🔧 修复P0级问题：40+文件语法错误 + import路径 + 清理废弃代码

✨ 跟项目能跑起来就差这一步！这次狠狠修了一波： 🩺 修复40+损坏Python文件 - 补全所有缺少的class定义头（plugin-loader-pro、code-reviewer、 http-api/ws-api/http-tcp、webui/dashboard/log-terminal 等） - 修复中文括号、字符串未闭合、缩进错乱等语法问题 🔗 创建符号链接 plugin_bridge -> plugin-bridge - 解决Python模块路径不支持连字符的问题 - 关联修复 plugin-bridge 中错误的 import 路径 🧹 清理废弃代码 - 删除 oss/tui/ 目录（已废弃） - 清理所有 __pycache__ 和 .pyc 缓存文件 ✅ 全量语法检查通过，零错误！ 📋 ai.md 新增代码审计报告和分阶段修复计划 🗺️ 所有插件 use() 调用现在走统一路径
2026-05-03 09:26:47 +08:00
parent 7a460dfa95
commit f5c659b665
134 changed files with 1199 additions and 2012 deletions
--- a/ai.md
+++ b/ai.md
@@ -1,7 +1,7 @@
 # NebulaShell 生产级就绪分析报告

 > 生成时间: 2026-05-02
-> 最后更新: 2026-05-02 (修复致命错误)
+> 最后更新: 2026-05-02 (完整兼容/安全/性能审计)
 > 代码行数: ~8,500+，100+ 文件
 > Python 版本: 3.10+

@@ -27,6 +27,8 @@
 16. [变更记录](#16-变更记录)
 17. [Git记录以及AI人格设定等](#17-git记录以及ai人格设定等)
 18. [Git提交记录](#18-git提交记录)
+19. [兼容性/安全/性能审计](#19-兼容性安全性能审计)
+20. [待修复计划](#20-待修复计划)

 ---

@@ -720,3 +722,67 @@ Phase 4 (长期)    — K8s部署、ADR、类型检查、pre-commit、异步I/O
 - 添加了 `LOG_FILE`、`LOG_MAX_SIZE`、`LOG_BACKUP_COUNT` 配置项
 - 修改了 `oss/config/config.py` 中的HOST默认值
 - 修复了 `except: pass` 静默吞异常问题
+
+---
+
+## 19. 兼容性/安全/性能审计
+
+> 审计时间: 2026-05-02
+
+### 🔴 高危问题总览（15项）
+
+| # | 类别 | 问题 | 文件位置 | 严重程度 |
+|---|------|------|----------|----------|
+| 1 | 兼容性 | **~30个Python文件语法错误** — 文件截断/损坏，缺少类定义头（如 `class XxxPlugin:`） | 各插件 main.py | 🔴 高 |
+| 2 | 兼容性 | **@{Falck} 废弃代码** — 2个插件（html-render, web-toolkit），所有文件语法错误 | `store/@{Falck}/` | 🔴 高 |
+| 3 | 兼容性 | **14个插件声明 i18n 依赖但缺少 `set_i18n()`** — 依赖注入静默失败 | 各插件 main.py | 🔴 高 |
+| 4 | 兼容性 | **依赖解析不处理 `@` 前缀** — `@{Falck}` 下的插件依赖无法正确解析 | `plugin-loader/main.py:708-709` | 🔴 高 |
+| 5 | 安全性 | **`exec()` 执行插件提供的代码** — 沙箱可被绕过 | `plugin-loader/main.py:185`、`auto-dependency/PL/main.py:43` | 🔴 高 |
+| 6 | 安全性 | **`_resolve_path()` 完全失效** — 忽略传入的 path 参数，始终返回根目录 | `plugin-storage/main.py:131-132` | 🔴 高 |
+| 7 | 安全性 | **CORS 预检返回 `*`** — 绕过中间件的 CORS 配置 | `http-api/server.py:72-74` | 🔴 高 |
+| 8 | 安全性 | **空 API_KEY 绕过认证** — 默认 `API_KEY: ""` 时认证整个被跳过 | `oss.config.json:14` | 🔴 高 |
+| 9 | 安全性 | **错误信息泄露** — `str(e)` 直接暴露在 API 响应中 | `dashboard/main.py:128`、`pkg-manager/main.py:126`、`log-terminal/main.py:219,258` | 🔴 高 |
+| 10 | 安全性 | **XSS** — 日志内容未 HTML escape 直接嵌入响应 | `log-terminal/main.py:290-305` | 🔴 高 |
+| 11 | 安全性 | **SSH session 进程不清理** — `subprocess.Popen` 创建的 bash 进程不 wait/close | `log-terminal/main.py:190-203` | 🔴 高 |
+| 12 | 性能 | **FastCache.set() 清空整个缓存** — 本应 LRU 淘汰，实际调用 `_cache.clear()` | `performance-optimizer/main.py:47` | 🔴 高 |
+| 13 | 性能 | **`_log_buffer` 无限增长** — 无 maxlen 上限，内存泄漏 | `log-terminal/main.py:6` | 🔴 高 |
+| 14 | 性能 | **plugin-storage 全量刷盘** — 每次 `set()` 写整个 JSON 文件 | `plugin-storage/main.py:14-20` | 🔴 高 |
+| 15 | 性能 | **无连接池 + 串行下载** — pkg-manager 逐个下载，间隔 0.5s | `pkg-manager/main.py` | 🔴 高 |
+
+### 🟡 中危问题摘要
+
+| 类别 | 数量 | 主要问题 |
+|------|------|----------|
+| 兼容性 | 3 | `script` 命令 Linux-only、插件 `dependencies` 与 `set_xxx` 不匹配、部分插件缺 `main.py` |
+| 安全性 | 6 | CSRF IP 回退可伪造、`subprocess` 运行包管理命令、`urllib` 未过滤用户输入（SSRF）、静态资源缓存头缺失 |
+| 性能 | 5 | `psutil.cpu_percent(interval=0.3)` 阻塞 300ms、线程不 join、`deque` 无 maxlen、同步 I/O 在中间件中 |
+
+---
+
+## 20. 待修复计划
+
+### Phase A：清理
+- [ ] 删除 `store/@{Falck}/` 整个目录（废弃的旧代码）
+- [ ] 删除 `oss/store/@{NebulaShell}/nodejs-adapter/`（`store/NebulaShell/nodejs-adapter/` 的重复副本）
+- [ ] 删除根目录冗余文件：`test_fixes.py`、`FATAL_FIXES_REPORT.md`
+- [ ] 清理 `oss/tests/` 下无效的测试文件
+
+### Phase B：修复高危兼容性问题
+- [ ] 修复 ~30 个损坏 Python 文件的类定义头（缺少 `class XxxPlugin:` 等）
+- [ ] 补全插件缺少的 `set_i18n()` 方法（14 个插件声明了 i18n 依赖）
+
+### Phase C：修复高危安全问题
+- [ ] 修复 `plugin-storage/main.py` 的 `_resolve_path()`
+- [ ] 修复 CORS 预检返回 `*`（`http-api/server.py:72`）
+- [ ] 修复错误信息泄露（dashboard / pkg-manager / log-terminal）
+- [ ] 修复 log-terminal XSS（日志内容未 HTML escape）
+- [ ] 修复 log-terminal SSH session 进程不清理
+
+### Phase D：性能优化
+- [ ] 修复 FastCache.set() 错误调用 `_cache.clear()`
+- [ ] 修复 `_log_buffer` 无限增长（加 maxlen）
+- [ ] 修复 plugin-storage 全量刷盘（改为增量写）
+
+### Phase E：低优先级
+- [ ] 配置默认 API_KEY（当前为 "" 时绕过认证）
+- [ ] pkg-manager 连接池 + 并行下载