Net::load_param 中 `continue` 导致空指针崩溃与内存泄漏

[Cat-myq]

问题背景

在 ncnn 的 Net::load_param(const DataReader& dr) 函数中，当层参数解析（ParamDict::load_param）或层加载（Layer::load_param）失败时，代码通过 continue 跳过当前层继续执行。该逻辑存在两个关键问题，在实际场景中会引发崩溃和资源泄漏。

具体问题

1. 空指针崩溃风险

d->layers 经 resize(layer_count) 初始化后，每个元素默认是 nullptr。
当触发 continue 时，会跳过 d->layers[i] = layer 赋值步骤，导致 d->layers[i] 始终保持 nullptr。
后续流程访问到d->layers[i] 时会访问该空指针，直接触发崩溃。

2. 内存泄漏

layer 实例通过 create_overwrite_builtin_layer/create_layer_cpu 等函数动态分配。
continue 未释放该 layer 指针，且未将其存入 d->layers，导致这部分内存永远无法回收，长期运行会耗尽设备内存。

影响场景

• 必现场景：param 文件损坏（如刻意破坏某层 key-value 格式），触发 ParamDict load_param 或 layer load_param 失败时，后续访问空指针崩溃。
• 偶现场景：Android 设备 IO 波动（如内存不足、存储介质延迟）导致 param 文件读取后内容异常，解析失败触发相同问题，这也是部分机型偶发崩溃的潜在诱因。

补充说明

模型加载是依赖强关联的流程，任何一层加载失败都会导致后续推理逻辑断裂。相比 continue 掩盖错误，return -1 能让上层业务及时感知加载失败，感觉更符合实际使用场景的预期。

[dosubot]

Hi @Cat-myq! I'm Dosu and I’m helping the ncnn team.

你的分析完全正确，ncnn 当前 Net::load_param 的实现确实存在你描述的两个问题：
1）当 ParamDict::load_param 或 Layer::load_param 失败时，直接 continue，导致 d->layers[i] 仍为 nullptr，后续访问会空指针崩溃；
2）layer 指针是动态分配的，continue 时未 delete，造成内存泄漏。这些问题在代码中可以直接验证，且与社区用户反馈的崩溃、加载失败现象一致（如 issue #267、issue #1888）。

目前 ncnn 主线代码确实采用了 continue 跳过出错层的做法，未做及时释放和 fail-fast 处理，导致上述风险代码实现参考。相关 PR 和 issue 主要集中在示例层面补充了 load_param/load_model 的错误返回检查，但核心 Net::load_param 的 continue 逻辑并未被修正或专门追踪（见 PR #2874）。

你的建议（遇到任何一层加载失败应 return -1 并清理资源）更符合健壮性和实际业务预期。当前实现确实存在隐患，建议在业务侧务必检查 load_param/load_model 返回值，并考虑在本地修正 Net::load_param 的异常处理逻辑，避免 continue 掩盖错误。

To reply, just mention @dosu.

---

^{How did I do? Good | Irrelevant | Incorrect | Verbose | Hallucination | Report 🐛 | Other}