jinzd-ai-cli 0.1.26 → 0.1.27

package/CLAUDE.md

@@ -337,7 +337,7 @@ const stdinLines = Array.isArray(rawStdin) ? rawStdin.map(String)
 ## 已知待改进项
 
 ### 低优先级
-- [ ] **macOS/Linux 完整测试**：跨平台逻辑已处理（`$SHELL` fallback、UTF-8 env vars），但尚未在非 Windows 环境实际运行验证。
+- [x] **macOS/Linux 完整测试**（2026-03-01）：已在 Linux 环境完成测试，基本无问题。跨平台逻辑（`$SHELL` fallback、UTF-8 env vars）验证通过。
 - [x] **Token 用量显示**：已通过 `/cost` 命令实现（v0.1.23），显示 session 累计 input/output/total tokens。
 - [ ] **GitHub 仓库迁移**：当前在 gitee，npm 包受众需要 GitHub 托管。
 - [x] **web_fetch DNS 解析时 SSRF 防护**（v0.1.25）：新增 `resolveAndCheck()` 函数，用 `dns.promises.lookup()` 预解析域名，检查结果 IP 是否为私有地址。初始 URL 和 redirect 目标均校验。
@@ -802,3 +802,94 @@ const stdinLines = Array.isArray(rawStdin) ? rawStdin.map(String)
 | run_interactive stdin 截断 | 通过 shell 包装 spawn 时 stdin pipe 被截断 | 直接 `spawn(pythonExe, args)` 不经过任何 shell |
 | Ctrl+C 在工具确认时异常退出 | SIGINT handler 直接调用 `handleExit()`，未检查 `confirm()` 状态 | SIGINT handler 先检查 `confirming` 标志，是则 `cancelConfirm()` 取消而非退出 |
 | 日期注入在 pkg exe 中显示错误 | `toLocaleDateString/toLocaleTimeString` 依赖完整 ICU，pkg 精简版不支持 | 改为手动数字拼接：`${year}年${month}月${day}日 ${weekday} ${HH}:${mm}:${ss}` |
+
+---
+
+## 代码审查报告（2026-03-01）
+
+> 全面扫描 src/ 目录 35+ 个 TypeScript 源文件，共发现 **4 高危 + 8 中危 + 7 低危** 问题。
+
+### 🔴 高危问题（立即修复）
+
+**H1 — MCP pendingRequests 内存泄漏**
+- **文件**：`src/mcp/client.ts`
+- **描述**：进程崩溃时 `pendingRequests.delete(id)` 可能不触发，timer 未清理；长期运行时内存持续增长
+- **修复**：在 `sendRequest` 中用 `finally` 确保 `pendingRequests.delete(id)` + `clearTimeout(timer)` 总被执行
+
+**H2 — readline 竞态条件：`confirming` 标志失效**
+- **文件**：`src/tools/executor.ts`（行 58, 155, 307, 320-356）
+- **描述**：`batchConfirm()` 提前返回 `'none'` 时 `confirming = true` 与实际状态不匹配；`once('line')` 在 edge case 下可能触发两次，误消费用户输入；`ask_user` 工具的 `askUserContext.prompting` 存在同样问题
+- **修复**：使用 `completed` 布尔标志防止二次触发，或改用 Promise-based 状态机
+
+**H3 — 工具执行错误语义混淆（isError 混用）**
+- **文件**：`src/tools/executor.ts`（行 128, 160, 170）
+- **描述**：权限 deny 和用户取消均返回 `{ isError: false }`，AI 无法区分"用户拒绝"与"工具正常返回"，可能产生错误推理
+- **修复**：统一为 `isError: true`，内容前缀加 `[User cancelled]` 或 `[Permission denied]`
+
+**H4 — MCP 断开后无恢复机制**
+- **文件**：`src/mcp/client.ts` + `src/mcp/manager.ts`
+- **描述**：服务器子进程意外退出后，客户端对象仍留在 Map 中；工具列表可见但调用时 silent failure；用户需重启 CLI 才能恢复
+- **修复**：`callTool()` 中检测 `isConnected`，返回友好错误提示；可选：实现指数退避自动重连
+
+### 🟠 中危问题（近期修复）
+
+| # | 文件 | 问题描述 | 修复方向 |
+|---|------|---------|---------|
+| M5 | `src/tools/builtin/bash.ts:76-86` | `cwd` 指向不存在目录时不报错，AI 误判 cd 成功 | `existsSync` 校验后再设置 `effectiveCwd` |
+| M6 | `src/tools/builtin/web-fetch.ts` | SSRF：重定向链中间 URL 不检查（仅检查首尾） | 对每个中间重定向 URL 均调用 `resolveAndCheck()` |
+| M7 | `src/tools/builtin/run-interactive.ts:131-144` | stdin 写入无背压处理，大量输入可能溢出 | 监听 `drain` 事件，写满后暂停直到缓冲区释放 |
+| M8 | `src/session/session-manager.ts` | 会话 JSON 损坏时错误被吞噬，无日志，用户无法诊断 | `catch` 中输出 `stderr` 警告含文件名和错误信息 |
+| M9 | `src/mcp/client.ts` | `close()` 时事件监听器未移除，长期运行积累僵尸监听器 | `killProcess()` 中调用 `removeAllListeners()` |
+| M10 | `src/tools/permissions.ts` | `pathPattern` 直接 `new RegExp()`，恶意配置可触发 ReDoS | 加 try/catch 包裹正则编译，或限制正则复杂度 |
+| M11 | `src/repl/repl.ts`（上下文加载） | `contextFile` 设为相对路径可能遍历项目外目录 | `resolve()` 后校验路径以项目目录为前缀 |
+| M12 | `src/mcp/manager.ts` | MCP 工具 schema 扁平化时丢失嵌套结构，AI 传参可能失败 | `convertDefinition()` 支持递归转换嵌套 object/array |
+
+### 🟡 低危问题（后续改进）
+
+| # | 文件 | 问题描述 |
+|---|------|---------|
+| L1 | `src/tools/builtin/run-tests.ts:35` | `JSON.parse(package.json)` 无细粒度错误处理 |
+| L2 | `src/tools/builtin/web-fetch.ts` | 恶意 HTML 大量 script 标签时正则性能下降 |
+| L3 | `src/session/session.ts` | `new Date(d.created)` 非法字符串返回 Invalid Date，比较失败 |
+| L4 | `src/tools/builtin/ask-user.ts` / `google-search.ts` | 模块级全局上下文，多会话架构下会串扰 |
+| L5 | `src/config/schema.ts` | `modelParams.timeout` 与 provider 级 `timeout` 优先级不清晰 |
+| L6 | `src/tools/executor.ts` | `call.arguments['path']` 未验证是否绝对路径，null 传入可能异常 |
+| L7 | `src/repl/repl.ts` | 主循环 `line` handler 是 async 但无整体 try/catch，未捕获异常可能停响应 |
+
+---
+
+## 与 Claude Code 功能对比差距（2026-03-01）
+
+### ✅ ai-cli 已超越或持平 Claude Code 的功能
+
+- 多 Provider 支持（Claude Code 仅支持 Claude 系列）
+- 三层级上下文文件（Claude Code 为双层）
+- Dev State 开发状态交接
+- Agent Skills 系统
+- 企业级权限规则 + Hooks 系统
+
+### ❌ 缺失功能路线图（新增）
+
+#### P0 — 核心竞争力缺口
+- [ ] **中断生成**：`Escape` 键立即停止 AI 流式输出（当前无法中断，必须等待完成）
+- [ ] **多模态输入（图片）**：支持粘贴/引用图片路径作为输入（当前纯文本）
+- [ ] **`/add-dir` 命令**：运行时动态添加目录到上下文
+- [ ] **并行工具调用**：AI 一次返回多个工具同时执行（当前为分组串行）
+
+#### P1 — 重要差距
+- [ ] **`/memory` 命令**：查看/编辑/清理 memory.md 内容（当前只能由工具写入）
+- [ ] **`/doctor` 健康检查**：诊断 API Key、网络、配置问题
+- [ ] **`/bug` 反馈命令**：一键提交 bug 报告
+- [ ] **Vim 编辑模式**：命令行输入支持 vim 键绑定
+- [ ] **桌面通知**：长任务完成时发送系统通知
+- [ ] **`--allowedTools` / `--blockedTools` 启动参数**：启动时动态限制工具集
+- [ ] **流式 JSON 输出**：`--output-format streaming-json` 逐行输出（当前仅支持一次性 `--json`）
+
+#### P2 — 体验增强
+- [ ] **项目级 `.mcp.json`**：项目根目录独立 MCP 配置，优先全局 config
+- [ ] **IDE 集成**：VS Code / JetBrains 扩展（架构已准备就绪）
+- [ ] **OAuth/浏览器登录**：无需手动填 API Key
+- [ ] **`--resume <id>` 启动参数**：命令行直接恢复指定会话
+- [ ] **Extended Thinking**：Claude 3.7 深度推理模式集成
+- [ ] **Word wrap 配置**：终端输出折行宽度可配置
+- [ ] **主题/颜色自定义**：dark/light/custom 主题

package/dist/index.js

@@ -1526,7 +1526,11 @@ var SessionManager = class {
           updated: new Date(data.updated),
           title: data.title
         });
-      } catch {
+      } catch (err) {
+        process.stderr.write(
+          `[Warning] Skipping corrupted session file "${file}": ${err instanceof Error ? err.message : String(err)}
+`
+        );
       }
     }
     return metas.sort((a, b) => b.updated.getTime() - a.updated.getTime());
@@ -1578,7 +1582,11 @@ var SessionManager = class {
             matches
           });
         }
-      } catch {
+      } catch (err) {
+        process.stderr.write(
+          `[Warning] Skipping corrupted session file "${filePath}": ${err instanceof Error ? err.message : String(err)}
+`
+        );
       }
     }
     return results.sort((a, b) => b.sessionMeta.updated.getTime() - a.sessionMeta.updated.getTime());
@@ -3455,12 +3463,13 @@ var bashTool = {
     let effectiveCwd = persistentCwd;
     if (cwdArg) {
       const resolved = resolve2(persistentCwd, cwdArg);
-      if (existsSync6(resolved)) {
-        effectiveCwd = resolved;
-        persistentCwd = resolved;
-      } else {
-        effectiveCwd = resolved;
+      if (!existsSync6(resolved)) {
+        throw new Error(
+          `cwd directory does not exist: "${resolved}". Create it first (e.g. mkdir -p "${resolved}") before specifying it as cwd.`
+        );
       }
+      effectiveCwd = resolved;
+      persistentCwd = resolved;
     }
     let actualCommand;
     if (IS_WINDOWS) {
@@ -4300,10 +4309,13 @@ var runInteractiveTool = {
       let lineIdx = 0;
       const writeNextLine = () => {
         if (lineIdx < stdinLines.length && !child.stdin.destroyed) {
-          setTimeout(() => {
-            child.stdin.write(stdinLines[lineIdx++] + (IS_WINDOWS2 ? "\r\n" : "\n"));
-            writeNextLine();
-          }, 150);
+          const line = stdinLines[lineIdx++] + (IS_WINDOWS2 ? "\r\n" : "\n");
+          const canContinue = child.stdin.write(line);
+          if (canContinue) {
+            setTimeout(writeNextLine, 150);
+          } else {
+            child.stdin.once("drain", () => setTimeout(writeNextLine, 150));
+          }
         } else if (!child.stdin.destroyed) {
           child.stdin.end();
         }
@@ -4450,28 +4462,46 @@ var webFetchTool = {
     let rawHtml;
     let finalUrl;
     let contentType;
+    const MAX_REDIRECTS = 10;
+    const FETCH_HEADERS = {
+      "User-Agent": "Mozilla/5.0 (compatible; ai-cli/1.0; +https://github.com/ai-cli)",
+      Accept: "text/html,application/xhtml+xml,text/plain,*/*",
+      "Accept-Language": "zh-CN,zh;q=0.9,en;q=0.8"
+    };
     try {
-      const resp = await fetch(url, {
-        signal: controller.signal,
-        headers: {
-          "User-Agent": "Mozilla/5.0 (compatible; ai-cli/1.0; +https://github.com/ai-cli)",
-          Accept: "text/html,application/xhtml+xml,text/plain,*/*",
-          "Accept-Language": "zh-CN,zh;q=0.9,en;q=0.8"
-        },
-        redirect: "follow"
-      });
-      clearTimeout(timeoutId);
-      finalUrl = resp.url;
-      contentType = resp.headers.get("content-type") ?? "";
-      try {
-        const finalParsed = new URL(finalUrl);
-        if (isPrivateHost(finalParsed.hostname)) {
-          throw new Error(`Blocked: redirect landed on private address "${finalUrl}".`);
+      let currentUrl = url;
+      let resp = null;
+      for (let hop = 0; hop <= MAX_REDIRECTS; hop++) {
+        const parsedHop = new URL(currentUrl);
+        if (isPrivateHost(parsedHop.hostname)) {
+          throw new Error(`Blocked: redirect to private/internal address "${currentUrl}".`);
+        }
+        await resolveAndCheck(parsedHop.hostname);
+        const r = await fetch(currentUrl, {
+          signal: controller.signal,
+          headers: FETCH_HEADERS,
+          redirect: "manual"
+          // 手动控制重定向
+        });
+        if (r.status >= 300 && r.status < 400) {
+          if (hop >= MAX_REDIRECTS) {
+            throw new Error(`Too many redirects (>${MAX_REDIRECTS}): ${url}`);
+          }
+          const location = r.headers.get("Location");
+          if (!location) {
+            resp = r;
+            break;
+          }
+          currentUrl = new URL(location, currentUrl).href;
+          continue;
         }
-        await resolveAndCheck(finalParsed.hostname);
-      } catch (e) {
-        if (e.message.startsWith("Blocked:")) throw e;
+        resp = r;
+        break;
       }
+      clearTimeout(timeoutId);
+      if (!resp) throw new Error(`Too many redirects (>${MAX_REDIRECTS}): ${url}`);
+      finalUrl = currentUrl;
+      contentType = resp.headers.get("content-type") ?? "";
       if (!resp.ok) {
         throw new Error(`HTTP ${resp.status} ${resp.statusText}`);
       }
@@ -5592,7 +5622,7 @@ var ToolExecutor = class {
     if (this.permissionRules.length > 0) {
       const action = checkPermission(call.name, call.arguments, dangerLevel, this.permissionRules, this.defaultPermission);
       if (action === "deny") {
-        return { callId: call.id, content: `Permission denied by rule for tool: ${call.name}`, isError: false };
+        return { callId: call.id, content: `Permission denied by rule for tool: ${call.name}`, isError: true };
       }
       if (action === "auto-approve") {
         this.printToolCall(call);
@@ -5619,7 +5649,7 @@ var ToolExecutor = class {
         return {
           callId: call.id,
           content: "User cancelled the operation.",
-          isError: false
+          isError: true
         };
       }
     } else if (dangerLevel === "destructive") {
@@ -5628,7 +5658,7 @@ var ToolExecutor = class {
         return {
           callId: call.id,
           content: "User cancelled the operation.",
-          isError: false
+          isError: true
         };
       }
       this.printToolCall(call);
@@ -5721,7 +5751,7 @@ var ToolExecutor = class {
         }
       } else {
         console.log(chalk8.gray(`  [${i + 1}] `) + chalk8.dim("rejected"));
-        results.push({ callId: call.id, content: "User rejected the operation.", isError: false });
+        results.push({ callId: call.id, content: "User rejected the operation.", isError: true });
       }
     }
     return results;
@@ -5752,7 +5782,10 @@ var ToolExecutor = class {
         this.confirming = false;
         resolve5(result);
       };
+      let completed = false;
       const onLine = (line) => {
+        if (completed) return;
+        completed = true;
         const input2 = line.trim().toLowerCase();
         if (input2 === "a" || input2 === "all" || input2 === "y") {
           cleanup("all");
@@ -5768,6 +5801,8 @@ var ToolExecutor = class {
         }
       };
       this.cancelConfirmFn = () => {
+        if (completed) return;
+        completed = true;
         process.stdout.write(chalk8.gray("\n(cancelled)\n"));
         cleanup("none");
       };
@@ -5916,8 +5951,15 @@ var ToolExecutor = class {
         this.confirming = false;
         resolve5(answer === "y");
       };
-      const onLine = (line) => cleanup(line.trim().toLowerCase());
+      let completed = false;
+      const onLine = (line) => {
+        if (completed) return;
+        completed = true;
+        cleanup(line.trim().toLowerCase());
+      };
       this.cancelConfirmFn = () => {
+        if (completed) return;
+        completed = true;
         process.stdout.write(chalk8.gray("\n(cancelled)\n"));
         cleanup("n");
       };
@@ -6525,7 +6567,9 @@ var McpClient = class {
   // ══════════════════════════════════════════════════════════════════
   ensureConnected() {
     if (!this.connected) {
-      throw new Error(`MCP server [${this.serverId}] is not connected`);
+      throw new Error(
+        `MCP server [${this.serverId}] is not connected` + (this.errorMessage ? `: ${this.errorMessage}` : "")
+      );
     }
   }
   /** Promise 超时包装 */
@@ -6551,9 +6595,13 @@ var McpClient = class {
     }
     this.pendingRequests.clear();
   }
-  /** 杀掉子进程 */
+  /** 杀掉子进程，并移除所有事件监听器防止僵尸引用 */
   killProcess() {
     if (this.process) {
+      this.process.removeAllListeners("error");
+      this.process.removeAllListeners("exit");
+      this.process.stdout?.removeAllListeners("data");
+      this.process.stderr?.removeAllListeners("data");
       try {
         this.process.stdin?.end();
         this.process.kill();
@@ -6661,6 +6709,11 @@ var McpManager = class {
     return {
       definition,
       execute: async (args) => {
+        if (!client.isConnected) {
+          throw new Error(
+            `MCP server [${serverId}] is disconnected` + (client.errorMessage ? `: ${client.errorMessage}` : "") + `. Use /mcp to check status, or restart ai-cli to reconnect.`
+          );
+        }
         try {
           const result = await client.callTool(mcpTool.name, args);
           if (result.isError) {
@@ -7011,7 +7064,14 @@ var Repl = class {
     if (setting === false) return { layers: [], mergedContent: "" };
     const cwd = process.cwd();
     if (setting !== "auto") {
-      const fullPath = join13(cwd, setting);
+      const fullPath = resolve4(cwd, String(setting));
+      if (!fullPath.startsWith(resolve4(cwd))) {
+        process.stderr.write(
+          `[Warning] contextFile path "${setting}" is outside current directory, ignoring.
+`
+        );
+        return { layers: [], mergedContent: "" };
+      }
       if (existsSync18(fullPath)) {
         const content = readFileSync13(fullPath, "utf-8").trim();
         if (content) {

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "jinzd-ai-cli",
-  "version": "0.1.26",
+  "version": "0.1.27",
   "description": "Cross-platform REPL-style AI CLI with multi-provider support",
   "type": "module",
   "main": "./dist/index.js",