fix: auto-fix code issues (cron)

- 修复重复导入/字段
- 修复异常处理
- 修复PEP8格式问题
- 添加类型注解

CODE_REVIEW_REPORT_2026-02-27.md

@@ -0,0 +1,92 @@
+# InsightFlow 代码审查报告
+
+**审查时间**: 2026-02-27  
+**审查范围**: /root/.openclaw/workspace/projects/insightflow/backend/  
+**提交ID**: d767f0d
+
+---
+
+## 已自动修复的问题
+
+### 1. 重复导入清理
+- **tingwu_client.py**: 移除重复的 alibabacloud 导入
+- **llm_client.py**: 移除重复的 re 导入
+- **workflow_manager.py**: 将 base64/hashlib/hmac/urllib.parse 移至文件顶部
+- **plugin_manager.py**: 移除重复的 base64/hashlib 导入
+- **knowledge_reasoner.py**: 移除重复的 re 导入
+- **export_manager.py**: 移除重复的 csv 导入
+
+### 2. 裸异常捕获修复
+- **llm_client.py**: `except BaseException:` → `except (json.JSONDecodeError, KeyError, TypeError):`
+- 其他文件中的裸异常已修复为具体异常类型
+
+### 3. PEP8 格式问题
+- 使用 black 格式化所有代码（行长度120）
+- 使用 isort 排序导入
+- 修复空行、空格等问题
+
+### 4. 类型注解添加
+- 为多个函数添加返回类型注解 `-> None`
+- 添加参数类型提示
+
+### 5. 字符串格式化统一
+- 统一使用 f-string 格式
+- 移除了不必要的 .format() 调用
+
+---
+
+## 需要人工确认的问题
+
+### 🔴 SQL 注入风险
+以下文件使用动态 SQL 构建，需要人工审查：
+
+| 文件 | 行号 | 说明 |
+|------|------|------|
+| backend/ops_manager.py | 607-608 | UPDATE 语句动态构建 |
+| backend/db_manager.py | 204, 281, 296, 433, 437 | 多处动态 SQL |
+| backend/workflow_manager.py | 538, 557, 570 | WHERE 子句动态构建 |
+| backend/plugin_manager.py | 238, 253, 267, 522, 666 | 动态查询构建 |
+| backend/search_manager.py | 419, 916, 2083, 2089 | 复杂查询动态构建 |
+
+**建议**: 使用参数化查询替代字符串拼接
+
+### 🔴 CORS 配置
+- **backend/main.py**: 第340行 `allow_origins=["*"]` 允许所有来源
+
+**建议**: 生产环境应限制为特定域名
+
+### 🔴 敏感信息
+- **backend/security_manager.py**: 第55行存在硬编码测试密钥 `SECRET = "secret"`
+
+**建议**: 移除硬编码密钥，使用环境变量
+
+### 🔴 架构级问题
+1. **魔法数字**: 多个文件中存在未命名的常量（如 3600, 300, 100等）
+   - 建议提取为命名常量
+   
+2. **异常处理**: 部分文件仍使用过于宽泛的异常捕获
+   - 建议细化异常类型
+
+---
+
+## 文件变更统计
+
+| 类型 | 数量 |
+|------|------|
+| 修改的文件 | 27 |
+| 删除的行数 | 4,163 |
+| 新增的行数 | 3,641 |
+| 净减少 | 522 |
+
+---
+
+## 后续建议
+
+1. **立即处理**: 审查并修复 SQL 注入风险点
+2. **短期**: 配置正确的 CORS 策略
+3. **中期**: 移除所有硬编码敏感信息
+4. **长期**: 建立代码审查自动化流程
+
+---
+
+*报告由自动化代码审查工具生成*