liangzimixin 0.3.1 → 0.3.2

package/dist/index.cjs

@@ -2233,7 +2233,7 @@ var require_websocket = __commonJS({
     var http = require("http");
     var net = require("net");
     var tls = require("tls");
-    var { randomBytes: randomBytes2, createHash } = require("crypto");
+    var { randomBytes: randomBytes3, createHash } = require("crypto");
     var { Duplex, Readable } = require("stream");
     var { URL: URL2 } = require("url");
     var PerMessageDeflate = require_permessage_deflate();
@@ -2763,7 +2763,7 @@ var require_websocket = __commonJS({
         }
       }
       const defaultPort = isSecure ? 443 : 80;
-      const key = randomBytes2(16).toString("base64");
+      const key = randomBytes3(16).toString("base64");
       const request = isSecure ? https.request : http.request;
       const protocolSet = /* @__PURE__ */ new Set();
       let perMessageDeflate;
@@ -18812,54 +18812,104 @@ var quantumImPlugin = {
   }
 };
 
-// src/crypto/quantun-plug-adapter.ts
-var import_node_module = require("module");
-var import_meta = {};
-var log14 = createLogger("crypto/quantun-plug-adapter");
-var SM4_MODE = {
-  ECB_NOPADDING: 1,
-  ECB_PKCS7PADDING: 2,
-  CBC_NOPADDING: 3,
-  CBC_PKCS7PADDING: 4
+// src/crypto/quantun-plug-mock.ts
+var import_node_crypto = require("crypto");
+var log14 = createLogger("crypto/quantun-plug-mock");
+var MOCK_KEY = Buffer.alloc(32, 0);
+MOCK_KEY.write("quantum-mock-key-2026", 0);
+var MOCK_KEY_ID = "mock-key-v1";
+var initialized = false;
+var quantunPlugMock = {
+  /**
+   * 初始化 Mock SDK
+   * 幂等操作 — 重复调用不会报错
+   */
+  async init() {
+    if (initialized) return;
+    initialized = true;
+    log14.warn("\u26A0\uFE0F MOCK MODE \u2014 \u4F7F\u7528 AES-256-GCM \u6A21\u62DF\u91CF\u5B50\u52A0\u5BC6");
+  },
+  /**
+   * 加密明文 → 密文 + 密钥标识
+   *
+   * 内部流程:
+   *   1. 生成 12 字节随机 IV (确保每次加密结果不同)
+   *   2. AES-256-GCM 加密明文
+   *   3. 获取 16 字节 AuthTag (认证标签,防篡改)
+   *   4. 拼接 [IV(12) | Tag(16) | Ciphertext] → Base64 编码
+   */
+  async encrypt(plaintext, mode) {
+    if (!initialized) {
+      throw new Error("quantunPlug not initialized \u2014 call init() first");
+    }
+    const iv = (0, import_node_crypto.randomBytes)(12);
+    const cipher = (0, import_node_crypto.createCipheriv)("aes-256-gcm", MOCK_KEY, iv);
+    const encrypted = Buffer.concat([
+      cipher.update(plaintext, "utf-8"),
+      cipher.final()
+    ]);
+    const tag = cipher.getAuthTag();
+    const combined = Buffer.concat([iv, tag, encrypted]);
+    return {
+      ciphertext: combined.toString("base64"),
+      keyId: MOCK_KEY_ID
+    };
+  },
+  /**
+   * 解密密文 → 明文
+   *
+   * 内部流程:
+   *   1. Base64 解码
+   *   2. 拆分 IV(12) + Tag(16) + Ciphertext
+   *   3. AES-256-GCM 解密 + AuthTag 验证
+   *   4. 返回 UTF-8 明文
+   *
+   * @throws AuthTag 验证失败时抛出异常 (数据被篡改)
+   */
+  async decrypt(ciphertext, keyId, mode) {
+    if (!initialized) {
+      throw new Error("quantunPlug not initialized \u2014 call init() first");
+    }
+    const combined = Buffer.from(ciphertext, "base64");
+    const iv = combined.subarray(0, 12);
+    const tag = combined.subarray(12, 28);
+    const encrypted = combined.subarray(28);
+    const decipher = (0, import_node_crypto.createDecipheriv)("aes-256-gcm", MOCK_KEY, iv);
+    decipher.setAuthTag(tag);
+    const decrypted = Buffer.concat([
+      decipher.update(encrypted),
+      decipher.final()
+      // 此处 Tag 验证失败会抛出异常
+    ]);
+    return {
+      plaintext: decrypted.toString("utf-8")
+    };
+  }
 };
-var DEFAULT_ENCRYPT_MODE = SM4_MODE.CBC_PKCS7PADDING;
-var require2 = (0, import_node_module.createRequire)(import_meta.url);
-var quantunPlug = null;
-try {
-  quantunPlug = require2("./sdk/index.min.cjs");
-  log14.info("Quantum SDK loaded from sdk/index.min.cjs");
-} catch (err) {
-  const msg = err instanceof Error ? err.message : String(err);
-  log14.warn("Quantum SDK missing, only passthrough mode will work:", msg);
-}
-var quantun_plug_adapter_default = quantunPlug;
+var quantun_plug_mock_default = quantunPlugMock;
 
 // src/crypto/crypto-engine.ts
 var log15 = createLogger("crypto/crypto-engine");
 var PASSTHROUGH_KEY_ID = "passthrough";
-var FILE_CHUNK_SIZE = 10 * 1024 * 1024;
-var FILE_DECRYPT_CHUNK_SIZE = FILE_CHUNK_SIZE + 16;
 var CryptoEngine = class _CryptoEngine {
-  /** 底层量子加密 SDK 实例, 透传模式下为 null */
+  /** 底层量子加密 SDK 实例 (Mock 或真实), 透传模式下为 null */
   plug;
   /** SDK 是否已完成初始化 */
-  initialized;
+  initialized = false;
   /** 是否为透传模式 (不加密, 明文直接透传) */
   passthrough;
   /**
-   * 构造加密引擎
+   * 构造加密引擎 (加密模式)
    *
-   * @param passthrough - true 为透传模式 (不加密); false 为加密模式 (默认)
+   * 当前默认使用 Mock SDK。
+   * 待真实 SDK 交付后，此处替换为 require('./quantunPlug.ejs')。
    *
-   * 请使用静态工厂方法:
-   *   - new CryptoEngine()          → 加密模式, 使用量子 SDK
-   *   - CryptoEngine.createPassthrough() → 透传模式, 无需 init()
+   * 如需透传模式，请使用静态方法 CryptoEngine.createPassthrough()。
    */
-  constructor(passthrough = false) {
-    this.passthrough = passthrough;
-    this.plug = passthrough ? null : quantun_plug_adapter_default;
-    this.initialized = passthrough;
-    log15.info(`CryptoEngine created (${passthrough ? "passthrough mode \u2014 crypto disabled" : "quantum SDK mode"})`);
+  constructor() {
+    this.plug = quantun_plug_mock_default;
+    this.passthrough = false;
+    log15.info("CryptoEngine created (mock mode)");
   }
   /**
    * 创建透传模式的加密引擎 (静态工厂方法)
@@ -18873,12 +18923,17 @@ var CryptoEngine = class _CryptoEngine {
    * 上层模块 (TokenStore, MessagePipe) 无需感知加密是否开启。
    */
   static createPassthrough() {
-    return new _CryptoEngine(true);
+    const instance = Object.create(_CryptoEngine.prototype);
+    instance.plug = null;
+    instance.passthrough = true;
+    instance.initialized = true;
+    log15.info("CryptoEngine created (passthrough mode \u2014 crypto disabled)");
+    return instance;
   }
   /**
    * 初始化加密引擎
    *
-   * 加密模式: 调用 SDK 的 init() 方法完成密服入网、密钥协商等初始化操作。
+   * 加密模式: 调用 SDK 的 init() 方法完成密钥协商等初始化操作。
    * 透传模式: 空操作 (already initialized)。
    * 幂等操作 — 重复调用安全。
    */
@@ -18888,9 +18943,6 @@ var CryptoEngine = class _CryptoEngine {
       this.initialized = true;
       return;
     }
-    if (!this.plug) {
-      throw new Error("Quantum encryption SDK is missing. Cannot initialize in encryption mode (check dist/index.min.cjs).");
-    }
     await this.plug.init();
     this.initialized = true;
     log15.info("CryptoEngine initialized \u2713");
@@ -18898,24 +18950,22 @@ var CryptoEngine = class _CryptoEngine {
   /**
    * 加密明文
    *
-   * 加密模式: 调用底层 SDK 加密 (SM4_CBC_PKCS7PADDING), 返回密文 + keyId
+   * 加密模式: 调用底层 SDK 加密, 返回 Base64 密文 + keyId
    * 透传模式: 直接返回明文作为 "密文", keyId = 'passthrough'
    *
-   * 注意: SDK 返回驼峰 cipherText, 此方法对外统一为小写 ciphertext
-   *
    * @param plaintext - 要加密的明文字符串
    * @returns { ciphertext: 密文字符串, keyId: 密钥标识 }
    * @throws 加密模式下未初始化时抛出错误
    */
   async encrypt(plaintext) {
+    this.ensureInitialized();
     if (this.passthrough) {
       log15.debug("Encrypt (passthrough)", { length: plaintext.length });
       return { ciphertext: plaintext, keyId: PASSTHROUGH_KEY_ID };
     }
-    const plug = this.requirePlug();
-    const result = await plug.encrypt(plaintext, DEFAULT_ENCRYPT_MODE);
+    const result = await this.plug.encrypt(plaintext, 1);
     log15.debug("Encrypted", { length: plaintext.length, keyId: result.keyId });
-    return { ciphertext: result.cipherText, keyId: result.keyId };
+    return result;
   }
   /**
    * 解密密文
@@ -18929,100 +18979,14 @@ var CryptoEngine = class _CryptoEngine {
    * @throws 加密模式下未初始化、密文损坏或 keyId 不匹配时抛出错误
    */
   async decrypt(ciphertext, keyId) {
+    this.ensureInitialized();
     if (this.passthrough) {
       log15.debug("Decrypt (passthrough)", { keyId });
       return ciphertext;
     }
-    const plug = this.requirePlug();
-    const result = await plug.decrypt(ciphertext, keyId, DEFAULT_ENCRYPT_MODE);
+    const result = await this.plug.decrypt(ciphertext, keyId, 1);
     log15.debug("Decrypted", { keyId });
-    return result.plainText;
-  }
-  /**
-   * 加密文件数据
-   *
-   * 自动处理 10MB 分片编排:
-   *   - ≤10MB: 单次调用 SDK encryptFile
-   *   - >10MB: 按 10MB 分片, 首片无需传密钥参数, 后续片传入前一片返回的 { keyId, sessionKey, fillKey }
-   *
-   * 透传模式: 直接返回原数据
-   *
-   * @param fileData - 文件数据 Buffer
-   * @returns { fileBuffer: 加密后的文件 Buffer, keyId: 密钥标识 }
-   */
-  async encryptFile(fileData) {
-    if (this.passthrough) {
-      log15.debug("EncryptFile (passthrough)", { size: fileData.length });
-      return { fileBuffer: fileData, keyId: PASSTHROUGH_KEY_ID };
-    }
-    if (fileData.length === 0) {
-      return { fileBuffer: Buffer.alloc(0), keyId: PASSTHROUGH_KEY_ID };
-    }
-    const chunks = [];
-    const total = Math.ceil(fileData.length / FILE_CHUNK_SIZE);
-    let keyId;
-    let sessionKey;
-    let fillKey;
-    const plug = this.requirePlug();
-    log15.debug("EncryptFile", { size: fileData.length, chunks: total });
-    for (let i = 0; i < total; i++) {
-      const start = i * FILE_CHUNK_SIZE;
-      const end = Math.min(start + FILE_CHUNK_SIZE, fileData.length);
-      const chunk = fileData.subarray(start, end);
-      const result = await plug.encryptFile(chunk, DEFAULT_ENCRYPT_MODE, {
-        keyId,
-        sessionKey,
-        fillKey
-      });
-      chunks.push(result.fileBuffer);
-      keyId = result.keyId;
-      sessionKey = result.sessionKey;
-      fillKey = result.fillKey;
-    }
-    log15.debug("EncryptFile done", { keyId, chunks: total });
-    return { fileBuffer: Buffer.concat(chunks), keyId: keyId ?? "" };
-  }
-  /**
-   * 解密文件数据
-   *
-   * 自动处理 (10MB + 16) 分片编排:
-   *   - ≤(10MB+16): 单次调用 SDK decryptFile
-   *   - >(10MB+16): 按 (10MB+16) 分片, 首片传 keyId, 后续片传入前一片返回的 { sessionKey, fillKey }
-   *
-   * 透传模式: 直接返回原数据
-   *
-   * @param fileData - 加密后的文件 Buffer
-   * @param keyId    - 加密时返回的密钥标识
-   * @returns 解密后的文件 Buffer
-   */
-  async decryptFile(fileData, keyId) {
-    if (this.passthrough) {
-      log15.debug("DecryptFile (passthrough)", { keyId });
-      return fileData;
-    }
-    if (fileData.length === 0) {
-      return Buffer.alloc(0);
-    }
-    const plug = this.requirePlug();
-    const chunks = [];
-    const total = Math.ceil(fileData.length / FILE_DECRYPT_CHUNK_SIZE);
-    let sessionKey;
-    let fillKey;
-    log15.debug("DecryptFile", { size: fileData.length, chunks: total, keyId });
-    for (let i = 0; i < total; i++) {
-      const start = i * FILE_DECRYPT_CHUNK_SIZE;
-      const end = Math.min(start + FILE_DECRYPT_CHUNK_SIZE, fileData.length);
-      const chunk = fileData.subarray(start, end);
-      const result = await plug.decryptFile(chunk, keyId, DEFAULT_ENCRYPT_MODE, {
-        sessionKey,
-        fillKey
-      });
-      chunks.push(result.fileBuffer);
-      sessionKey = result.sessionKey;
-      fillKey = result.fillKey;
-    }
-    log15.debug("DecryptFile done", { keyId, chunks: total });
-    return Buffer.concat(chunks);
+    return result.plaintext;
   }
   /**
    * 查询当前是否为透传模式
@@ -19032,14 +18996,13 @@ var CryptoEngine = class _CryptoEngine {
     return this.passthrough;
   }
   /**
-   * 确保引擎已初始化，同时返回非空 plug 实例
-   * （通过 init() 守卫保证：加密模式下 init() 成功后 plug 一定非 null）
+   * 确保引擎已初始化
+   * 未初始化时抛出明确错误，避免难以排查的 SDK 内部异常
    */
-  requirePlug() {
+  ensureInitialized() {
     if (!this.initialized) {
       throw new Error("CryptoEngine not initialized \u2014 call init() first");
     }
-    return this.plug;
   }
 };
 
@@ -19258,7 +19221,7 @@ var SealClient = class {
 var import_promises = require("fs/promises");
 var import_node_fs = require("fs");
 var import_node_path = require("path");
-var import_node_crypto = require("crypto");
+var import_node_crypto2 = require("crypto");
 var log17 = createLogger("auth/token-store");
 var TokenStore = class {
   /** 存储目录路径 */
@@ -19314,7 +19277,7 @@ var TokenStore = class {
     const storage = { ciphertext, keyId };
     const storageJson = JSON.stringify(storage);
     const targetPath = this.filePath(key);
-    const tmpSuffix = (0, import_node_crypto.randomBytes)(4).toString("hex");
+    const tmpSuffix = (0, import_node_crypto2.randomBytes)(4).toString("hex");
     const tmpPath = `${targetPath}.${tmpSuffix}.tmp`;
     try {
       await (0, import_promises.writeFile)(tmpPath, storageJson, { mode: 384 });
@@ -19753,7 +19716,7 @@ var MessageDedup = class {
 };
 
 // src/transport/message-pipe.ts
-var import_node_crypto2 = require("crypto");
+var import_node_crypto3 = require("crypto");
 var log21 = createLogger("transport/message-pipe");
 var MessagePipe = class {
   wsClient;
@@ -19901,7 +19864,7 @@ var MessagePipe = class {
     if (timestamp && nonce && signature) {
       const token = await this.tokenFn();
       const signatureInput = timestamp + nonce + frame.data;
-      const expected = (0, import_node_crypto2.createHmac)("sha256", token).update(signatureInput).digest("hex");
+      const expected = (0, import_node_crypto3.createHmac)("sha256", token).update(signatureInput).digest("hex");
       if (expected !== signature) {
         log21.warn("inbound:signature-fail", { timestamp, nonce });
         return;

package/dist/index.d.cts

@@ -338,12 +338,12 @@ declare class SealClient {
 /**
  * openclaw-liangzimixin — 加密引擎
  *
- * 封装量子加密 SDK 的加解密操作。
+ * 封装量子加密 SDK (当前为 Mock) 的加解密操作。
  * 上层模块 (TokenStore, MessagePipe) 通过此类完成所有加解密，
  * 不直接接触底层 SDK，实现 SDK 可替换性。
  *
  * 两种运行模式:
- *   1. 加密模式 (默认): 通过量子加密 SDK 进行 SM4 加解密
+ *   1. 加密模式 (默认): 通过量子加密 SDK 进行真正的加解密
  *   2. 透传模式 (passthrough): 不做加密，明文直接透传，用于 crypto.enabled=false 场景
  *
  * 使用方式:
@@ -357,45 +357,46 @@ declare class SealClient {
  *   const engine = CryptoEngine.createPassthrough();
  *   // 无需 init(), encrypt/decrypt 直接透传明文
  *
- * SDK:
- *   真实量子加密 SDK (dist/index.min.cjs) — SM4 加密, KMS 密钥管理
+ * SDK 切换:
+ *   当前: import quantunPlugMock → AES-256-GCM Mock
+ *   未来: const quantunPlug = require('./quantunPlug.ejs') → 真实量子 SDK
  */
 /**
  * 加密引擎 — 统一的加解密入口。
  *
  * 封装底层量子加密 SDK 的调用细节,
+ * 屏蔽 Mock 与真实 SDK 的差异,
  * 上层模块无需关心底层实现。
  *
  * 支持两种模式:
- *   - 加密模式: 使用量子加密 SDK 进行加解密
+ *   - 加密模式: 使用量子加密 SDK (Mock 或真实) 进行加解密
  *   - 透传模式: encrypt/decrypt 直接透传明文, 不做任何加密操作
  *
  * 生命周期 (加密模式):
  *   1. 构造: new CryptoEngine()
  *   2. 初始化: await init() — 调用 SDK 的 init()
- *   3. 使用: encrypt() / decrypt() / encryptFile() / decryptFile()
+ *   3. 使用: encrypt() / decrypt()
  *
  * 生命周期 (透传模式):
  *   1. 构造: CryptoEngine.createPassthrough()
  *   2. 直接使用: encrypt() / decrypt() — 无需 init()
  */
 declare class CryptoEngine {
-    /** 底层量子加密 SDK 实例, 透传模式下为 null */
+    /** 底层量子加密 SDK 实例 (Mock 或真实), 透传模式下为 null */
     private readonly plug;
     /** SDK 是否已完成初始化 */
     private initialized;
     /** 是否为透传模式 (不加密, 明文直接透传) */
     private readonly passthrough;
     /**
-     * 构造加密引擎
+     * 构造加密引擎 (加密模式)
      *
-     * @param passthrough - true 为透传模式 (不加密); false 为加密模式 (默认)
+     * 当前默认使用 Mock SDK。
+     * 待真实 SDK 交付后，此处替换为 require('./quantunPlug.ejs')。
      *
-     * 请使用静态工厂方法:
-     *   - new CryptoEngine()          → 加密模式, 使用量子 SDK
-     *   - CryptoEngine.createPassthrough() → 透传模式, 无需 init()
+     * 如需透传模式，请使用静态方法 CryptoEngine.createPassthrough()。
      */
-    constructor(passthrough?: boolean);
+    constructor();
     /**
      * 创建透传模式的加密引擎 (静态工厂方法)
      *
@@ -411,7 +412,7 @@ declare class CryptoEngine {
     /**
      * 初始化加密引擎
      *
-     * 加密模式: 调用 SDK 的 init() 方法完成密服入网、密钥协商等初始化操作。
+     * 加密模式: 调用 SDK 的 init() 方法完成密钥协商等初始化操作。
      * 透传模式: 空操作 (already initialized)。
      * 幂等操作 — 重复调用安全。
      */
@@ -419,11 +420,9 @@ declare class CryptoEngine {
     /**
      * 加密明文
      *
-     * 加密模式: 调用底层 SDK 加密 (SM4_CBC_PKCS7PADDING), 返回密文 + keyId
+     * 加密模式: 调用底层 SDK 加密, 返回 Base64 密文 + keyId
      * 透传模式: 直接返回明文作为 "密文", keyId = 'passthrough'
      *
-     * 注意: SDK 返回驼峰 cipherText, 此方法对外统一为小写 ciphertext
-     *
      * @param plaintext - 要加密的明文字符串
      * @returns { ciphertext: 密文字符串, keyId: 密钥标识 }
      * @throws 加密模式下未初始化时抛出错误
@@ -444,46 +443,16 @@ declare class CryptoEngine {
      * @throws 加密模式下未初始化、密文损坏或 keyId 不匹配时抛出错误
      */
     decrypt(ciphertext: string, keyId: string): Promise<string>;
-    /**
-     * 加密文件数据
-     *
-     * 自动处理 10MB 分片编排:
-     *   - ≤10MB: 单次调用 SDK encryptFile
-     *   - >10MB: 按 10MB 分片, 首片无需传密钥参数, 后续片传入前一片返回的 { keyId, sessionKey, fillKey }
-     *
-     * 透传模式: 直接返回原数据
-     *
-     * @param fileData - 文件数据 Buffer
-     * @returns { fileBuffer: 加密后的文件 Buffer, keyId: 密钥标识 }
-     */
-    encryptFile(fileData: Buffer): Promise<{
-        fileBuffer: Buffer;
-        keyId: string;
-    }>;
-    /**
-     * 解密文件数据
-     *
-     * 自动处理 (10MB + 16) 分片编排:
-     *   - ≤(10MB+16): 单次调用 SDK decryptFile
-     *   - >(10MB+16): 按 (10MB+16) 分片, 首片传 keyId, 后续片传入前一片返回的 { sessionKey, fillKey }
-     *
-     * 透传模式: 直接返回原数据
-     *
-     * @param fileData - 加密后的文件 Buffer
-     * @param keyId    - 加密时返回的密钥标识
-     * @returns 解密后的文件 Buffer
-     */
-    decryptFile(fileData: Buffer, keyId: string): Promise<Buffer>;
     /**
      * 查询当前是否为透传模式
      * 上层模块可通过此方法判断加密是否真正启用
      */
     isPassthrough(): boolean;
     /**
-     * 确保引擎已初始化，同时返回非空 plug 实例
-     * （通过 init() 守卫保证：加密模式下 init() 成功后 plug 一定非 null）
+     * 确保引擎已初始化
+     * 未初始化时抛出明确错误，避免难以排查的 SDK 内部异常
      */
-    private requirePlug;
+    private ensureInitialized;
 }
 
 /**

package/dist/setup-entry.cjs

@@ -2233,7 +2233,7 @@ var require_websocket = __commonJS({
     var http = require("http");
     var net = require("net");
     var tls = require("tls");
-    var { randomBytes: randomBytes2, createHash } = require("crypto");
+    var { randomBytes: randomBytes3, createHash } = require("crypto");
     var { Duplex, Readable } = require("stream");
     var { URL: URL2 } = require("url");
     var PerMessageDeflate = require_permessage_deflate();
@@ -2763,7 +2763,7 @@ var require_websocket = __commonJS({
         }
       }
       const defaultPort = isSecure ? 443 : 80;
-      const key = randomBytes2(16).toString("base64");
+      const key = randomBytes3(16).toString("base64");
       const request = isSecure ? https.request : http.request;
       const protocolSet = /* @__PURE__ */ new Set();
       let perMessageDeflate;
@@ -18070,54 +18070,104 @@ function buildPluginConfig(accountConfig, internalOverrides) {
   };
 }
 
-// src/crypto/quantun-plug-adapter.ts
-var import_node_module = require("module");
-var import_meta = {};
-var log5 = createLogger("crypto/quantun-plug-adapter");
-var SM4_MODE = {
-  ECB_NOPADDING: 1,
-  ECB_PKCS7PADDING: 2,
-  CBC_NOPADDING: 3,
-  CBC_PKCS7PADDING: 4
+// src/crypto/quantun-plug-mock.ts
+var import_node_crypto = require("crypto");
+var log5 = createLogger("crypto/quantun-plug-mock");
+var MOCK_KEY = Buffer.alloc(32, 0);
+MOCK_KEY.write("quantum-mock-key-2026", 0);
+var MOCK_KEY_ID = "mock-key-v1";
+var initialized = false;
+var quantunPlugMock = {
+  /**
+   * 初始化 Mock SDK
+   * 幂等操作 — 重复调用不会报错
+   */
+  async init() {
+    if (initialized) return;
+    initialized = true;
+    log5.warn("\u26A0\uFE0F MOCK MODE \u2014 \u4F7F\u7528 AES-256-GCM \u6A21\u62DF\u91CF\u5B50\u52A0\u5BC6");
+  },
+  /**
+   * 加密明文 → 密文 + 密钥标识
+   *
+   * 内部流程:
+   *   1. 生成 12 字节随机 IV (确保每次加密结果不同)
+   *   2. AES-256-GCM 加密明文
+   *   3. 获取 16 字节 AuthTag (认证标签,防篡改)
+   *   4. 拼接 [IV(12) | Tag(16) | Ciphertext] → Base64 编码
+   */
+  async encrypt(plaintext, mode) {
+    if (!initialized) {
+      throw new Error("quantunPlug not initialized \u2014 call init() first");
+    }
+    const iv = (0, import_node_crypto.randomBytes)(12);
+    const cipher = (0, import_node_crypto.createCipheriv)("aes-256-gcm", MOCK_KEY, iv);
+    const encrypted = Buffer.concat([
+      cipher.update(plaintext, "utf-8"),
+      cipher.final()
+    ]);
+    const tag = cipher.getAuthTag();
+    const combined = Buffer.concat([iv, tag, encrypted]);
+    return {
+      ciphertext: combined.toString("base64"),
+      keyId: MOCK_KEY_ID
+    };
+  },
+  /**
+   * 解密密文 → 明文
+   *
+   * 内部流程:
+   *   1. Base64 解码
+   *   2. 拆分 IV(12) + Tag(16) + Ciphertext
+   *   3. AES-256-GCM 解密 + AuthTag 验证
+   *   4. 返回 UTF-8 明文
+   *
+   * @throws AuthTag 验证失败时抛出异常 (数据被篡改)
+   */
+  async decrypt(ciphertext, keyId, mode) {
+    if (!initialized) {
+      throw new Error("quantunPlug not initialized \u2014 call init() first");
+    }
+    const combined = Buffer.from(ciphertext, "base64");
+    const iv = combined.subarray(0, 12);
+    const tag = combined.subarray(12, 28);
+    const encrypted = combined.subarray(28);
+    const decipher = (0, import_node_crypto.createDecipheriv)("aes-256-gcm", MOCK_KEY, iv);
+    decipher.setAuthTag(tag);
+    const decrypted = Buffer.concat([
+      decipher.update(encrypted),
+      decipher.final()
+      // 此处 Tag 验证失败会抛出异常
+    ]);
+    return {
+      plaintext: decrypted.toString("utf-8")
+    };
+  }
 };
-var DEFAULT_ENCRYPT_MODE = SM4_MODE.CBC_PKCS7PADDING;
-var require2 = (0, import_node_module.createRequire)(import_meta.url);
-var quantunPlug = null;
-try {
-  quantunPlug = require2("./sdk/index.min.cjs");
-  log5.info("Quantum SDK loaded from sdk/index.min.cjs");
-} catch (err) {
-  const msg = err instanceof Error ? err.message : String(err);
-  log5.warn("Quantum SDK missing, only passthrough mode will work:", msg);
-}
-var quantun_plug_adapter_default = quantunPlug;
+var quantun_plug_mock_default = quantunPlugMock;
 
 // src/crypto/crypto-engine.ts
 var log6 = createLogger("crypto/crypto-engine");
 var PASSTHROUGH_KEY_ID = "passthrough";
-var FILE_CHUNK_SIZE = 10 * 1024 * 1024;
-var FILE_DECRYPT_CHUNK_SIZE = FILE_CHUNK_SIZE + 16;
 var CryptoEngine = class _CryptoEngine {
-  /** 底层量子加密 SDK 实例, 透传模式下为 null */
+  /** 底层量子加密 SDK 实例 (Mock 或真实), 透传模式下为 null */
   plug;
   /** SDK 是否已完成初始化 */
-  initialized;
+  initialized = false;
   /** 是否为透传模式 (不加密, 明文直接透传) */
   passthrough;
   /**
-   * 构造加密引擎
+   * 构造加密引擎 (加密模式)
    *
-   * @param passthrough - true 为透传模式 (不加密); false 为加密模式 (默认)
+   * 当前默认使用 Mock SDK。
+   * 待真实 SDK 交付后，此处替换为 require('./quantunPlug.ejs')。
    *
-   * 请使用静态工厂方法:
-   *   - new CryptoEngine()          → 加密模式, 使用量子 SDK
-   *   - CryptoEngine.createPassthrough() → 透传模式, 无需 init()
+   * 如需透传模式，请使用静态方法 CryptoEngine.createPassthrough()。
    */
-  constructor(passthrough = false) {
-    this.passthrough = passthrough;
-    this.plug = passthrough ? null : quantun_plug_adapter_default;
-    this.initialized = passthrough;
-    log6.info(`CryptoEngine created (${passthrough ? "passthrough mode \u2014 crypto disabled" : "quantum SDK mode"})`);
+  constructor() {
+    this.plug = quantun_plug_mock_default;
+    this.passthrough = false;
+    log6.info("CryptoEngine created (mock mode)");
   }
   /**
    * 创建透传模式的加密引擎 (静态工厂方法)
@@ -18131,12 +18181,17 @@ var CryptoEngine = class _CryptoEngine {
    * 上层模块 (TokenStore, MessagePipe) 无需感知加密是否开启。
    */
   static createPassthrough() {
-    return new _CryptoEngine(true);
+    const instance = Object.create(_CryptoEngine.prototype);
+    instance.plug = null;
+    instance.passthrough = true;
+    instance.initialized = true;
+    log6.info("CryptoEngine created (passthrough mode \u2014 crypto disabled)");
+    return instance;
   }
   /**
    * 初始化加密引擎
    *
-   * 加密模式: 调用 SDK 的 init() 方法完成密服入网、密钥协商等初始化操作。
+   * 加密模式: 调用 SDK 的 init() 方法完成密钥协商等初始化操作。
    * 透传模式: 空操作 (already initialized)。
    * 幂等操作 — 重复调用安全。
    */
@@ -18146,9 +18201,6 @@ var CryptoEngine = class _CryptoEngine {
       this.initialized = true;
       return;
     }
-    if (!this.plug) {
-      throw new Error("Quantum encryption SDK is missing. Cannot initialize in encryption mode (check dist/index.min.cjs).");
-    }
     await this.plug.init();
     this.initialized = true;
     log6.info("CryptoEngine initialized \u2713");
@@ -18156,24 +18208,22 @@ var CryptoEngine = class _CryptoEngine {
   /**
    * 加密明文
    *
-   * 加密模式: 调用底层 SDK 加密 (SM4_CBC_PKCS7PADDING), 返回密文 + keyId
+   * 加密模式: 调用底层 SDK 加密, 返回 Base64 密文 + keyId
    * 透传模式: 直接返回明文作为 "密文", keyId = 'passthrough'
    *
-   * 注意: SDK 返回驼峰 cipherText, 此方法对外统一为小写 ciphertext
-   *
    * @param plaintext - 要加密的明文字符串
    * @returns { ciphertext: 密文字符串, keyId: 密钥标识 }
    * @throws 加密模式下未初始化时抛出错误
    */
   async encrypt(plaintext) {
+    this.ensureInitialized();
     if (this.passthrough) {
       log6.debug("Encrypt (passthrough)", { length: plaintext.length });
       return { ciphertext: plaintext, keyId: PASSTHROUGH_KEY_ID };
     }
-    const plug = this.requirePlug();
-    const result = await plug.encrypt(plaintext, DEFAULT_ENCRYPT_MODE);
+    const result = await this.plug.encrypt(plaintext, 1);
     log6.debug("Encrypted", { length: plaintext.length, keyId: result.keyId });
-    return { ciphertext: result.cipherText, keyId: result.keyId };
+    return result;
   }
   /**
    * 解密密文
@@ -18187,100 +18237,14 @@ var CryptoEngine = class _CryptoEngine {
    * @throws 加密模式下未初始化、密文损坏或 keyId 不匹配时抛出错误
    */
   async decrypt(ciphertext, keyId) {
+    this.ensureInitialized();
     if (this.passthrough) {
       log6.debug("Decrypt (passthrough)", { keyId });
       return ciphertext;
     }
-    const plug = this.requirePlug();
-    const result = await plug.decrypt(ciphertext, keyId, DEFAULT_ENCRYPT_MODE);
+    const result = await this.plug.decrypt(ciphertext, keyId, 1);
     log6.debug("Decrypted", { keyId });
-    return result.plainText;
-  }
-  /**
-   * 加密文件数据
-   *
-   * 自动处理 10MB 分片编排:
-   *   - ≤10MB: 单次调用 SDK encryptFile
-   *   - >10MB: 按 10MB 分片, 首片无需传密钥参数, 后续片传入前一片返回的 { keyId, sessionKey, fillKey }
-   *
-   * 透传模式: 直接返回原数据
-   *
-   * @param fileData - 文件数据 Buffer
-   * @returns { fileBuffer: 加密后的文件 Buffer, keyId: 密钥标识 }
-   */
-  async encryptFile(fileData) {
-    if (this.passthrough) {
-      log6.debug("EncryptFile (passthrough)", { size: fileData.length });
-      return { fileBuffer: fileData, keyId: PASSTHROUGH_KEY_ID };
-    }
-    if (fileData.length === 0) {
-      return { fileBuffer: Buffer.alloc(0), keyId: PASSTHROUGH_KEY_ID };
-    }
-    const chunks = [];
-    const total = Math.ceil(fileData.length / FILE_CHUNK_SIZE);
-    let keyId;
-    let sessionKey;
-    let fillKey;
-    const plug = this.requirePlug();
-    log6.debug("EncryptFile", { size: fileData.length, chunks: total });
-    for (let i = 0; i < total; i++) {
-      const start = i * FILE_CHUNK_SIZE;
-      const end = Math.min(start + FILE_CHUNK_SIZE, fileData.length);
-      const chunk = fileData.subarray(start, end);
-      const result = await plug.encryptFile(chunk, DEFAULT_ENCRYPT_MODE, {
-        keyId,
-        sessionKey,
-        fillKey
-      });
-      chunks.push(result.fileBuffer);
-      keyId = result.keyId;
-      sessionKey = result.sessionKey;
-      fillKey = result.fillKey;
-    }
-    log6.debug("EncryptFile done", { keyId, chunks: total });
-    return { fileBuffer: Buffer.concat(chunks), keyId: keyId ?? "" };
-  }
-  /**
-   * 解密文件数据
-   *
-   * 自动处理 (10MB + 16) 分片编排:
-   *   - ≤(10MB+16): 单次调用 SDK decryptFile
-   *   - >(10MB+16): 按 (10MB+16) 分片, 首片传 keyId, 后续片传入前一片返回的 { sessionKey, fillKey }
-   *
-   * 透传模式: 直接返回原数据
-   *
-   * @param fileData - 加密后的文件 Buffer
-   * @param keyId    - 加密时返回的密钥标识
-   * @returns 解密后的文件 Buffer
-   */
-  async decryptFile(fileData, keyId) {
-    if (this.passthrough) {
-      log6.debug("DecryptFile (passthrough)", { keyId });
-      return fileData;
-    }
-    if (fileData.length === 0) {
-      return Buffer.alloc(0);
-    }
-    const plug = this.requirePlug();
-    const chunks = [];
-    const total = Math.ceil(fileData.length / FILE_DECRYPT_CHUNK_SIZE);
-    let sessionKey;
-    let fillKey;
-    log6.debug("DecryptFile", { size: fileData.length, chunks: total, keyId });
-    for (let i = 0; i < total; i++) {
-      const start = i * FILE_DECRYPT_CHUNK_SIZE;
-      const end = Math.min(start + FILE_DECRYPT_CHUNK_SIZE, fileData.length);
-      const chunk = fileData.subarray(start, end);
-      const result = await plug.decryptFile(chunk, keyId, DEFAULT_ENCRYPT_MODE, {
-        sessionKey,
-        fillKey
-      });
-      chunks.push(result.fileBuffer);
-      sessionKey = result.sessionKey;
-      fillKey = result.fillKey;
-    }
-    log6.debug("DecryptFile done", { keyId, chunks: total });
-    return Buffer.concat(chunks);
+    return result.plaintext;
   }
   /**
    * 查询当前是否为透传模式
@@ -18290,14 +18254,13 @@ var CryptoEngine = class _CryptoEngine {
     return this.passthrough;
   }
   /**
-   * 确保引擎已初始化，同时返回非空 plug 实例
-   * （通过 init() 守卫保证：加密模式下 init() 成功后 plug 一定非 null）
+   * 确保引擎已初始化
+   * 未初始化时抛出明确错误，避免难以排查的 SDK 内部异常
    */
-  requirePlug() {
+  ensureInitialized() {
     if (!this.initialized) {
       throw new Error("CryptoEngine not initialized \u2014 call init() first");
     }
-    return this.plug;
   }
 };
 
@@ -18516,7 +18479,7 @@ var SealClient = class {
 var import_promises = require("fs/promises");
 var import_node_fs = require("fs");
 var import_node_path = require("path");
-var import_node_crypto = require("crypto");
+var import_node_crypto2 = require("crypto");
 var log8 = createLogger("auth/token-store");
 var TokenStore = class {
   /** 存储目录路径 */
@@ -18572,7 +18535,7 @@ var TokenStore = class {
     const storage = { ciphertext, keyId };
     const storageJson = JSON.stringify(storage);
     const targetPath = this.filePath(key);
-    const tmpSuffix = (0, import_node_crypto.randomBytes)(4).toString("hex");
+    const tmpSuffix = (0, import_node_crypto2.randomBytes)(4).toString("hex");
     const tmpPath = `${targetPath}.${tmpSuffix}.tmp`;
     try {
       await (0, import_promises.writeFile)(tmpPath, storageJson, { mode: 384 });
@@ -19011,7 +18974,7 @@ var MessageDedup = class {
 };
 
 // src/transport/message-pipe.ts
-var import_node_crypto2 = require("crypto");
+var import_node_crypto3 = require("crypto");
 var log12 = createLogger("transport/message-pipe");
 var MessagePipe = class {
   wsClient;
@@ -19159,7 +19122,7 @@ var MessagePipe = class {
     if (timestamp && nonce && signature) {
       const token = await this.tokenFn();
       const signatureInput = timestamp + nonce + frame.data;
-      const expected = (0, import_node_crypto2.createHmac)("sha256", token).update(signatureInput).digest("hex");
+      const expected = (0, import_node_crypto3.createHmac)("sha256", token).update(signatureInput).digest("hex");
       if (expected !== signature) {
         log12.warn("inbound:signature-fail", { timestamp, nonce });
         return;

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "liangzimixin",
-  "version": "0.3.1",
+  "version": "0.3.2",
   "description": "Quantum-encrypted IM channel plugin for OpenClaw",
   "type": "module",
   "main": "dist/index.cjs",