[Plugin] astrbot_plugin_cve_warning

[xiaochai-123]

插件信息

{
  "name": "astrbot_plugin_cve_warning",
  "display_name": "CVE漏洞推送",
  "desc": "基于 CISA KEV（Known Exploited Vulnerabilities）定时推送，并按 CVSS 严重等级对消息进行分级展示。",
  "author": "xiaochai_123",
  "repo": "https://github.com/xiaochai-123/astrbot_plugin_cve_warning",
  "tags": [
    "CVE",
    "漏洞",
    "安全"
  ],
  "social_link": "https://xiaochai-123.github.io/"
}

插件检查清单

• 我的插件经过完整的测试
• 我的插件不包含恶意代码
• 我已阅读并同意遵守该项目的 行为准则。

[astrpluginreviewer]

🤖 AI代码审核报告 for astrbot_plugin_cve_warning

您好！我已经对你提交的插件代码进行了初步自动化审核，作为初步参考:

main.py

1. 后台服务任务结束后的状态残留

   • 问题：_on_service_task_done 仅在任务异常退出时才将 self.service/self._service_task 置空；若任务“正常结束”（例如 kev_feed_url 未配置导致 start() 直接 return），对象引用会保留。
   • 影响：/CVE漏洞推送状态 与 /CVE漏洞推送手动刷新 可能看到“服务对象存在”但实际不可用，形成状态误导。
   • 建议：在 done_callback 中，无论异常或正常完成，都应统一清理任务引用，并根据退出原因更新可观测状态。

2. terminate() 后未清理引用

   • 问题：terminate() 执行完成后未显式将 self.service 和 self._service_task 置空。
   • 影响：停止后仍可能被判定为“服务存在”，增加后续生命周期判断复杂度和误判概率。
   • 建议：在 terminate() 的 finally 中统一清空引用，确保生命周期状态一致。

---

init.py

（未发现需报告的问题）

---

core/init.py

（未发现需报告的问题）

---

core/cisa_kev_client.py

（未发现需报告的问题）

---

core/cve_warning_service.py

1. 未配置 target_sessions 时仍将 CVE 标记为已推送

   • 问题：当 self.target_sessions 为空时，代码会将 ok_any/ok_all 置为 True，随后执行 mark_cve_pushed。
   • 影响：在“无推送目标”的运行阶段，CVE 会被记为“已推送”；后续即使补充了目标会话，也可能因去重逻辑不再发送，造成消息永久漏推。
   • 建议：无目标会话时只更新“抓取/扫描”状态，不应写入“已推送”状态。

2. 配置项缺乏健壮校验，可能在初始化阶段直接抛异常

   • 问题：大量 int(config.get(...)) 直接转换（如 push_interval_hours、max_push_per_run 等），若配置值为非数字字符串会抛 ValueError。
   • 影响：插件初始化可能失败，且错误恢复路径不清晰。
   • 建议：对配置做集中校验与兜底（try/except + 默认值 + 边界约束）。

---

core/message_formatter.py

1. _truncate 在 max_len <= 0 时行为异常
   • 问题：max_len 非正数时，返回可能为 "..."，长度反而大于期望上限。
   • 影响：消息长度控制与配置语义不一致，可能导致格式化输出不可预测。
   • 建议：对 max_len <= 0 直接返回空字符串，或在入参阶段约束最小值。

---

core/nvd_client.py

（未发现需报告的问题）

---

core/state_store.py

1. 状态读写锁粒度不一致，存在并发一致性隐患
   • 问题：load/save 使用了 _lock，但 mark_cve_*、set_cvss_cached、get_cvss_cached 等对共享字典/队列的读写未加锁。
   • 影响：当前虽可能依赖上层串行调用，但一旦并发调用路径扩展，可能出现状态竞争、顺序队列与字典不一致等问题。
   • 建议：统一并发模型（要么在 store 内部完整加锁，要么明确“仅允许上层单协程访问”并通过接口约束）。

---

代码评审团

人物一：Linus Torvalds（直球派）
“任务都结束了你还留着 service 引用，这就像进程都死了 ps 里还写着运行中。状态管理要么真，要么别显示。建议：生命周期状态机明确化，别让对象引用和真实运行态分家。”

人物二：Steve Jobs（体验派）
“你告诉用户‘未配置 target_sessions 只更新状态不推送’，结果代码却把它标成已推送。这个是产品层面的‘背刺’。建议：把‘已抓取/已处理/已推送’三种状态拆开，语义必须和用户感知一致。”

人物三：Ada Lovelace（严谨派）
“配置参数直接 int(...) 转换而无验证，会让系统对输入过于脆弱。建议：建立配置验证层（类型、范围、默认值），并把错误尽早、可读地暴露，而不是在运行路径中随机崩溃。”

Disclaimer: 以上评审内容由 AI 自动生成，所涉及人物形象与现实无关，不代表真实人物观点。如果给出的建议无关痛痒请忽略。

---

🔍 审核摘要

统计信息

• 仓库文件总数: 8 个 Python 文件
• 已选择审核文件: 8 / 8
  已发送至 AI 审核的文件清单

main.py
__init__.py
core/__init__.py
core/cisa_kev_client.py
core/cve_warning_service.py
core/message_formatter.py
core/nvd_client.py
core/state_store.py

---

此报告由AI自动生成，旨在提供初步反馈和改进建议，不能完全替代人工审核。最终决策以社区维护者的人工审核为准。目前自动审核（仓库地址）处于试验阶段，如遇问题请向维护者反馈。

当前仓库：xiaochai-123/astrbot_plugin_cve_warning
剩余触发次数：3

[astrbot-plugin-copybara]

插件信息已同步到集合仓库。
PR: AstrBotDevs/AstrBot_Plugins_Collection#375
已自动合并 PR #375

该插件已上架。
This plugin is now published.