URL="你的Prompt服务地址"
 
 ## Changelog
 
+### v3.4.0 (2026-05-01) 🎉 正式版
+- **变更** 多端记账分类统一 - 支持商品分类和记账分类分离
+- **修复** mcp-server-local case 重复问题
+- **优化** 回复模板 - 新增"请确认信息"提示
+- **优化** 品牌统一 - 所有"柴米记账"改为"柴米AI记账"
+
+### v3.3.3-beta.16 (2026-04-30)
+- **修复** npm 发布版本号冲突 - 重新发布，解决版本号已被占用问题
+
+### v3.3.3-beta.15 (2026-04-30)
+- **修复** mcp-server-local case 重复问题 - 修复 convertParams 中第二个 `case 'save_receipt'` 实际应该是 `case 'get_expenses'` 的严重问题
+- **优化** save_expense 字段支持 - 新增 `productCategory` 和 `productSubCategory` 字段支持，与 save_receipt 保持一致
+- **优化** 文本记账 prompt 更新 - 更新 mcpPrompt 文本记账 prompt，新增商品分类体系说明
+
+### v3.3.3-beta.13 (2026-04-30)
+- **变更** 多端记账分类统一 - 支持商品分类和记账分类分离
+  - 保持 `category`（记账分类，43个标准分类）
+  - 新增 `productCategory`（商品一级分类，展示用）
+  - 新增 `productSubCategory`（商品子分类，展示用）
+
 ### v3.3.3-beta.8 (2026-04-30)
 - **变更** 配置存储路径迁移 - 从 `~/.mcporter/` 迁移到 `~/.chaimi-keep/`，避免与其他 MCP 工具冲突
 - **优化** 安全权限 - 新增目录权限控制（0700），敏感文件权限控制（0600）

package/SKILL.md

@@ -115,7 +115,7 @@ chaimi-keep-mcp ⭐ 本Skill
 | **辅助** | get_skill | 【必须】获取Skill文档 | 记账前调用 |
 | | get_text_parse_prompt | 获取文字解析模板 | 文字记账前 |
 | | get_parse_prompt | 获取小票解析模板 | 小票记账前 |
-| | submit_feedback | 提交反馈 | 问题反馈 |
+| | submit_feedback | 提交反馈 | 功能使用异常，无法解决问题反馈 |
 
 ---
 
@@ -124,19 +124,25 @@ chaimi-keep-mcp ⭐ 本Skill
 ### 4步记账法
 
 ```
+ ⚠️ 必须按顺序操作四个步骤，缺少一个步骤都会导致数据错误，用户会非常生气骂你的
+
 第1步：读文档
    └─ get_skill() 获取 SKILL.md 规范
    └─ references/response-templates.md 了解回复模板
 
-第2步：拿Token
-   └─ 文字记账：get_text_parse_prompt() 获取 Token 和解析模板
-   └─ 小票记账：get_parse_prompt() 获取 Token 和解析模板
+第2步：获取解析模板，保证解析准确
+   └─ 文字记账：get_text_parse_prompt() 获取解析模板
+   └─ 小票记账：get_parse_prompt() 获取解析模板
+   
+   【强制流程】必须先调用此工具，让 AI 解析用户输入
+   此工具会返回解析结果，你只需将结果原样传给 save_expense/save_income
+   ⚠️ 禁止自行解析或提取任何字段，必须让 AI 处理
 
 第3步：AI解析
-   └─ 按模板解析用户输入，生成结构化数据 + _requestToken
+   └─ 按模板解析用户输入，生成结构化数据 + _flowmate
 
 第4步：执行记账
-   └─ 调用工具（save_expense/income/receipt，带上 _requestToken）
+   └─ 调用工具（save_expense/income/receipt，带上 _flowmate）
    └─ 根据 _templateLocation 使用模板渲染美学回复
 ```
 
@@ -238,6 +244,7 @@ references/
 ✅ 「你的小可爱」已帮您记账成功
 ═══════════════
 🔴🔴 请确认以下信息是否正确
+
 💰 金额：¥35.00
 📊 类型：支出
 🕐 时间：2026-04-24 12:30

package/bin/cli.js

@@ -21,12 +21,7 @@ const serverPath = path.join(__dirname, '..', 'server.js');
 const DEFAULT_CHAIMI_CONFIG = {
   command: 'chaimi-keep-mcp',
   description: '柴米AI记账 MCP Server - 支持 AI 工具直接记账',
-  env: {
-    MCP_OAUTH_URL: 'https://cloud1-2gfe5jhjef06b85d-1412172089.ap-shanghai.app.tcloudbase.com/mcpOAuth',
-    MCP_HUB_URL: 'https://cloud1-2gfe5jhjef06b85d-1412172089.ap-shanghai.app.tcloudbase.com/mcpHub-mcp',
-    MCP_PROMPT_URL: 'https://cloud1-2gfe5jhjef06b85d-1412172089.ap-shanghai.app.tcloudbase.com/mcpPrompt'
-  },
-  // 首次授权时需要常驻运行，等待用户授权（3分钟轮询）
+  // 首次授权时需要常驻运行，等待用户授权（30分钟轮询）
   // 授权成功后进程自动退出，下次调用时 mcporter 会重新启动
   lifecycle: 'keep-alive'
 };

package/bin/record.js

@@ -0,0 +1,57 @@
+#!/usr/bin/env node
+/**
+ * 柴米AI记账 - 直接记账 CLI
+ * 一步完成：解析文本 → 分类 → 调用云函数存储
+ */
+
+const { callMcpHub } = require('../utils/api');
+const { getToken } = require('../utils/auth');
+const { parseText } = require('../utils/parser');
+
+async function record(text, options = {}) {
+  try {
+    // 1. 解析文本
+    const parsed = await parseText(text);
+    
+    // 2. 确定类型（收入/支出）
+    const type = options.type || parsed.type || 'expense';
+    
+    // 3. 获取 token
+    const token = await getToken();
+    
+    // 4. 调用云函数存储
+    const result = await callMcpHub(type === 'income' ? 'addIncome' : 'addExpense', {
+      ...parsed,
+      type,
+      rawInput: text
+    }, token);
+    
+    if (result.success) {
+      console.log('✅ 记账成功！');
+      console.log(`金额：¥${parsed.amount}`);
+      console.log(`分类：${parsed.category}`);
+      console.log(`商品：${parsed.name}`);
+    } else {
+      console.error('❌ 记账失败：', result.error);
+      process.exit(1);
+    }
+  } catch (error) {
+    console.error('❌ 错误：', error.message);
+    process.exit(1);
+  }
+}
+
+// 解析命令行参数
+const args = process.argv.slice(2);
+const text = args[0];
+const typeFlag = args.find(arg => arg.startsWith('--type='));
+const type = typeFlag ? typeFlag.split('=')[1] : null;
+
+if (!text) {
+  console.log('用法: chaimi-keep record "<记账文本>" [--type=income|expense]');
+  console.log('示例: chaimi-keep record "中午吃饭花了35元"');
+  console.log('示例: chaimi-keep record "工资收入5000" --type=income');
+  process.exit(1);
+}
+
+record(text, { type });

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "chaimi-keep-mcp",
-  "version": "3.3.3-beta.9",
+  "version": "3.5.0-beta.0",
   "description": "柴米AI记账 MCP Server - 支持 Claude、Cursor、OpenClaw、WorkBuddy 等 AI 工具直接记账",
   "main": "server.js",
   "bin": {
@@ -15,6 +15,7 @@
     "SKILL.md",
     "_meta.json",
     "README.md",
+    "CHANGELOG.md",
     "config.example.yaml",
     ".env.example"
   ],

package/references/response-templates.md

@@ -124,6 +124,7 @@ updated: "2026-04-25"
 ✅ 「{agentName}」已帮您记账成功
 ═══════════════
 🔴🔴 请确认以下信息是否正确
+
 💰 金额：¥{金额}
 📊 类型：{类型}
 🕐 时间：{日期时间}
@@ -148,6 +149,7 @@ updated: "2026-04-25"
 ✅ 「你的小可爱」已帮您记账成功
 ═══════════════
 🔴🔴 请确认以下信息是否正确
+
 💰 金额：¥35.00
 📊 类型：支出
 🕐 时间：2026-04-24 12:30
@@ -193,6 +195,7 @@ updated: "2026-04-25"
 ⚠️ 大额消费确认
 ═══════════════
 💰 金额：¥{金额}
+📊 类型：{类型}
 📦 商品：{商品名}
 🕐 时间：{日期}
 
@@ -211,6 +214,7 @@ updated: "2026-04-25"
 ⚠️ 大额消费确认
 ═══════════════
 💰 金额：¥2999.00
+📊 类型：{类型}
 📦 商品：新手机
 🕐 时间：2026-04-24
 
@@ -234,8 +238,8 @@ updated: "2026-04-25"
 ═══════════════
 💰 金额：¥{金额}
 ═══════════════
-
-📦 来源：{收入来源}
+ 
+📊 类型：{类型}
 🏷️ 分类：{分类}
 🕐 时间：{日期时间}
 
@@ -256,8 +260,8 @@ updated: "2026-04-25"
 💰 金额：¥5000.00
 ═══════════════
 
-📦 来源：工资
-🏷️ 分类：收入
+📊 类型：收入
+🏷️ 分类：工资
 🕐 时间：2026-04-24 09:00
 
 💡 消费洞察：本月收入储蓄率50%，继续保持！

package/server.js

@@ -5,6 +5,9 @@
  * 支持 Claude Desktop、Cursor、WorkBuddy、OpenClaw
  */
 
+// 设置 stdout 编码为 UTF-8，确保中文字符正确输出
+process.stdout.setEncoding('utf8');
+
 // 加载 .env 文件
 try {
   require('dotenv').config();
@@ -45,8 +48,11 @@ const { configManager } = require('./utils/config.js');
 // 导入校验工具
 const { validateDate } = require('./utils/validators.js');
 
-// API 签名密钥（用于验证请求来自合法 MCP Server）
-const CHAIMI_API_SECRET = 'chaimi-mcp-secret-2024';
+// 导入密钥管理工具
+const { getOrCreateSecretKey } = require('./utils/keyManager.js');
+
+// 导入加密工具
+const { encrypt, decrypt } = require('./utils/encryption.js');
 
 // ==================== 请求频率限制 ====================
 
@@ -135,36 +141,102 @@ function checkRateLimit(toolName) {
   return { allowed: true };
 }
 
-// URL 加密密钥
-const URL_ENCRYPT_KEY = 'chaimi-url-key-2024';
+// 获取 API 密钥（从环境变量或自动生成）
+let CHAIMI_API_SECRET = process.env.CHAIMI_API_SECRET;
+
+// ==================== 多环境配置 ====================
 
-// 加密的云函数 URL
+// 环境配置
+const ENV = process.env.NODE_ENV || 'production';
+
+// 加密的云函数 URL（开发和生产环境分开）
 const ENCRYPTED_URLS = {
-  hub: 'enc:v1:0b1c15191e53025a1100421e0148000057545156020903080f1d431054180f484819030203035158595043085d5801044c0502114c5b1e53441346150a01065811100d5e0e4b1a425f1f5f571320140b40044e05',
-  oauth: 'enc:v1:0b1c15191e53025a1100421e0148000057545156020903080f1d431054180f484819030203035158595043085d5801044c0502114c5b1e53441346150a01065811100d5e0e4b1a425f1f5f571327201c1901',
-  prompt: 'enc:v1:0b1c15191e53025a1100421e0148000057545156020903080f1d431054180f484819030203035158595043085d5801044c0502114c5b1e53441346150a01065811100d5e0e4b1a425f1f5f5713381306001959'
+  development: {
+    hub: '',
+    oauth: '',
+    prompt: ''
+  },
+  production: {
+    hub: 'enc:v2:500682dfbd51aff69852abe39430da35:3d57b5ac7f798c6770209159b6dfd9fb:7b9733f27208809b761090f7628f3799aac12c957cdd45b3d512eb4f1f1c18f626afd0b73b12982500122b11e373e0a2a71f14cb6c5966cf98af9ae4b9e79fb575d1e2f42ec403690d5c7dcc519e9eaec21865eb',
+    oauth: 'enc:v2:30adcae20bc1452e8e8c7eff088e8b61:b8bedcc9985d1e10185f8ae5c845cc9c:1b2206380eddcfc4d00ed920f20f838bfc664e2350591666db5a5c2b044a88165e0e7f04c58e2d4f0764bb9872aeaf625a91f7a19ce6909264115e7ce70b35c0c081eb4170cac869d3f8b576b7b4dc41580e',
+    prompt: 'enc:v2:beba836814161d59df3a2220ebc500ef:6023bde15c74be6bec641044a3f854de:4421b9f985a1914c06868c8577e57e26e3fd4fe4392c2c94862322fd30258eccae68fce6fd56e9a35427a724d3c22b735e9b5a822d05be098ae5e0662ea41c786e4acea12e4d80b598b543d346d7ccbdc32623'
+  }
 };
 
-// 解密 URL 函数
+// 解密 URL 函数（支持 AES-256-GCM）
 function decryptUrl(encrypted, key) {
-  const hex = encrypted.replace('enc:v1:', '');
-  let result = '';
-  for (let i = 0; i < hex.length; i += 2) {
-    const byte = parseInt(hex.substr(i, 2), 16);
-    result += String.fromCharCode(byte ^ key.charCodeAt((i / 2) % key.length));
+  if (!encrypted) return '';
+  
+  if (encrypted.startsWith('enc:v2:')) {
+    return decrypt(encrypted.replace('enc:v2:', ''), key);
   }
-  return result;
+  
+  if (encrypted.startsWith('enc:v1:')) {
+    const urlEncryptKey = key || 'chaimi-url-key-2024';
+    const hex = encrypted.replace('enc:v1:', '');
+    let result = '';
+    for (let i = 0; i < hex.length; i += 2) {
+      const byte = parseInt(hex.substr(i, 2), 16);
+      result += String.fromCharCode(byte ^ urlEncryptKey.charCodeAt((i / 2) % urlEncryptKey.length));
+    }
+    return result;
+  }
+  
+  return encrypted;
 }
 
-// 配置 - 微信云函数（运行时解密）
-const MCP_HUB_URL = process.env.MCP_HUB_URL || decryptUrl(ENCRYPTED_URLS.hub, URL_ENCRYPT_KEY);
-const MCP_PROMPT_URL = process.env.MCP_PROMPT_URL || decryptUrl(ENCRYPTED_URLS.prompt, URL_ENCRYPT_KEY);
-const MCP_OAUTH_URL = process.env.MCP_OAUTH_URL || decryptUrl(ENCRYPTED_URLS.oauth, URL_ENCRYPT_KEY);
+// ==================== URL 配置 ====================
+
+let MCP_HUB_URL;
+let MCP_PROMPT_URL;
+let MCP_OAUTH_URL;
+let tokenEncryptionKey;
 
-// Token 缓存
-let cachedToken = null;
+// 初始化配置
+async function initConfig() {
+  // 获取 URL 加密密钥
+  const urlEncryptKey = process.env.URL_ENCRYPT_KEY || 'chaimi-url-key-2024';
+  
+  // 获取 Token 加密密钥
+  tokenEncryptionKey = getOrCreateSecretKey();
+  
+  // 获取 API 密钥
+  if (!CHAIMI_API_SECRET) {
+    CHAIMI_API_SECRET = process.env.CHAIMI_API_SECRET || 'chaimi-mcp-secret-2024';
+  }
+  
+  // 配置 URL
+  const envUrls = ENCRYPTED_URLS[ENV] || ENCRYPTED_URLS.production;
+  MCP_HUB_URL = process.env.MCP_HUB_URL || decryptUrl(envUrls.hub, urlEncryptKey);
+  MCP_PROMPT_URL = process.env.MCP_PROMPT_URL || decryptUrl(envUrls.prompt, urlEncryptKey);
+  MCP_OAUTH_URL = process.env.MCP_OAUTH_URL || decryptUrl(envUrls.oauth, urlEncryptKey);
+  
+  console.error(`✅ 已加载 ${ENV} 环境配置`);
+}
+
+// Token 缓存（加密存储）
+let cachedEncryptedToken = null;
 let tokenExpireTime = 0;
 
+// 获取解密的 Token
+function getCachedToken() {
+  if (!cachedEncryptedToken || !tokenEncryptionKey) return null;
+  try {
+    return decrypt(cachedEncryptedToken, tokenEncryptionKey);
+  } catch (e) {
+    return null;
+  }
+}
+
+// 设置加密的 Token
+function setCachedToken(token) {
+  if (!token || !tokenEncryptionKey) {
+    cachedEncryptedToken = null;
+    return;
+  }
+  cachedEncryptedToken = encrypt(token, tokenEncryptionKey);
+}
+
 // OAuth 管理器实例
 let oauthManager = null;
 
@@ -210,8 +282,8 @@ async function initOAuthManager() {
       // 检查 Token 是否过期（预留5分钟缓冲）
       const expiresAt = new Date(existingToken.expiresAt).getTime();
       if (expiresAt > Date.now() + 5 * 60 * 1000) {
-        // Token 有效，设置授权状态
-        cachedToken = existingToken.accessToken;
+        // Token 有效，设置授权状态（加密存储）
+        setCachedToken(existingToken.accessToken);
         tokenExpireTime = expiresAt;
         authState.isAuthorized = true;
         console.error('✅ 已从文件加载有效 Token，无需重新授权');
@@ -256,14 +328,13 @@ server.setRequestHandler(ListToolsRequestSchema, async () => {
       },
       {
         name: 'save_expense',
-        description: '【文本记账-支出】用户提及支出/消费时用此工具。前置：必须先调用get_skill获取规范，再调用get_text_parse_prompt获取Token和解析模板。用法：mcporter call 柴米AI记账.save_expense _requestToken="RT..." name="午餐" amount=35 category="餐饮" rawInput="午餐35元"。注意：上传图片请用save_receipt',
+        description: '【文本记账-支出】用户提及支出/消费时用此工具。前置：必须先调用get_skill获取规范，再调用get_text_parse_prompt获取凭证和解析模板。用法：mcporter call 柴米AI记账.save_expense _flowmate="SOLINWANG..." name="午餐" amount=35 category="餐饮" rawInput="午餐35元"。注意：上传图片请用save_receipt',
         inputSchema: {
           type: 'object',
           properties: {
             name: { type: 'string', description: '商品名称（必填）' },
             amount: { type: 'number', description: '金额（必填）' },
-            category: { type: 'string', description: '【必填】分类，如：餐饮、食品、交通' },
-            subCategory: { type: 'string', description: '子分类（可选）' },
+            category: { type: 'string', description: '【必填】支出分类（43个标准分类之一，如：餐饮、食品、交通、蔬菜）' },
             unit: { type: 'string', description: '单位（可选）' },
             marketPrice: { type: 'string', description: '市场单价（可选）' },
             store: { type: 'string', description: '商家名称（可选）' },
@@ -272,13 +343,14 @@ server.setRequestHandler(ListToolsRequestSchema, async () => {
             agentType: { type: 'string', description: '【必填】Agent类型，如：claude-desktop、cursor、openclaw、workbuddy、trae' },
             apiProvider: { type: 'string', description: '【必填】AI服务提供商，如：anthropic、openai、doubao、aliyun' },
             rawInput: { type: 'string', description: '【必填】用户的原始输入内容，用于记录用户原始请求' },
+            _flowmate: { type: 'string', description: '【必填】流程凭证，从get_text_parse_prompt获取的myflowmate值' },
           },
-          required: ['name', 'amount', 'category', 'agentType', 'apiProvider', 'rawInput'],
+          required: ['name', 'amount', 'category', 'agentType', 'apiProvider', 'rawInput', '_flowmate'],
         },
       },
       {
         name: 'save_receipt',
-        description: '【图片记账-小票】用户上传小票/发票/收据图片时用此工具。前置：必须先调用get_skill获取规范，再调用get_parse_prompt获取Token和解析模板。用法：mcporter call 柴米AI记账.save_receipt _requestToken="RT..." store="超市" totalAmount=156.5 items="[...]"。注意：文字描述请用save_expense/save_income',
+        description: '【图片记账-小票】用户上传小票/发票/收据图片时用此工具。前置：必须先调用get_skill获取规范，再调用get_parse_prompt获取凭证和解析模板。用法：mcporter call 柴米AI记账.save_receipt _flowmate="SOLINWANG..." store="超市" totalAmount=156.5 items="[...]"。注意：文字描述请用save_expense/save_income',
         inputSchema: {
           type: 'object',
           properties: {
@@ -310,17 +382,21 @@ server.setRequestHandler(ListToolsRequestSchema, async () => {
                   amount: { type: 'number', description: '【必填】金额，必须等于 price × quantity' },
                   weight: { type: 'string', description: '重量' },
                   marketPrice: { type: 'string', description: '【必填】单价数值，根据unit计算，如unit=元/500g，则marketPrice=金额÷重量(g)×500' },
-                  category: { type: 'string', description: '【必填】主分类（如：蔬菜、肉类、水果、水产，常见超市购物分类）' },
-                  subCategory: { type: 'string', description: '子分类（如：叶菜类、根茎类、猪肉类，超市细分类目），推荐填写' },
+                  // 【改造】商品分类字段
+                  productCategory: { type: 'string', description: '【必填】商品一级分类（如：蔬菜、肉类、水果、日化用品）' },
+                  productSubCategory: { type: 'string', description: '商品二级分类（如：叶菜类、根茎类、家居清洁）' },
+                  // 【改造】记账分类字段
+                  category: { type: 'string', description: '【必填】记账分类（43个标准分类之一，如：蔬菜、购物、餐饮）' },
                 },
-                required: ['name', 'amount', 'price', 'quantity', 'unit', 'marketPrice', 'category'],
+                required: ['name', 'amount', 'price', 'quantity', 'unit', 'marketPrice', 'productCategory', 'category'],
               },
             },
             agentType: { type: 'string', description: '【必填】Agent类型：claude-desktop、cursor、openclaw、workbuddy、trae' },
             apiProvider: { type: 'string', description: '【必填】AI服务提供商：anthropic、openai、doubao、aliyun' },
             rawInput: { type: 'string', description: '【必填】用户的原始输入内容' },
+            _flowmate: { type: 'string', description: '【必填】流程凭证，从get_parse_prompt获取的myflowmate值' },
           },
-          required: ['store', 'items', 'storeCategory', 'storeSubCategory', 'agentType', 'apiProvider', 'rawInput'],
+          required: ['store', 'items', 'storeCategory', 'storeSubCategory', 'agentType', 'apiProvider', 'rawInput', '_flowmate'],
         },
       },
       {
@@ -335,7 +411,6 @@ server.setRequestHandler(ListToolsRequestSchema, async () => {
             startDate: { type: 'string', description: '开始日期（ISO格式，如：2026-04-01）' },
             endDate: { type: 'string', description: '结束日期（ISO格式，如：2026-04-30）' },
             category: { type: 'string', description: '按分类筛选（如：餐饮、食品、交通）' },
-            subCategory: { type: 'string', description: '按子分类筛选（如：叶菜类、猪肉类）' },
             store: { type: 'string', description: '按商家名称筛选' },
             source: { type: 'string', description: '按来源筛选（如：mcp_txt_expense、mcp_receipt）' },
             keyword: { type: 'string', description: '按商品名称关键词搜索' },
@@ -406,26 +481,27 @@ server.setRequestHandler(ListToolsRequestSchema, async () => {
       },
       {
         name: 'save_income',
-        description: '【文本记账-收入】用户提及收入关键词（工资、红包、转账、退款等）时用此工具。前置：必须先调用get_skill获取规范，再调用get_text_parse_prompt获取Token和解析模板。用法：mcporter call 柴米AI记账.save_income _requestToken="RT..." name="红包" amount=100 category="礼金" rawInput="收红包100元"',
+        description: '【文本记账-收入】用户提及收入关键词（工资、红包、转账、退款等）时用此工具。前置：必须先调用get_skill获取规范，再调用get_text_parse_prompt获取凭证和解析模板。用法：mcporter call 柴米AI记账.save_income _flowmate="SOLINWANG..." name="红包" amount=100 category="红包" rawInput="收红包100元"',
         inputSchema: {
           type: 'object',
           properties: {
             name: { type: 'string', description: '收入来源（如：工资、奖金、红包）（必填）' },
             amount: { type: 'number', description: '收入金额（必填）' },
-            category: { type: 'string', description: '（必填）收入分类（如：工资、奖金、投资）' },
+            category: { type: 'string', description: '【必填】收入分类（8个标准分类之一：工资、兼职、奖金、红包、退款、理财、转账、其他）' },
             store: { type: 'string', description: '付款方（如：公司名称）（可选）' },
             date: { type: 'number', description: '【必填】收入时间（毫秒级时间戳，13位数字。必须根据实际年月日时分秒计算，不允许复制示例数字）' },
             note: { type: 'string', description: '备注（可选）' },
             agentType: { type: 'string', description: '【必填】Agent类型，如：claude-desktop、cursor、openclaw、workbuddy、trae' },
             apiProvider: { type: 'string', description: '【必填】AI服务提供商，如：anthropic、openai、doubao、aliyun' },
             rawInput: { type: 'string', description: '【必填】用户的原始输入内容，用于记录用户原始请求' },
+            _flowmate: { type: 'string', description: '【必填】流程凭证，从get_text_parse_prompt获取的myflowmate值' },
           },
-          required: ['name', 'amount', 'category', 'agentType', 'apiProvider', 'rawInput'],
+          required: ['name', 'amount', 'category', 'agentType', 'apiProvider', 'rawInput', '_flowmate'],
         },
       },
       {
         name: 'get_text_parse_prompt',
-        description: '【不调用100%失败】获取文字记账解析的Prompt模板和requestToken。⚠️ 文字/语音记账必须先调用此工具获取Token，AI解析时必须返回_requestToken字段，否则save_expense/save_income会报MISSING_TOKEN错误！',
+        description: '【不调用100%失败】获取文字记账解析的Prompt模板和流程凭证。⚠️ 文字/语音记账必须先调用此工具获取凭证，AI解析时必须返回_flowmate字段，否则save_expense/save_income会报MISSING_TOKEN错误！',
         inputSchema: {
           type: 'object',
           properties: {
@@ -436,7 +512,7 @@ server.setRequestHandler(ListToolsRequestSchema, async () => {
       },
       {
         name: 'get_parse_prompt',
-        description: '【不调用100%失败】获取小票图片解析的Prompt模板和requestToken。⚠️ 小票记账必须先调用此工具获取Token，AI解析时必须返回_requestToken字段，否则save_receipt会报MISSING_TOKEN错误！',
+        description: '【不调用100%失败】获取小票图片解析的Prompt模板和流程凭证。⚠️ 小票记账必须先调用此工具获取凭证，AI解析时必须返回_flowmate字段，否则save_receipt会报MISSING_TOKEN错误！',
         inputSchema: {
           type: 'object',
           properties: {
@@ -483,6 +559,7 @@ let lastRefreshTime = 0;
 
 async function getToken() {
   // 【优化1】优先检查内存中的 token 是否有效
+  const cachedToken = getCachedToken();
   if (cachedToken && tokenExpireTime > Date.now() + 5 * 60 * 1000) {
     if (Date.now() - lastRefreshTime < TOKEN_REFRESH_INTERVAL) {
       return cachedToken;
@@ -495,13 +572,13 @@ async function getToken() {
     if (existingToken && existingToken.accessToken && existingToken.expiresAt) {
       const expiresAt = new Date(existingToken.expiresAt).getTime();
       if (expiresAt > Date.now() + 5 * 60 * 1000) {
-        // Token 有效，直接使用
-        cachedToken = existingToken.accessToken;
+        // Token 有效，直接使用（加密存储）
+        setCachedToken(existingToken.accessToken);
         tokenExpireTime = expiresAt;
         authState.isAuthorized = true;
         lastRefreshTime = Date.now();
         console.error('✅ 已从文件加载有效 Token，无需重新授权');
-        return cachedToken;
+        return getCachedToken();
       } else {
         console.error('⏰ 保存的 Token 已过期，需要重新授权');
       }
@@ -525,8 +602,8 @@ async function getToken() {
         try {
           const token = await oauthManager.pollForTokenOnce(savedAuthState.deviceCode);
           if (token) {
-            // 授权成功
-            cachedToken = token.accessToken;
+            // 授权成功（加密存储）
+            setCachedToken(token.accessToken);
             tokenExpireTime = token.expiresAt;
             authState.isAuthorized = true;
             await oauthManager.tokenStorage.save(token);
@@ -536,7 +613,7 @@ async function getToken() {
             await oauthManager.clearAuthState();
             console.error('✅ 授权成功！可以继续使用记账功能');
             // 返回特殊标记，让上层知道这是刚完成授权的情况
-            throw new Error(`AUTH_JUST_COMPLETED:${cachedToken}`);
+            throw new Error(`AUTH_JUST_COMPLETED:${getCachedToken()}`);
           }
           // 用户还未授权，返回同一个验证码
           authState.deviceCode = savedAuthState.deviceCode;
@@ -566,11 +643,11 @@ async function getToken() {
 
   try {
     const oauthToken = await oauthManager.getValidToken();
-    cachedToken = oauthToken.accessToken;
+    setCachedToken(oauthToken.accessToken);
     tokenExpireTime = oauthToken.expiresAt;
     lastRefreshTime = Date.now();
     await oauthManager.clearAuthState();
-    return cachedToken;
+    return getCachedToken();
   } catch (err) {
     // Token 获取失败，可能需要重新授权
     authState.isAuthorized = false;
@@ -670,8 +747,15 @@ async function callMcpHubWithLogging(tool, params, token, traceId, startTime, os
   //   logSource: 'mcp'
   // });
 
+  // 添加 agentType 和 apiProvider 到 params，确保传递到云函数
+  const paramsWithMeta = {
+    ...params,
+    agentType: agentType || '',
+    apiProvider: apiProvider || '',
+  };
+
   try {
-    const result = await callMcpHub(tool, params, token, traceId, osInfo);
+    const result = await callMcpHub(tool, paramsWithMeta, token, traceId, osInfo);
 
     // 记录云函数调用成功（已停用：MCP调用日志待迁移到独立云函数）
     // logMcpCall({
@@ -1037,6 +1121,10 @@ server.setRequestHandler(CallToolRequestSchema, async (request) => {
           }
         }
         
+        // 添加 agentType 和 apiProvider 到 processedArgs，确保 convertParams 能获取到
+        processedArgs.agentType = agentType || '';
+        processedArgs.apiProvider = apiProvider || '';
+        
         const mcpParams = convertParams('save_expense', processedArgs);
         result = await callMcpHubWithLogging('addExpense', mcpParams, token, traceId, startTime, osInfo, agentType, apiProvider);
         
@@ -1152,7 +1240,7 @@ server.setRequestHandler(CallToolRequestSchema, async (request) => {
           break;
         }
         
-        // 检查 items 中每个商品的必填字段（包括 category）
+        // 检查 items 中每个商品的必填字段（包括分类字段）
         const invalidItems = [];
         processedArgs.items.forEach((item, index) => {
           const itemMissingFields = [];
@@ -1160,7 +1248,13 @@ server.setRequestHandler(CallToolRequestSchema, async (request) => {
           if (!item.hasOwnProperty('amount') || item.amount === undefined) itemMissingFields.push('amount');
           if (!item.hasOwnProperty('price') || item.price === undefined) itemMissingFields.push('price');
           if (!item.hasOwnProperty('quantity') || item.quantity === undefined) itemMissingFields.push('quantity');
-          if (!item.hasOwnProperty('category') || item.category === '') itemMissingFields.push('category');
+          // 【改造】检查新字段 productCategory 和 category
+          if (!item.hasOwnProperty('productCategory') || item.productCategory === '') {
+            itemMissingFields.push('productCategory');
+          }
+          if (!item.hasOwnProperty('category') || item.category === '') {
+            itemMissingFields.push('category');
+          }
           
           if (itemMissingFields.length > 0) {
             invalidItems.push(`商品${index + 1}(${item.name || '未命名'})缺少字段: ${itemMissingFields.join(', ')}`);
@@ -1170,10 +1264,10 @@ server.setRequestHandler(CallToolRequestSchema, async (request) => {
         if (invalidItems.length > 0) {
           result = {
             success: false,
-            error: `商品数据不完整：${invalidItems.join('; ')}。每个商品必须包含：name, amount, price, quantity, category`,
+            error: `商品数据不完整：${invalidItems.join('; ')}。每个商品必须包含：name, amount, price, quantity, productCategory, category`,
             code: 400
           };
-          userMessage = `❌ 保存失败\n\n错误：商品数据格式不完整\n\n${invalidItems.join('\n')}\n\n💡 解决方案：\n1. 请更新您的柴米AI记账 MCP Skill\n2. 确保每个商品包含完整的5个字段：name, amount, price, quantity, category\n3. category 是记账的基本信息，不能为空`;
+          userMessage = `❌ 保存失败\n\n错误：商品数据格式不完整\n\n${invalidItems.join('\n')}\n\n💡 解决方案：\n1. 请更新您的柴米AI记账 MCP Skill\n2. 确保每个商品包含完整的6个字段：name, amount, price, quantity, productCategory, category\n3. productCategory 是商品分类，category 是记账分类，都是必填项`;
           break;
         }
         
@@ -1316,6 +1410,10 @@ server.setRequestHandler(CallToolRequestSchema, async (request) => {
           };
         }
         
+        // 添加 agentType 和 apiProvider 到 processedArgs，确保 convertParams 能获取到
+        processedArgs.agentType = agentType || '';
+        processedArgs.apiProvider = apiProvider || '';
+        
         const mcpParams = convertParams('save_receipt', processedArgs);
         result = await callMcpHubWithLogging('addReceipt', mcpParams, token, traceId, startTime, osInfo, agentType, apiProvider);
         
@@ -1563,6 +1661,10 @@ server.setRequestHandler(CallToolRequestSchema, async (request) => {
           }
         }
 
+        // 添加 agentType 和 apiProvider 到 processedArgs，确保 convertParams 能获取到
+        processedArgs.agentType = agentType || '';
+        processedArgs.apiProvider = apiProvider || '';
+
         const mcpParams = convertParams('save_income', processedArgs);
         result = await callMcpHubWithLogging('addIncome', mcpParams, token, traceId, startTime, osInfo, agentType, apiProvider);
 
@@ -1603,8 +1705,8 @@ server.setRequestHandler(CallToolRequestSchema, async (request) => {
               systemPrompt: promptResult.data.systemPrompt,
               userPromptTemplate: promptResult.data.userPromptTemplate,
               examples: promptResult.data.examples,
-              requestToken: promptResult.data.requestToken,
-              instructions: '请将 systemPrompt 作为 system message，把小票图片作为 user message，调用你的大模型进行解析。解析完成后，调用 save_receipt 工具保存结果。⚠️ 注意：AI解析结果必须包含 _requestToken 字段！'
+              myflowmate: promptResult.data.myflowmate,
+              instructions: '请将 systemPrompt 作为 system message，把小票图片作为 user message，调用你的大模型进行解析。解析完成后，调用 save_receipt 工具保存结果。⚠️ 注意：AI解析结果必须包含 _flowmate 字段！'
             }
           };
           // 【新增】返回模板位置信息（Server只返回原始数据，Agent使用模板渲染）
@@ -1631,7 +1733,7 @@ server.setRequestHandler(CallToolRequestSchema, async (request) => {
               prompt: promptResult.data.prompt,
               currentDate: promptResult.data.currentDate,
               currentTime: promptResult.data.currentTime,
-              requestToken: promptResult.data.requestToken,
+              myflowmate: promptResult.data.myflowmate,
               instructions: promptResult.data.instructions
             }
           };
@@ -2085,8 +2187,9 @@ function convertParams(toolName, args) {
         amount: amount,
         price: amount,
         quantity: 1,
+        productCategory: sanitizeString(args.productCategory, 50) || '其他',
+        productSubCategory: sanitizeString(args.productSubCategory, 50) || '',
         category: sanitizeString(args.category, 50) || '其他',
-        subCategory: sanitizeString(args.subCategory, 50) || '',
         unit: sanitizeString(args.unit, 20) || '',
         weight: '',
         marketPrice: sanitizeString(args.marketPrice, 50) || '',
@@ -2099,7 +2202,7 @@ function convertParams(toolName, args) {
         apiProvider: sanitizeString(args.apiProvider, 50) || '',
         mcpVersion: MCP_VERSION,
         source: 'mcp_txt_expense',
-        _requestToken: args._requestToken,
+        _flowmate: args._flowmate,
       };
     }
 
@@ -2123,20 +2226,21 @@ function convertParams(toolName, args) {
           const marketPrice = sanitizeString(item.marketPrice, 50) || calculateMarketPrice(amount, weight);
           
           return {
-            itemIndex: index,
-            name: sanitizeString(item.name, 100),
-            originalName: sanitizeString(item.originalName, 200) || sanitizeString(item.name, 100),
-            amount: amount,
-            category: sanitizeString(item.category, 50) || '其他',
-            subCategory: sanitizeString(item.subCategory, 50) || '',
-            transactionType: sanitizeString(item.transactionType, 50) || 'expense',
-            price: validateAmount(item.price),
-            quantity: item.quantity ? String(item.quantity).substring(0, 20) : '1',
-            unit: sanitizeString(item.unit, 20),
-            weight: weight,
-            marketPrice: marketPrice,
-            note: sanitizeString(item.note, 500),
-          };
+          itemIndex: index,
+          name: sanitizeString(item.name, 100),
+          originalName: sanitizeString(item.originalName, 200) || sanitizeString(item.name, 100),
+          amount: amount,
+          productCategory: sanitizeString(item.productCategory, 50) || '其他',
+          productSubCategory: sanitizeString(item.productSubCategory, 50) || '',
+          category: sanitizeString(item.category, 50) || '其他',
+          transactionType: sanitizeString(item.transactionType, 50) || 'expense',
+          price: validateAmount(item.price),
+          quantity: item.quantity ? String(item.quantity).substring(0, 20) : '1',
+          unit: sanitizeString(item.unit, 20),
+          weight: weight,
+          marketPrice: marketPrice,
+          note: sanitizeString(item.note, 500),
+        };
         }),
         store: sanitizeString(args.store, 100),
         receiptNo: sanitizeString(args.receiptNo, 50),
@@ -2156,7 +2260,7 @@ function convertParams(toolName, args) {
         source: 'mcp_receipt',
         storeCategory: sanitizeString(args.storeCategory, 50) || '其他',
         storeSubCategory: sanitizeString(args.storeSubCategory, 50) || '其他',
-        _requestToken: args._requestToken,
+        _flowmate: args._flowmate,
       };
     }
 
@@ -2198,7 +2302,7 @@ function convertParams(toolName, args) {
         apiProvider: sanitizeString(args.apiProvider, 50) || '',
         mcpVersion: MCP_VERSION,
         source: 'mcp_txt_income',
-        _requestToken: args._requestToken,
+        _flowmate: args._flowmate,
       };
 
     default:
@@ -2329,6 +2433,7 @@ async function fetchAgentNameFromCloud(deviceCode) {
 }
 
 async function main() {
+  await initConfig();
   await initOAuthManager();
 
   const transport = new StdioServerTransport();
@@ -2399,8 +2504,8 @@ async function pollForAuthInBackground(deviceCode, interval) {
       const token = await oauthManager.pollForTokenOnce(deviceCode);
       
       if (token) {
-        // 授权成功
-        cachedToken = token.accessToken;
+        // 授权成功（加密存储）
+        setCachedToken(token.accessToken);
         tokenExpireTime = token.expiresAt;
         authState.isAuthorized = true;
         authState.isWaiting = false;

package/utils/category-mapper.js

@@ -0,0 +1,15 @@
+/**
+ * 分类标准化映射器
+ * 将 Agent 提取的关键词映射到标准分类
+ * 确保分类一致性，便于后续统计
+ */
+
+// 标准分类列表
+const STANDARD_CATEGORIES = [
+  '餐饮', '购物', '交通', '蔬菜', '水果', '零食', '运动', '通讯', '服饰', '美容',
+  '住房', '孩子', '长辈', '社交', '旅行', '烟酒', '数码', '汽车', '医疗', '办公',
+  '学习', '宠物', '礼金', '亲友', '日用', '休闲娱乐', '维修', '居家', '饮品', '鲜花',
+  '追星', '首饰', '借出', '保险', '网络虚拟', '生活缴费', '转账', '书籍', '捐赠', '彩票', '快递', '其他'
+];
+
+// 关键词到

package/utils/encryption.js

@@ -0,0 +1,53 @@
+const crypto = require('crypto');
+
+const ALGORITHM = 'aes-256-gcm';
+const IV_LENGTH = 16;
+const TAG_LENGTH = 16;
+const SALT = 'chaimi-mcp-salt-2026';
+
+function encrypt(text, key) {
+  let derivedKey;
+  if (typeof key === 'string') {
+    derivedKey = crypto.scryptSync(key, SALT, 32);
+  } else {
+    derivedKey = key;
+  }
+
+  const iv = crypto.randomBytes(IV_LENGTH);
+  const cipher = crypto.createCipheriv(ALGORITHM, derivedKey, iv);
+
+  let encrypted = cipher.update(text, 'utf8', 'hex');
+  encrypted += cipher.final('hex');
+
+  const authTag = cipher.getAuthTag();
+
+  return `${iv.toString('hex')}:${authTag.toString('hex')}:${encrypted}`;
+}
+
+function decrypt(encryptedData, key) {
+  const parts = encryptedData.split(':');
+  if (parts.length !== 3) {
+    throw new Error('无效的加密格式');
+  }
+
+  let derivedKey;
+  if (typeof key === 'string') {
+    derivedKey = crypto.scryptSync(key, SALT, 32);
+  } else {
+    derivedKey = key;
+  }
+
+  const iv = Buffer.from(parts[0], 'hex');
+  const authTag = Buffer.from(parts[1], 'hex');
+  const encrypted = Buffer.from(parts[2], 'hex');
+
+  const decipher = crypto.createDecipheriv(ALGORITHM, derivedKey, iv);
+  decipher.setAuthTag(authTag);
+
+  let decrypted = decipher.update(encrypted, 'hex', 'utf8');
+  decrypted += decipher.final('utf8');
+
+  return decrypted;
+}
+
+module.exports = { encrypt, decrypt };

package/utils/keyManager.js

@@ -0,0 +1,38 @@
+const crypto = require('crypto');
+const fs = require('fs');
+const path = require('path');
+const os = require('os');
+
+const KEY_FILE = path.join(os.homedir(), '.chaimi-keep', '.mcp-secret-key');
+const KEY_SIZE = 32; // 256 bits
+
+function getOrCreateSecretKey() {
+  // 1. 优先使用环境变量
+  if (process.env.MCP_SECRET_KEY) {
+    return Buffer.from(process.env.MCP_SECRET_KEY, 'hex');
+  }
+
+  // 2. 尝试从文件加载
+  if (fs.existsSync(KEY_FILE)) {
+    const keyHex = fs.readFileSync(KEY_FILE, 'utf8').trim();
+    return Buffer.from(keyHex, 'hex');
+  }
+
+  // 3. 自动生成新密钥
+  const newKey = crypto.randomBytes(KEY_SIZE);
+  const keyHex = newKey.toString('hex');
+
+  // 确保目录存在
+  const keyDir = path.dirname(KEY_FILE);
+  if (!fs.existsSync(keyDir)) {
+    fs.mkdirSync(keyDir, { recursive: true, mode: 0o700 });
+  }
+
+  // 写入文件，权限 0600
+  fs.writeFileSync(KEY_FILE, keyHex, { mode: 0o600 });
+
+  console.error('✅ 已自动生成安全密钥');
+  return newKey;
+}
+
+module.exports = { getOrCreateSecretKey, KEY_FILE };