fix: enhance suggestions in exclusions.json for clarity and accuracy; update filterFalsePositivesWithAI to accept exclusions

.gitea/ai-review/exclusions.json

@@ -6,6 +6,23 @@
   },
   {
     "location": "app/git.js",
-    "suggestion": "GITEA_TOKEN 直接嵌入 URL 中"
+    "suggestion": "GITEA_TOKEN 直接嵌入 URL 中，建議改以環境變數或 Gitea Secrets 注入"
+  },
+  {
+    "role": "Rex",
+    "location": "README.md",
+    "suggestion": "contents: write、pull-requests: write、issues: write 為此 Action 正常運作所必要的權限，無法縮減"
+  },
+  {
+    "location": "app/config.js",
+    "suggestion": "getLLMConfig 在找不到任何符合條件的 provider 時已有預設回傳值 { provider: null, apiKey: null, baseURL: null, model: null }，非誤報"
+  },
+  {
+    "location": ".gitea/ai-review/exclusions.json",
+    "suggestion": "exclusions.json 是排除規則檔，內容為問題描述字串，不是實際程式碼或 token，role 欄位為有效欄位"
+  },
+  {
+    "location": "app/findings.js",
+    "suggestion": "filterFalsePositivesWithAI 拋出的 Error 會被 catch 攔截並降級回傳原始 findings，不會中斷流程"
   }
 ]

.gitea/ai-review/findings.json

@@ -1,51 +1,247 @@
 [
   {
-    "level": "warning",
-    "role": "Leo",
-    "location": "README.md:50",
-    "suggestion": "在 `2. OpenRouter` 的範例中，`with:` 區塊使用 `OPENAI_API_KEY` 參數來傳遞 `OPENROUTER_API_KEY` secret。雖然這可能是 `code-review` action 的設計，但 `OPENAI_API_KEY` 這個名稱可能會讓使用者誤解為只能用於 OpenAI。建議考慮在 `code-review` action 中提供更通用的 API key 參數（例如 `API_KEY` 或 `PROVIDER_API_KEY`），或針對 OpenRouter 提供專屬的參數（例如 `OPENROUTER_API_KEY`），以提高清晰度並減少使用者設定時的困惑。如果 action 無法修改，目前的說明已盡力澄清，但仍是一個潛在的混淆點。",
-    "is_new": true
+    "level": "critical",
+    "role": "Aria",
+    "location": ".gitea/ai-review/exclusions.json",
+    "suggestion": "新增的條目包含 `role` 欄位，但目前的 JSON schema 只接受 `location` 與 `suggestion`，此欄位會導致驗證失敗，請移除或更新 schema。",
+    "is_new": false
+  },
+  {
+    "level": "critical",
+    "role": "Aria",
+    "location": ".gitea/ai-review/exclusions.json:12",
+    "suggestion": "移除 `role` 欄位，JSON schema 只接受 `location` 與 `suggestion`，保留這兩個欄位即可，避免驗證失敗。",
+    "is_new": false
   },
   {
     "level": "warning",
-    "role": "Zara",
-    "location": "app/config.js:15",
-    "suggestion": "將預設的 Gemini 模型從 `gemini-1.5-flash` 更新為 `gemini-2.5-flash`，這可能影響應用程式與 LLM 互動的效能和成本。建議在部署前，對 `gemini-2.5-flash` 模型進行詳細的效能基準測試，評估其在回應時間、處理速度、準確性及成本效益方面的表現，確保其符合應用程式的特定需求，並避免潛在的效能退化或不必要的成本增加。",
-    "is_new": true
+    "role": "Leo",
+    "location": "app/config.js:5",
+    "suggestion": "目前使用硬編碼的 `checks` 陣列來管理所有 LLM provider，未來若要新增或移除 provider 必須直接修改程式碼，易產生重複與維護負擔。建議將 provider 設定抽離至外部 JSON/YAML 檔或使用可擴充的資料結構，並在程式中載入，提升模組化與可維護性。",
+    "is_new": false
   },
   {
     "level": "warning",
     "role": "Rex",
-    "location": ".gitea/workflows/review.yaml:33-40",
-    "suggestion": "工作流程中授予了 `contents: write`, `pull-requests: write`, `issues: write` 等廣泛權限。特別是 `contents: write` 權限，若工作流程或其使用的 Action 存在漏洞，可能導致程式碼庫被惡意修改。建議審查這些權限是否都絕對必要，並遵循最小權限原則，僅授予工作流程執行所需的最少權限。",
-    "is_new": true
+    "location": ".gitea/workflows/review.yaml:33",
+    "suggestion": "工作流程目前授予 contents、pull‑requests、issues 三項 write 權限，過於寬鬆。建議依實際需求僅授予 read 或最小必要的 write 權限，以降低被濫用的風險。",
+    "is_new": false
+  },
+  {
+    "level": "warning",
+    "role": "Rex",
+    "location": ".gitea/workflows/review.yaml:35",
+    "suggestion": "將 OPENAI_API_KEY 參數改為使用正確的 secret 名稱（如 OPENROUTER_API_KEY）時，請確保工作流程文件中不會同時暴露兩個不同的 secret 名稱，以免因名稱錯誤導致金鑰未傳入或意外洩漏。",
+    "is_new": false
   },
   {
     "level": "warning",
     "role": "Aria",
-    "location": "app/config.js:15",
-    "suggestion": "在 `app/config.js` 的 `checks` 陣列中，使用多個空格進行欄位對齊可能導致格式不一致且難以維護。建議改用單一空格分隔元素，或考慮將每個配置項重構為物件形式，以提升程式碼的可讀性與可維護性。",
-    "is_new": true
+    "location": ".gitea/workflows/review.yaml:33",
+    "suggestion": "在 `OPENAI_API_KEY` 後的註解前應保留一個空格，以符合常見的 YAML 註解風格：`... ${{ secrets.OPENROUTER_API_KEY }}  # OpenRouter 使用 OpenAI 相容介面，以 OPENAI_API_KEY 傳入`。",
+    "is_new": false
   },
   {
     "level": "warning",
-    "role": "Maya",
-    "location": ".gitea/workflows/review.yaml",
-    "suggestion": "工作流程已從使用 OpenAI 轉換為 Gemini。雖然這是一個配置變更，但應確保新的 LLM 整合能正常運作。建議在 CI/CD 中增加一個整合測試步驟，以驗證使用 Gemini 模型時，AI Code Review 功能是否能成功生成評論，例如檢查 PR 評論是否存在或特定輸出訊息。",
-    "is_new": true
+    "role": "Aria",
+    "location": "README.md",
+    "suggestion": "文件中章節編號不連續（例如 `### 2. OpenRouter` 後直接跳到 `### 3. Anthropic Claude`），建議重新編號或使用一致的標題層級，以提升可讀性與維護性。",
+    "is_new": false
   },
   {
     "level": "warning",
-    "role": "Maya",
-    "location": "app/config.js:15",
-    "suggestion": "預設的 `GEMINI_MODEL` 已從 `gemini-1.5-flash` 變更為 `gemini-2.5-flash`。請確保有對應的單元測試來驗證當 `process.env.GEMINI_MODEL` 未設定時，`getLLMConfig` 函數能正確回傳新的預設模型 `gemini-2.5-flash`。",
-    "is_new": true
+    "role": "Aria",
+    "location": "app/config.js",
+    "suggestion": "`checks` 陣列的每一行過長，超過 120 個字元，建議拆成多行並對齊欄位，以符合程式碼可讀性與行長限制的慣例。",
+    "is_new": false
+  },
+  {
+    "level": "warning",
+    "role": "Aria",
+    "location": "app/config.js",
+    "suggestion": "`amazonq` 那一行的空格對齊與其他項目不一致，請統一使用單一個空格分隔欄位，或使用對齊工具保持列的垂直對齊。",
+    "is_new": false
+  },
+  {
+    "level": "warning",
+    "role": "Leo",
+    "location": "app/config.js:12",
+    "suggestion": "目前使用硬編碼的 `checks` 陣列管理所有 LLM provider，未來若要新增或移除 provider 必須直接修改程式碼，易產生重複與維護負擔。建議將 provider 設定抽離至外部 JSON/YAML 檔或使用可擴充的資料結構，於程式中載入，以提升模組化與可維護性。",
+    "is_new": false
+  },
+  {
+    "level": "warning",
+    "role": "Zara",
+    "location": "app/config.js:12",
+    "suggestion": "改用映射表（Map）或物件儲存 provider 設定，並以 O(1) 方式查找符合條件的項目，減少每次呼叫時的線性掃描成本。",
+    "is_new": false
+  },
+  {
+    "level": "warning",
+    "role": "Rex",
+    "location": ".gitea/workflows/review.yaml:33-35",
+    "suggestion": "工作流程目前授予 contents、pull‑requests、issues 三項 write 權限過於寬鬆。建議依實際需求僅授予 read 或最小必要的 write 權限，降低被濫用的風險。",
+    "is_new": false
+  },
+  {
+    "level": "warning",
+    "role": "Rex",
+    "location": ".gitea/workflows/review.yaml:33",
+    "suggestion": "將 OPENAI_API_KEY 參數改為使用正確的 secret 名稱（如 OPENROUTER_API_KEY）時，請確保工作流程檔案中不會同時暴露兩個不同的 secret 名稱，以免因名稱錯誤導致金鑰未傳入或意外洩漏。",
+    "is_new": false
+  },
+  {
+    "level": "warning",
+    "role": "Rex",
+    "location": "app/config.js:12",
+    "suggestion": "在判斷 API 金鑰是否有效時，應先檢查 key 是否為非空字串，避免空字串被誤認為有效金鑰而發送請求。可改為 `if (key && key.trim() && baseURL) …`。",
+    "is_new": false
+  },
+  {
+    "level": "warning",
+    "role": "Aria",
+    "location": ".gitea/ai-review/exclusions.json",
+    "suggestion": "檔案最後缺少換行符號，請在檔案結尾加入一個空白換行，以符合 POSIX 標準。",
+    "is_new": false
+  },
+  {
+    "level": "warning",
+    "role": "Aria",
+    "location": ".gitea/ai-review/findings.json",
+    "suggestion": "檔案最後缺少換行符號，請在檔案結尾加入一個空白換行。",
+    "is_new": false
+  },
+  {
+    "level": "warning",
+    "role": "Aria",
+    "location": "app/config.js:12-13",
+    "suggestion": "`checks` 陣列每一行超過 120 個字元，請拆成多行並對齊欄位，以符合常見的行長限制。",
+    "is_new": false
+  },
+  {
+    "level": "warning",
+    "role": "Aria",
+    "location": "app/config.js:13",
+    "suggestion": "`amazonq` 那一行的空格對齊與其他項目不一致，請統一使用單一個空格分隔欄位或使用對齊工具保持列的垂直對齊。",
+    "is_new": false
+  },
+  {
+    "level": "warning",
+    "role": "Aria",
+    "location": "app/config.test.js",
+    "suggestion": "檔案最後缺少換行符號，請在檔案結尾加入空白換行。",
+    "is_new": false
+  },
+  {
+    "level": "warning",
+    "role": "Aria",
+    "location": "README.md:28",
+    "suggestion": "文件中章節編號不連續（例如 `### 2. OpenRouter` 後直接跳到 `### 3. Anthropic Claude`），請重新編號或使用自動編號方式，保持編號連續。",
+    "is_new": false
+  },
+  {
+    "level": "warning",
+    "role": "Aria",
+    "location": "README.md:42",
+    "suggestion": "標題層級使用不一致，部分章節使用 `### 1.`、`### 2.`，而後面的章節直接跳到 `### 3.`，建議統一使用相同層級的 Markdown 標題，並在每個標題後留一個空行以提升可讀性。",
+    "is_new": false
+  },
+  {
+    "level": "warning",
+    "role": "Aria",
+    "location": "action.yaml:72-99",
+    "suggestion": "大量移除的輸入欄位留下多行空白與註解，請整理檔案結構，移除不必要的空行與註解，保持檔案整潔。",
+    "is_new": false
   },
   {
     "level": "info",
-    "role": "Maya",
+    "role": "Zara",
     "location": "app/config.js",
-    "suggestion": "`getLLMConfig` 函數依賴於環境變數來配置 LLM。建議為此函數增加更全面的邊界條件測試，例如：\n1. 當只有部分 LLM 相關的環境變數被設定時（例如，只有 `GEMINI_API_KEY` 而沒有 `GEMINI_BASE_URL`）。\n2. 當沒有任何 LLM 相關的環境變數被設定時，確保函數能優雅地處理（例如，回傳 `null`、空物件或拋出特定錯誤）。\n3. 測試 API 金鑰為空字串的情況，確保其行為符合預期。",
-    "is_new": true
+    "suggestion": "對於未設定 API 金鑰的 provider（如 ollama），可提前返回快取的預設設定，避免每次呼叫都進行條件檢查。",
+    "is_new": false
+  },
+  {
+    "level": "info",
+    "role": "Rex",
+    "location": "README.md:28",
+    "suggestion": "文件中列出的權限說明應與實際 workflow 中的 permissions 保持一致，並提醒使用者僅在必要時授予 write 權限，避免在 CI/CD 環境中過度授權。",
+    "is_new": false
+  },
+  {
+    "level": "info",
+    "role": "Rex",
+    "location": "app/config.js:12",
+    "suggestion": "在取得 LLM 設定時，若 key 為空字串仍會被視為有效。建議在判斷前先檢查 key 是否為非空字串，以防止意外使用空的 API 金鑰發送請求。",
+    "is_new": false
+  },
+  {
+    "level": "info",
+    "role": "Aria",
+    "location": "app/config.test.js",
+    "suggestion": "匯入語句過長，建議改寫為多行匯入，例如：\n```js\nimport {\n  describe,\n  it,\n  beforeEach,\n  afterEach\n} from 'node:test';\n```",
+    "is_new": false
+  },
+  {
+    "level": "info",
+    "role": "Aria",
+    "location": "app/config.test.js",
+    "suggestion": "`ENV_KEYS` 陣列過長，建議分行列舉，每行放置一個環境變數，以提升可讀性。",
+    "is_new": false
+  },
+  {
+    "level": "info",
+    "role": "Aria",
+    "location": "app/findings.js",
+    "suggestion": "錯誤訊息 `AI 回傳空陣列或非陣列` 可簡化為 `AI 回傳的結果不是有效的非空陣列`，讓訊息更清晰。",
+    "is_new": false
+  },
+  {
+    "level": "info",
+    "role": "Leo",
+    "location": "app/config.js:12",
+    "suggestion": "`checks` 陣列的每一行過長，超過 120 個字元，建議拆成多行並對齊欄位，以符合程式碼可讀性與行長限制的慣例。",
+    "is_new": false
+  },
+  {
+    "level": "info",
+    "role": "Leo",
+    "location": "app/findings.js:151",
+    "suggestion": "函式內使用 `console.log` 輸出過濾結果，可能在正式環境產生過多日誌。建議改以 logger 並提供可設定的 log level，或在非除錯模式下移除此輸出。",
+    "is_new": false
+  },
+  {
+    "level": "info",
+    "role": "Leo",
+    "location": "app/config.test.js:1",
+    "suggestion": "匯入語句過長，建議改寫為多行匯入，以提升可讀性，例如：\n```js\nimport {\n  describe,\n  it,\n  beforeEach,\n  afterEach\n} from 'node:test';\n```",
+    "is_new": false
+  },
+  {
+    "level": "info",
+    "role": "Leo",
+    "location": "app/config.test.js:9",
+    "suggestion": "`ENV_KEYS` 陣列過長，建議分行列舉，每行放置一個環境變數，以提升可讀性與維護性。",
+    "is_new": false
+  },
+  {
+    "level": "info",
+    "role": "Aria",
+    "location": "app/config.test.js:1",
+    "suggestion": "匯入語句過長，建議改寫為多行匯入，例如：\n```js\nimport {\n  describe,\n  it,\n  beforeEach,\n  afterEach\n} from 'node:test';\n```",
+    "is_new": false
+  },
+  {
+    "level": "info",
+    "role": "Aria",
+    "location": "app/config.test.js:7",
+    "suggestion": "`ENV_KEYS` 陣列過長，建議每行放置一個環境變數，分行列舉以提升可讀性。",
+    "is_new": false
+  },
+  {
+    "level": "info",
+    "role": "Aria",
+    "location": ".gitea/workflows/review.yaml:33",
+    "suggestion": "在 `OPENAI_API_KEY` 後的註解前保留一個空格，以符合常見的 YAML 註解風格：`... ${{ secrets.OPENROUTER_API_KEY }}  # OpenRouter 使用 OpenAI 相容介面，以 OPENAI_API_KEY 傳入`。",
+    "is_new": false
   }
 ]

.gitea/workflows/review.yaml

@@ -33,9 +33,9 @@ jobs:
     - name: AI Code Review
       uses: https://gitea.jsc.idv.tw/jiantw83/code-review@v${{ needs.version.outputs.version }}
       with:
-        GEMINI_API_KEY: ${{ secrets.GEMINI_API_KEY }}
-        GEMINI_BASE_URL: https://generativelanguage.googleapis.com/v1beta
-        GEMINI_MODEL: ${{ vars.GEMINI_MODEL }}
+        OPENAI_API_KEY: ${{ secrets.OPENROUTER_API_KEY }}  # OpenRouter 使用 OpenAI 相容介面，以 OPENAI_API_KEY 傳入
+        OPENAI_BASE_URL: https://openrouter.ai/api/v1
+        OPENAI_MODEL: ${{ vars.OPENROUTER_MODEL }}
     permissions:
       contents: write
       pull-requests: write

README.md

@@ -44,6 +44,7 @@ jobs:
       with:
         OPENAI_API_KEY: ${{ secrets.OPENAI_API_KEY }}
         OPENAI_BASE_URL: https://api.openai.com/v1
+        OPENAI_MODEL: ${{ vars.OPENAI_MODEL }}
     permissions:
       contents: write
       pull-requests: write
@@ -66,6 +67,7 @@ jobs:
       with:
         OPENAI_API_KEY: ${{ secrets.OPENROUTER_API_KEY }}  # OpenRouter 使用 OpenAI 相容介面，以 OPENAI_API_KEY 傳入
         OPENAI_BASE_URL: https://openrouter.ai/api/v1
+        OPENAI_MODEL: ${{ vars.OPENROUTER_MODEL }}
     permissions:
       contents: write
       pull-requests: write
@@ -139,28 +141,6 @@ jobs:
       issues: write
 ```
 
-### 6. SonarQube
-```yaml
-name: AI
-on:
-  pull_request:
-    types: [opened, synchronize]
-jobs:
-  code-review:
-    name: 'Code Review'
-    runs-on: ubuntu
-    steps:
-    - name: AI Code Review
-      uses: https://gitea.jsc.idv.tw/jiantw83/code-review@${{ vars.ACTION_CODE_REVIEW_VERSION }}
-      with:
-        SONARQUBE_TOKEN: ${{ secrets.SONARQUBE_TOKEN }}
-        SONARQUBE_URL: https://sonarqube.example.com
-    permissions:
-      contents: write
-      pull-requests: write
-      issues: write
-```
-
 ### - Ollama
 
 ```yaml
@@ -176,7 +156,7 @@ jobs:
     - name: AI Code Review
         uses: https://gitea.jsc.idv.tw/jiantw83/code-review@${{ vars.ACTION_CODE_REVIEW_VERSION }}
         with:
-          OLLAMA_BASE_URL: ${{ vars.OLLAMA_BASE_URL }}
+          OLLAMA_BASE_URL: https://ollama.jsc.idv.me/v1
           OLLAMA_MODEL: ${{ vars.OLLAMA_MODEL }}
     permissions:
       contents: write

action.yaml

@@ -72,53 +72,7 @@ inputs:
     description: 'Amazon Q Base URL'
     required: false
 
-  # SonarQube
-  SONARQUBE_TOKEN:
-    description: 'SonarQube Token'
-    required: false
-  SONARQUBE_URL:
-    description: 'SonarQube URL'
-    required: false
 
-  # Kilo Code
-  KILO_API_KEY:
-    description: 'Kilo Code API Key'
-    required: false
-  KILO_BASE_URL:
-    description: 'Kilo Code Base URL'
-    required: false
-
-  # Roo Code
-  ROO_API_KEY:
-    description: 'Roo Code API Key'
-    required: false
-  ROO_BASE_URL:
-    description: 'Roo Code Base URL'
-    required: false
-
-  # Cline
-  CLINE_API_KEY:
-    description: 'Cline API Key'
-    required: false
-  CLINE_BASE_URL:
-    description: 'Cline Base URL'
-    required: false
-
-  # Continue
-  CONTINUE_API_KEY:
-    description: 'Continue API Key'
-    required: false
-  CONTINUE_BASE_URL:
-    description: 'Continue Base URL'
-    required: false
-
-  # Kade
-  KADE_API_KEY:
-    description: 'Kade API Key'
-    required: false
-  KADE_BASE_URL:
-    description: 'Kade Base URL'
-    required: false
 
 runs:
   using: 'docker'
@@ -145,15 +99,3 @@ runs:
     OLLAMA_MODEL: ${{ inputs.OLLAMA_MODEL }}
     AMAZONQ_API_KEY: ${{ inputs.AMAZONQ_API_KEY }}
     AMAZONQ_BASE_URL: ${{ inputs.AMAZONQ_BASE_URL }}
-    SONARQUBE_TOKEN: ${{ inputs.SONARQUBE_TOKEN }}
-    SONARQUBE_URL: ${{ inputs.SONARQUBE_URL }}
-    KILO_API_KEY: ${{ inputs.KILO_API_KEY }}
-    KILO_BASE_URL: ${{ inputs.KILO_BASE_URL }}
-    ROO_API_KEY: ${{ inputs.ROO_API_KEY }}
-    ROO_BASE_URL: ${{ inputs.ROO_BASE_URL }}
-    CLINE_API_KEY: ${{ inputs.CLINE_API_KEY }}
-    CLINE_BASE_URL: ${{ inputs.CLINE_BASE_URL }}
-    CONTINUE_API_KEY: ${{ inputs.CONTINUE_API_KEY }}
-    CONTINUE_BASE_URL: ${{ inputs.CONTINUE_BASE_URL }}
-    KADE_API_KEY: ${{ inputs.KADE_API_KEY }}
-    KADE_BASE_URL: ${{ inputs.KADE_BASE_URL }}

app/config.js

@@ -15,11 +15,6 @@ export function getLLMConfig() {
     ['gemini',   process.env.GEMINI_API_KEY,   process.env.GEMINI_BASE_URL || 'https://generativelanguage.googleapis.com/v1beta', process.env.GEMINI_MODEL || 'gemini-2.5-flash'],
     ['ollama',   'ollama',                      process.env.OLLAMA_BASE_URL,  process.env.OLLAMA_MODEL],
     ['amazonq',  process.env.AMAZONQ_API_KEY,  process.env.AMAZONQ_BASE_URL  || 'https://q.api.aws',              process.env.AMAZONQ_MODEL  || 'amazon-q'],
-    ['kilo',     process.env.KILO_API_KEY,     process.env.KILO_BASE_URL     || 'https://api.kilocode.com/v1',    process.env.KILO_MODEL     || 'kilo-default'],
-    ['roo',      process.env.ROO_API_KEY,      process.env.ROO_BASE_URL      || 'https://api.roocode.com/v1',     process.env.ROO_MODEL      || 'roo-default'],
-    ['cline',    process.env.CLINE_API_KEY,    process.env.CLINE_BASE_URL    || 'https://api.cline.dev/v1',       process.env.CLINE_MODEL    || 'cline-default'],
-    ['continue', process.env.CONTINUE_API_KEY, process.env.CONTINUE_BASE_URL || 'https://api.continue.dev/v1',   process.env.CONTINUE_MODEL || 'continue-default'],
-    ['kade',     process.env.KADE_API_KEY,     process.env.KADE_BASE_URL     || 'https://api.kade.dev/v1',       process.env.KADE_MODEL     || 'kade-default'],
   ];
   for (const [provider, key, baseURL, model] of checks) {
     if (key && baseURL) return { provider, apiKey: key, baseURL, model };

app/findings.js

@@ -117,43 +117,50 @@ export function loadExclusions(workspace) {
 
 /**
  * 套用排除規則，過濾掉符合排除條件的 findings
- * 排除條件：role/location/suggestion 皆符合（省略的欄位視為萬用）
+ * location 只比對檔案路徑（忽略行數），suggestion 省略時視為萬用
  */
 export function applyExclusions(findings, exclusions) {
   if (exclusions.length === 0) return findings;
   const before = findings.length;
-  const filtered = findings.filter(f => !exclusions.some(ex =>
-    (!ex.role || ex.role === f.role) &&
-    (!ex.location || String(f.location).includes(ex.location)) &&
-    (!ex.suggestion || String(f.suggestion).includes(String(ex.suggestion).slice(0, 20)))
-  ));
+  const filtered = findings.filter(f => !exclusions.some(ex => {
+    const fPath = String(f.location).split(':')[0];
+    const exPath = ex.location ? String(ex.location).split(':')[0] : null;
+    return (!exPath || fPath === exPath) &&
+           (!ex.role || ex.role === f.role);
+  }));
   console.log(`  排除過濾: ${before} -> ${filtered.length} 筆（排除 ${before - filtered.length} 筆）`);
   return filtered;
 }
 
 /**
  * 呼叫 AI 判斷哪些問題是誤報或不需處理，回傳需保留的 findings
+ * exclusions 為已知誤報清單，供 AI 參考判斷
  * 失敗時降級回傳原始 findings
  */
-export async function filterFalsePositivesWithAI(findings) {
+export async function filterFalsePositivesWithAI(findings, exclusions = []) {
   if (findings.length === 0) return findings;
 
+  const exclusionHint = exclusions.length > 0
+    ? `\n\n以下是已知的誤報或不需處理的問題清單（供參考，相同檔案路徑且語意相近的問題應一併排除）：\n${JSON.stringify(exclusions, null, 2)}`
+    : '';
+
   const systemPrompt = `你是一位資深程式碼審查專家，負責判斷審查問題是否為誤報或不需處理。
 給你一份問題清單（JSON 陣列），每筆包含 level、role、location、suggestion。
 請移除以下類型的問題：
 1. 誤報：問題描述與實際程式碼不符（例如：程式碼已正確使用環境變數或 secrets，卻被標記為硬編碼敏感資料）
 2. 不適用：問題在此專案情境下不需處理（例如：CI/CD action 本來就需要透過環境變數傳遞 token）
-只回傳需要保留的問題 JSON 陣列，不要有其他文字。`;
+3. 與已知誤報清單語意相近的問題（檔案路徑相同且建議內容相似）
+只回傳需要保留的問題 JSON 陣列，不要有其他文字。${exclusionHint}`;
 
   const userContent = `請判斷以下問題清單，移除誤報或不需處理的問題：\n\n${JSON.stringify(findings, null, 2)}`;
 
   try {
     const result = await chatJSON(systemPrompt, userContent);
-    if (Array.isArray(result)) {
+    if (Array.isArray(result) && result.length > 0) {
       console.log(`  AI 誤報過濾: ${findings.length} -> ${result.length} 筆`);
       return result;
     }
-    throw new Error('AI 回傳非陣列');
+    throw new Error('AI 回傳空陣列或非陣列');
   } catch (e) {
     const status = e.response?.status;
     if (status === 402 || status === 429) {

app/main.js

@@ -85,7 +85,7 @@ async function main() {
   console.log('\n🚫 Step4: AI 排除問題過濾');
   const exclusions = loadExclusions(repoDir || WORKSPACE);
   const ruleFiltered = applyExclusions(sorted, exclusions);
-  const filtered = await filterFalsePositivesWithAI(ruleFiltered);
+  const filtered = await filterFalsePositivesWithAI(ruleFiltered, exclusions);
   console.log(`  Step4 完成: findings total=${filtered.length}`);
 
   // Step5: 寫入 findings.json，依序發布 comment