Skip to content

Test ai review bad code#10

Closed
CongkeChen wants to merge 3 commits into
mainfrom
test-ai-review-bad-code
Closed

Test ai review bad code#10
CongkeChen wants to merge 3 commits into
mainfrom
test-ai-review-bad-code

Conversation

@CongkeChen

Copy link
Copy Markdown
Owner

No description provided.

@github-actions

Copy link
Copy Markdown

AI Code Review

发现的问题

🚨 Critical

  • tests/test_ai_review_bad_code.py:10-14:命令注入 + 硬编码密钥样例
    • user_input = "../../etc/passwd"f"cat {user_input}" 拼接后用 shell=True 执行,构成路径穿越与命令注入;同时硬编码 secret_token。虽然注释标明为"故意写坏用于 AI review 测试",但该文件作为真实测试被运行时,subprocess.run(...) 会真正执行 cat ../../etc/passwd,存在实际执行风险。建议将此类样例隔离为不执行的静态 fixture(如纯文本字符串,或加 pytest.skip / 移到非 test 目录),避免被测试框架收集并执行。

⚠️ Warning

  • tests/test_ai_review_bad_code.py:15-18:空 except 吞异常样例
    • except Exception: pass 是反模式样例,但同样会被真实执行;该代码块只是抛出又被吞掉,本身无危害。作为"坏代码样例"应与上面的执行性代码一起转为静态 fixture,避免被当作正常测试运行(当前 assert True 使其看似通过,掩盖了样例性质)。

总结

新增的是一个"故意写坏"的 AI review 测试样本,但其内部包含会被真实执行的命令注入与路径穿越代码,存在执行风险;建议将其改为不执行的静态样本。Critical 问题需在合并前修复。

测试建议

暂无额外测试建议。若保留该样例用于验证 AI review 能力,建议新增一个测试:加载该静态样本文本并断言 review 流程能检出"命令注入""硬编码密钥""空 except"等项,而不是直接执行其中的坏代码。

@CongkeChen CongkeChen closed this Jul 14, 2026
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

None yet

Projects

None yet

Development

Successfully merging this pull request may close these issues.

1 participant