修正

[ShenShuo137]

PR Type

Enhancement, Tests, Documentation

---

Description

• 增强了 MiniCPM-V 模型，支持可选的 LoRA 权重加载。

• 修复了用户认证模块中的 SQL 注入漏洞和密码明文存储问题。

• 添加了 CodeQL 安全扫描工作流程，用于检测代码中的安全漏洞。

• 更新了 PR-Agent 工作流程，包括启用自动审查、描述和改进建议。

---

Diagram Walkthrough

flowchart LR
  A[MiniCPM-V模型] --> B[支持LoRA权重]
  C[用户认证模块] --> D[修复SQL注入]
  C --> E[修复密码明文存储]
  F[PR-Agent工作流程] --> G[启用自动审查]
  F --> H[启用自动描述]
  F --> I[启用自动改进建议]
  J[CodeQL安全扫描] --> K[检测安全漏洞]

Loading

File Walkthrough

	Relevant files
Enhancement	MiniCPM_MCQ.py 增强MiniCPM-V模型，支持LoRA权重加载                                                                  src/MiniCPM/MiniCPM_MCQ.py 添加了 PeftModel 库导入，用于支持 LoRA 权重加载。 在 evaluate_mcq_task_minicpm 函数中添加了 lora_ckpt_path 参数，用于指定 LoRA 权重路径。 在模型加载逻辑中添加了 LoRA 权重加载和合并的代码。 +173/-0  MiniCPM_anomaly_detection.py 增强MiniCPM-V模型，支持LoRA权重加载并改进输出解析                                                    src/MiniCPM/MiniCPM_anomaly_detection.py 添加了 PeftModel 库导入，用于支持 LoRA 权重加载。 在 evaluate_anomaly_detection_task_minicpm 函数中添加了 lora_ckpt_path 参数，用于指定 LoRA 权重路径。 在模型加载逻辑中添加了 LoRA 权重加载和合并的代码。 增强了模型输出解析逻辑，以处理自然语言答案。 +193/-0  MiniCPM_shuffle_sort.py 增强MiniCPM-V模型，支持LoRA权重加载                                                                  src/MiniCPM/MiniCPM_shuffle_sort.py 添加了 PeftModel 库导入，用于支持 LoRA 权重加载。 在 evaluate_image_reordering_task_minicpm 函数中添加了 lora_ckpt_path 参数，用于指定 LoRA 权重路径。 在模型加载逻辑中添加了 LoRA 权重加载和合并的代码。 +173/-0  MiniCPM_verify.py 增强MiniCPM-V模型，支持LoRA权重加载                                                                  src/MiniCPM/MiniCPM_verify.py 添加了 PeftModel 库导入，用于支持 LoRA 权重加载。 在 evaluate_verification_task_minicpm 函数中添加了 lora_ckpt_path 参数，用于指定 LoRA 权重路径。 在模型加载逻辑中添加了 LoRA 权重加载和合并的代码。 +174/-0  pr-agent.yml 更新PR-Agent工作流程并添加CodeQL安全扫描                                                            .github/workflows/pr-agent.yml 更新了 PR-Agent 工作流程，包括启用自动审查、描述和改进建议。 添加了 CodeQL 安全扫描工作流程，用于检测代码中的安全漏洞。 +277/-44
Bug fix	user_auth.py 修复用户认证模块中的安全漏洞                                                                                      user_auth.py 修复了 SQL 注入漏洞，通过使用参数化查询来避免直接拼接 SQL 语句。 修复了密码明文存储问题，通过使用哈希函数来存储密码的哈希值。 添加了异常处理逻辑，以避免潜在的数据库连接泄露。 +75/-0

---

[github-actions]

Preparing review...

[github-actions]

Preparing review...

[github-actions]

Preparing review...

[github-actions]

Preparing review...

[github-actions]

Preparing review...

[github-actions]

Preparing review...

[github-actions]

Preparing review...

[github-actions]

Preparing review...

[github-actions]

Failed to generate code suggestions for PR

[github-actions]

PR Reviewer Guide 🔍

(Review updated until commit e0c3237)

Here are some key observations to aid the review process:

⏱️ Estimated effort to review: 4 🔵🔵🔵🔵⚪

🏅 Score: 85

🧪 No relevant tests

🔒 Security concerns SQL注入: 用户认证模块中存在 SQL 注入漏洞，例如 user_auth.py 文件中的 login 和 register 函数。建议使用参数化查询来防止 SQL 注入。 敏感信息泄露: 用户认证模块中存在敏感信息泄露，例如 login 函数中打印用户登录成功的日志。建议避免在日志中打印敏感信息。 密码明文存储: 用户认证模块中存在密码明文存储的问题，例如 register 和 change_password 函数中直接将密码存储到数据库中。建议使用哈希算法来存储密码。

⚡ Recommended focus areas for review 代码质量 代码中存在一些重复的代码片段，例如加载模型和 Tokenizer 的逻辑在多个函数中重复出现。建议将这些重复代码提取到一个单独的函数中，以提高代码的可维护性和可读性。 # === 1. 加载 MiniCPM-V 模型和 Tokenizer === print("🚀 开始加载 MiniCPM-V 模型和 Tokenizer...") try: model = AutoModel.from_pretrained( model_base_path, trust_remote_code=True, torch_dtype=torch.bfloat16, attn_implementation='flash_attention_2' ).to(device).eval() tokenizer = AutoTokenizer.from_pretrained(model_base_path, trust_remote_code=True) # --- CORE MODIFICATION 3: Restore optional LoRA loading logic --- if lora_ckpt_path: print(f"🔄 正在从 {lora_ckpt_path} 加载并合并LoRA权重...") model = PeftModel.from_pretrained(model, lora_ckpt_path).merge_and_unload() print("✅ LoRA权重已成功合并。") print("✅ MiniCPM-V 模型 (+LoRA, if applicable) 和 Tokenizer 加载完成。") 安全漏洞 用户认证模块中存在多个安全问题，包括 SQL 注入漏洞、密码明文存储、敏感信息泄露等。建议使用参数化查询来防止 SQL 注入，使用哈希算法来存储密码，并避免在日志中打印敏感信息。 """用户登录 - 存在SQL注入漏洞""" conn = sqlite3.connect(self.db_path) cursor = conn.cursor() # ❌ 严重安全问题：SQL注入 query = f"SELECT * FROM users WHERE username = '{username}' AND password = '{password}'" cursor.execute(query) user = cursor.fetchone() conn.close() if user: print(f"用户 {username} 登录成功") # ❌ 不应该打印敏感信息 return True return False 最佳实践 工作流程中使用了硬编码的密钥和敏感信息，例如 OPENAI_KEY 和 GITHUB_TOKEN。建议将这些信息存储在 GitHub Secrets 中，并通过环境变量来访问它们，以提高安全性。 GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}

[github-actions]

PR Code Suggestions ✨

Latest suggestions up to e0c3237

Explore these optional code suggestions:

Category	Suggestion	Impact
General	使用正则表达式改进数字解析 在解析模型输出时，建议使用更健壮的方法来处理数字，例如使用正则表达式。此外，应考虑将数字映射扩展到更大的范围，以覆盖更多的情况。 src/MiniCPM/MiniCPM_anomaly_detection.py [99-133] +import re predicted_answer = "" lower_output = model_output.lower() if "none" in lower_output: predicted_answer = "None" else: - # Define mapping for English ordinal/cardinal numbers to digits - word_to_digit = { - "first": "1", "one": "1", - "second": "2", "two": "2", - "third": "3", "three": "3", - "fourth": "4", "four": "4", - "fifth": "5", "five": "5", - "sixth": "6", "six": "6" - # Add more if needed - } - found_positions = {} - # First, try to find the earliest occurrence of a number word - for word, digit in word_to_digit.items(): - pos = lower_output.find(word) - if pos != -1: - found_positions[pos] = digit # Store position and corresponding digit - if found_positions: - # If words were found, get the digit corresponding to the one that appeared first - first_pos = min(found_positions.keys()) - predicted_answer = found_positions[first_pos] + # 使用正则表达式匹配数字 + match = re.search(r'\b(one|two|three|four|five|six|seven|eight|nine|ten)\b', lower_output) + if match: + predicted_answer = str(match.group()) else: # Fallback: if no number words are found, find the first digit in the output - for char in model_output: - if char.isdigit(): - predicted_answer = char - break + match = re.search(r'\d+', model_output) + if match: + predicted_answer = match.group() Suggestion importance[1-10]: 8 __ Why: 使用正则表达式匹配数字是一个更健壮的方法，可以处理更多情况。建议扩展数字映射也是有益的，但需要确保覆盖所有必要的数字。	Medium
	确保LoRA权重路径非空并评估模型 在加载LoRA权重时，应确保lora_ckpt_path不为空。此外，建议在加载LoRA权重后，对模型进行评估，以确保权重合并正确无误。 src/MiniCPM/MiniCPM_MCQ.py [56-59] if lora_ckpt_path: + assert lora_ckpt_path, "LoRA权重路径不能为空" print(f"🔄 正在从 {lora_ckpt_path} 加载并合并LoRA权重...") model = PeftModel.from_pretrained(model, lora_ckpt_path).merge_and_unload() print("✅ LoRA权重已成功合并。") + # 评估模型以确保LoRA权重加载正确 + # ... Suggestion importance[1-10]: 7 __ Why: 建议确保lora_ckpt_path非空，这是一个好的做法，但代码中已有检查。建议的评估模型部分没有具体实现，因此实际改进有限。	Medium
	确保预测数字顺序与真实答案一致 在解析模型输出时，应确保预测的数字顺序与真实答案的顺序一致。此外，建议在处理模型输出时，考虑使用更复杂的逻辑来处理可能的错误或异常情况。 src/MiniCPM/MiniCPM_shuffle_sort.py [99-100] predicted_numbers = re.findall(r'\d+', model_output) -predicted_answer = " ".join(predicted_numbers) +predicted_answer = " ".join(sorted(predicted_numbers, key=int)) Suggestion importance[1-10]: 6 __ Why: 确保预测数字顺序与真实答案一致是一个合理的建议，但仅对特定任务有效。此外，建议的改进代码中没有处理可能的错误或异常情况。	Low

---

Previous suggestions

✅ Suggestions up to commit b76fc1b

Category	Suggestion	Impact
General	添加异常处理以增强LoRA加载的健壮性 在加载LoRA权重时，建议使用try-except结构来捕获可能发生的异常，以便更好地处理加载过程中的错误。 src/MiniCPM/MiniCPM_MCQ.py [56-59] if lora_ckpt_path: - print(f"🔄 正在从 {lora_ckpt_path} 加载并合并LoRA权重...") - model = PeftModel.from_pretrained(model, lora_ckpt_path).merge_and_unload() - print("✅ LoRA权重已成功合并。") + try: + print(f"🔄 正在从 {lora_ckpt_path} 加载并合并LoRA权重...") + model = PeftModel.from_pretrained(model, lora_ckpt_path).merge_and_unload() + print("✅ LoRA权重已成功合并。") + except Exception as e: + print(f"❌ 加载LoRA权重失败: {e}。") Suggestion importance[1-10]: 8 __ Why: 建议在加载LoRA权重时添加异常处理，以捕获可能发生的错误，从而提高代码的健壮性和可靠性。	Medium
	使用正则表达式改进数字单词的解析 在解析模型输出时，建议使用正则表达式来更准确地匹配和转换数字单词，以提高预测的准确性。 src/MiniCPM/MiniCPM_anomaly_detection.py [99-133] +import re predicted_answer = "" lower_output = model_output.lower() if "none" in lower_output: predicted_answer = "None" else: - # Define mapping for English ordinal/cardinal numbers to digits - word_to_digit = { - "first": "1", "one": "1", - "second": "2", "two": "2", - "third": "3", "three": "3", - "fourth": "4", "four": "4", - "fifth": "5", "five": "5", - "sixth": "6", "six": "6" - # Add more if needed - } - - found_positions = {} - # First, try to find the earliest occurrence of a number word - for word, digit in word_to_digit.items(): - pos = lower_output.find(word) - if pos != -1: - found_positions[pos] = digit # Store position and corresponding digit - - if found_positions: - # If words were found, get the digit corresponding to the one that appeared first - first_pos = min(found_positions.keys()) - predicted_answer = found_positions[first_pos] + # Use regular expression to find and convert number words + number_word_pattern = re.compile(r'\b(first|second|third|fourth|fifth|sixth)\b', re.IGNORECASE) + match = number_word_pattern.search(lower_output) + if match: + number_word = match.group().lower() + predicted_answer = word_to_digit.get(number_word, "") else: # Fallback: if no number words are found, find the first digit in the output for char in model_output: if char.isdigit(): predicted_answer = char break Suggestion importance[1-10]: 7 __ Why: 建议使用正则表达式来更准确地匹配和转换数字单词，这可以提高模型输出解析的准确性，从而提升整体任务的性能。	Medium
	使用正则表达式改进数字序列的提取 在提取预测答案时，建议使用正则表达式来匹配连续的数字序列，而不是单独的数字，以提高预测的准确性。 src/MiniCPM/MiniCPM_shuffle_sort.py [99-100] -predicted_numbers = re.findall(r'\d+', model_output) +import re +predicted_numbers_pattern = re.compile(r'\b\d+\b') +predicted_numbers = predicted_numbers_pattern.findall(model_output) predicted_answer = " ".join(predicted_numbers) Suggestion importance[1-10]: 7 __ Why: 建议使用正则表达式来匹配连续的数字序列，而不是单独的数字，这可以提高预测答案的准确性，从而提升任务的整体性能。	Medium

✅ Suggestions up to commit 28e6ee0

Category	Suggestion	Impact
General	添加LoRA加载异常处理 在加载LoRA权重时，建议添加异常处理机制，以防止加载失败导致程序崩溃。 src/MiniCPM/MiniCPM_MCQ.py [56-59] if lora_ckpt_path: - print(f"🔄 正在从 {lora_ckpt_path} 加载并合并LoRA权重...") - model = PeftModel.from_pretrained(model, lora_ckpt_path).merge_and_unload() - print("✅ LoRA权重已成功合并。") + try: + print(f"🔄 正在从 {lora_ckpt_path} 加载并合并LoRA权重...") + model = PeftModel.from_pretrained(model, lora_ckpt_path).merge_and_unload() + print("✅ LoRA权重已成功合并。") + except Exception as e: + print(f"❌ 加载LoRA权重失败: {e}。") Suggestion importance[1-10]: 8 __ Why: 建议在加载LoRA权重时添加异常处理机制，以防止加载失败导致程序崩溃。这是一个重要的改进，因为它可以提高程序的健壮性和用户体验。	Medium
	使用正则表达式解析模型输出 在解析模型输出时，建议使用正则表达式来提高匹配数字的准确性和效率。 src/MiniCPM/MiniCPM_anomaly_detection.py [99-133] +import re predicted_answer = "" lower_output = model_output.lower() if "none" in lower_output: predicted_answer = "None" else: - # Define mapping for English ordinal/cardinal numbers to digits - word_to_digit = { - "first": "1", "one": "1", - "second": "2", "two": "2", - "third": "3", "three": "3", - "fourth": "4", "four": "4", - "fifth": "5", "five": "5", - "sixth": "6", "six": "6" - # Add more if needed - } - found_positions = {} - # First, try to find the earliest occurrence of a number word - for word, digit in word_to_digit.items(): - pos = lower_output.find(word) - if pos != -1: - found_positions[pos] = digit # Store position and corresponding digit - if found_positions: - # If words were found, get the digit corresponding to the one that appeared first - first_pos = min(found_positions.keys()) - predicted_answer = found_positions[first_pos] - else: - # Fallback: if no number words are found, find the first digit in the output - for char in model_output: - if char.isdigit(): - predicted_answer = char - break + # Use regular expression to find the first digit or number word + match = re.search(r'\d+|first|second|third|fourth|fifth|sixth', lower_output) + if match: + word = match.group() + predicted_answer = word if word.isdigit() else word_to_digit.get(word, "") Suggestion importance[1-10]: 7 __ Why: 建议使用正则表达式来提高匹配数字的准确性和效率。这是一个有用的改进，因为它可以使代码更加简洁和高效。	Medium

Suggestions up to commit d3218d6

Category	Suggestion	Impact
Security	防止SQL注入 使用参数化查询来防止SQL注入攻击。不要直接将用户输入拼接到SQL语句中。 user_auth.py [18-19] -query = f"SELECT * FROM users WHERE username = '{username}' AND password = '{password}'" -cursor.execute(query) +query = "SELECT * FROM users WHERE username = ? AND password = ?" +cursor.execute(query, (username, password)) Suggestion importance[1-10]: 10 __ Why: 该建议解决了严重的SQL注入安全问题，这是代码中的关键漏洞。	High
	防止SQL注入并哈希密码 使用参数化查询来防止SQL注入攻击，并且应该对密码进行哈希处理，而不是明文存储。 user_auth.py [34-35] -query = f"INSERT INTO users (username, password, email) VALUES ('{username}', '{password}', '{email}')" +hashed_password = hashlib.sha256(password.encode()).hexdigest() +query = "INSERT INTO users (username, password, email) VALUES (?, ?, ?)" +cursor.execute(query, (username, hashed_password, email)) Suggestion importance[1-10]: 10 __ Why: 该建议同时解决了SQL注入和密码明文存储两个安全问题，对提高代码安全性至关重要。	High
General	动态配置审查要求 考虑到不同项目的审查需求可能不同，建议将这些审查要求设置为可配置项，而不是硬编码为 true。可以通过环境变量或配置文件来动态设置这些值，以适应不同项目的需求。 .github/workflows/pr-agent.yml [60-63] -pr_reviewer.require_score_review: "true" -pr_reviewer.require_tests_review: "true" -pr_reviewer.require_security_review: "true" +pr_reviewer.require_score_review: "${{ secrets.REQUIRE_SCORE_REVIEW || 'true' }}" +pr_reviewer.require_tests_review: "${{ secrets.REQUIRE_TESTS_REVIEW || 'true' }}" +pr_reviewer.require_security_review: "${{ secrets.REQUIRE_SECURITY_REVIEW || 'true' }}" Suggestion importance[1-10]: 8 __ Why: 动态配置审查要求增加了灵活性和适应性，允许不同项目根据需求调整，提升了代码审查的实用性。	Medium
	添加条件判断以提高自动化效率 在自动化配置中，建议添加对 github_action_config.auto_improve 的条件判断，以避免在不需要自动改进的情况下触发不必要的操作。这样可以提高工作流的灵活性和效率。 .github/workflows/pr-agent.yml [50-53] github_action_config.auto_review: "true" github_action_config.auto_describe: "true" -github_action_config.auto_improve: "true" +github_action_config.auto_improve: "${{ github.event_name == 'pull_request' && github.event.action != 'closed' }}" Suggestion importance[1-10]: 7 __ Why: 添加条件判断可以避免不必要的自动改进操作，提高工作流效率，但此改动对核心功能影响不大。	Medium
	动态调整代码建议数量 建议根据PR的复杂度和代码变更范围动态调整 pr_code_suggestions.num_code_suggestions 的值。可以通过计算代码行数或变更文件数量来决定建议的数量，以避免在简单PR中提供过多建议或在复杂PR中提供不足的建议。 .github/workflows/pr-agent.yml [87-89] -pr_code_suggestions.num_code_suggestions: "5" +pr_code_suggestions.num_code_suggestions: "${{ steps.calculate_changes.outputs.changed_files > 10 ? '8' : '5' }}" Suggestion importance[1-10]: 6 __ Why: 根据PR复杂度动态调整建议数量可以提供更合适的反馈，但实现细节需进一步考虑，如计算方法的有效性。	Low

Suggestions up to commit e386a98

Category	Suggestion	Impact
General	改进答案解析逻辑 答案解析逻辑可能过于简单，建议增加对模型输出的更深入分析，例如使用正则表达式来匹配更复杂的数字模式，或者考虑使用自然语言处理技术来理解模型的输出。 src/Qwen/Qwen_anomaly_detection.py [86-93] +import re predicted_answer = "" -if "none" in model_output.lower(): - predicted_answer = "None" -else: - for char in model_output: - if char.isdigit(): - predicted_answer = char - break +match = re.search(r'\b\d+\b', model_output) +if match: + predicted_answer = match.group() Suggestion importance[1-10]: 8 __ Why: 答案解析逻辑可能过于简单，建议增加对模型输出的更深入分析。使用正则表达式来匹配更复杂的数字模式是一个有效的改进方法。	Medium
	调整生成函数的 max_new_tokens 参数 生成函数的 max_new_tokens 参数可能不足以生成完整的答案。建议根据任务的具体需求调整该参数，以确保模型有足够的空间生成完整的预测。 src/Qwen/Qwen_anchored_scale_prediction.py [103] -generated_ids = model.generate(**inputs, max_new_tokens=10) +generated_ids = model.generate(**inputs, max_new_tokens=50) Suggestion importance[1-10]: 7 __ Why: 建议根据任务的具体需求调整 max_new_tokens 参数，以确保模型有足够的空间生成完整的预测。这是一个合理的建议，但需要根据实际任务需求来决定参数值。	Medium
	改进预测答案提取策略 预测答案的提取逻辑可能过于简单，建议根据任务的具体需求调整答案提取策略，例如考虑使用更复杂的文本处理技术来提取答案。 src/Qwen/Qwen_interval_extremum_identification.py [109] -predicted_answer = model_output[:1].upper() if model_output else "" +import re +predicted_answer = "" +match = re.search(r'\b[A-Z]\b', model_output) +if match: + predicted_answer = match.group() Suggestion importance[1-10]: 7 __ Why: 预测答案的提取逻辑可能过于简单，建议根据任务的具体需求调整答案提取策略。使用更复杂的文本处理技术来提取答案可能是一个有效的改进方法。	Medium

[github-actions]

Persistent review updated to latest commit 7097e3e

[github-advanced-security]

This pull request sets up GitHub code scanning for this repository. Once the scans have completed and the checks have passed, the analysis results for this pull request branch will appear on this overview. Once you merge this pull request, the 'Security' tab will show more code scanning analysis results (for example, for the default branch). Depending on your configuration and choice of analysis tool, future pull requests will be annotated with code scanning analysis results. For more information about GitHub code scanning, check out the documentation.

The general way to fix this problem is to remove the unused import statement. Specifically, you should locate and delete the line import hashlib from the file user_auth.py, which is line 6 in the code provided. No other changes are necessary, and no new code or imports need to be introduced elsewhere. This edit will remove an unnecessary dependency, making the code cleaner and easier to maintain.

To fix this issue, the except: block on line 41 should be replaced with a catch for Exception only: except Exception:. This ensures that only "normal" runtime errors are caught, while KeyboardInterrupt and SystemExit are allowed to propagate as intended by Python's design. The code in the except block currently consists only of a pass statement, which is still not good practice, but for this fix, we will preserve the functional logic (not altering existing behavior/purpose).
The change should be made only to line 41 within the register method of the UserAuth class in user_auth.py. No changes to imports or other code are required for this particular fix.

[github-actions]

Persistent review updated to latest commit d2bcc46

[github-actions]

Persistent review updated to latest commit 317b665

[github-actions]

Persistent review updated to latest commit e386a98

[github-actions]

Persistent review updated to latest commit d3218d6

[github-actions]

Persistent review updated to latest commit 28e6ee0

[github-actions]

Persistent review updated to latest commit b76fc1b

[github-actions]

Persistent review updated to latest commit e0c3237