sweeping-bugs

Bug Sweep

对整个仓库执行系统性 bug 巡查，通过并行代码审查发现已确认的缺陷和高置信度风险。

目标与非目标

查找：功能性 bug、行为回归、契约不匹配、缺失验证、错误处理、不安全假设、测试覆盖缺口。

不负责：运行测试并报告结果、同步文档、仅审查最近变更的文件。

核心规则

• 代码是唯一权威信息源——文档可能过时，测试可能不完整，均须对照代码验证。
• 全量审查——覆盖整个仓库，除非用户明确缩小范围。
• 委派：主智能体保留判断和综合，子智能体用于机械性代码扫描（需用户选择委派时）。
• 输出纪律：区分已确认问题和假设性风险，所有发现须有代码证据，按 Critical > High > Medium > Low 排序。

工作流

步骤 1：识别代码区域

读取仓库结构，将代码划分为可并行审查的独立区域。区域划分应根据实际仓库调整，典型维度包括：入口层、核心逻辑、安全策略、持久化、边界集成。

划分决策树：

1. 按目录结构首切——每个顶级目录（cmd/、internal/、pkg/）天然是一个候选区域
2. 若单个目录文件过多，按子目录或职责进一步拆分（如 internal/ → internal/handler + internal/service + internal/store）
3. 若整个仓库不足 20 个文件，不划分区域，主智能体直接全量审查
4. 区域数不超过 6 个（受子智能体并行上限约束）；区域间尽量保持文件数均衡
5. 跨区域的共享代码（如公共类型、常量）归入最相关的区域，不单独建区

大仓库策略（文件数 > 150 或单区 > 50 文件）：

• 不追求单次全量覆盖，改为按模块/服务分批巡查，每批覆盖一个独立子系统
• 每批仍遵循上述划分规则，在报告中注明本次巡查范围和未覆盖部分
• 优先巡查高风险区域：入口层、认证/授权、外部输入处理、数据持久化

步骤 2：并行扫描

每个区域启动一个子智能体（或主智能体顺序审查）：

• 扫描该区域所有相关代码
• 仅报告已确认 bug 和高置信度风险
• 每条发现附带：位置（文件:行号）、描述、严重程度、代码证据

步骤 3：汇总与分级

1. 去重和关联（同一根因合并）
2. 按严重程度分级
3. 区分已确认问题与假设性风险
4. 识别测试覆盖缺口

步骤 4：输出报告

• 已确认 Bug — 按严重程度排序，含位置、描述、证据
• 假设性风险 — 未完全确认的问题
• 测试覆盖缺口 — 缺少测试保护的关键路径
• 文档漂移 — 代码与文档不一致之处（如有）

完成条件

• 所有代码区域已扫描
• 发现有证据支撑并按严重程度排序
• 已确认问题与假设性风险明确区分

常见错误

• 仅扫描最近变更的文件
• 将推测当作确认发现报告
• 夹杂文档重写或测试执行
• 未识别跨区域的同一根因问题
• 跳过错误路径和边界条件