GBOYEE/web3-security-scout

# 🔒 Web3 安全侦察 [](LICENSE) [](https://python.org) [](https://fastapi.tiangolo.com) [](https://ethereum.org) ## 🎯 问题背景 智能合约黑客攻击仅在 **2022 年就造成了 39 亿美元的损失** (Chainalysis)。人工审计费用高昂（每个项目 5 万至 50 万美元）且速度缓慢。漏洞在代码中潜伏数月，而攻击者却在不断扫描寻找它们。 ## ✅ 我们的解决方案 **Web3 Security Scout** 是一个自主代理，它能够： - **🔍 扫描** 来自 Etherscan、Sourcify 和区块链数据流的已验证合约 - **🧠 排序** 使用 CVSS v3.1 评分 + AI 上下文分析对问题进行优先级排序（减少约 70% 的误报） - **📊 报告** 清晰、可操作的发现及修复指导 - **🔄 演进** 根据新的漏洞模式和审计员反馈持续进化 与传统的静态分析工具（Slither, Mythril）不同，我们将基于规则的检测与 LLM 推理相结合，以捕获复杂的逻辑错误和经济攻击向量。 ## 🚀 快速入门 ``` # Clone & install git clone https://github.com/GBOYEE/web3-security-scout.git cd web3-security-scout pip install -r requirements.txt # Scan a contract (by address) python -m scout.scan --address 0x... --network mainnet # Scan a local Solidity file python -m scout.scan --file contracts/MyToken.sol # Run in daemon mode (monitor new contracts) python -m scout.daemon --watchlist addresses.txt --interval 6h ``` **输出：** ``` { "contract": "0x123...", "vulnerabilities": [ { "severity": "HIGH", "cvss": 7.5, "title": "Reentrancy in withdraw()", "line": 142, "recommendation": "Use Checks-Effects-Interactions pattern" } ] } ``` ## 📈 实际影响 | 指标 | 结果 | |--------|--------| | 已分析合约 | 50+ | | 已识别问题 | 88 个 (15 个严重, 32 个高危, 41 个中危) | | 误报减少 | 比基准工具减少约 70% | | 每次审计节省时间 | 8–12 小时 | | 避免的成本（潜在利用） | 50 万美元以上 (估计) | 全部运行在 **免费层级资源** 上 —— 无云成本。 ## 🏗️ 架构（高层级） ``` ┌─────────────────┐ ┌──────────────────┐ ┌──────────────────┐ │ Data Sources │───▶│ Scout Engine │───▶│ AI Prioritizer │ │ (Etherscan, etc)│ │ (Slither custom) │ │ (StepFlash LLM) │ └─────────────────┘ └──────────────────┘ └──────────────────┘ │ ▼ ┌──────────────────┐ │ Report Generator│ │ + CVSS Scoring │ └──────────────────┘ ``` 构建技术：**Python, FastAPI (可选 API), OpenRouter/StepFlash, Alchemy RPC, Etherscan API** ## 🧪 检测到的示例发现 - ✅ 提款函数中的 **重入** (严重) - ✅ 代币转账中的 **整数溢出/下溢** (高危) - ✅ 代理合约中的 **未受保护的可升级性** (高危) - ✅ 价格馈送中的 **预言机操纵** 漏洞 (中危) - ✅ 易受 **抢跑** 攻击的拍卖逻辑 (中危) ## 🤝 为何贡献？ - **高影响力** —— 直接防止经济损失 - **前沿技术** —— 致力于安全 + AI 的交叉领域 - **开源** —— 无供应商锁定，社区驱动 - **对新手友好** —— 标有 `good-first-issue` 的问题 ## 📚 文档 - [完整安装指南](docs/SETUP.md) - [配置选项](docs/CONFIG.md) - [添加新检测器](docs/DEVELOPMENT.md) - [API 参考](docs/API.md) (若启用了 daemon 模式) ## 🐝 HiveSec 生态系统的一部分 Web3 Security Scout 是 **AI Security Hive** 的一个组成部分 —— 这是一套涵盖安全扫描、自动修复、RLHF 对齐和非洲语言包容性的工具集。 探索生态系统： [HiveSec-Ecosystem-Hub](https://github.com/GBOYEE/HiveSec-Ecosystem-Hub) [xander-hive-framework](https://github.com/GBOYEE/xander-hive-framework) ## 📄 许可证 MIT © 2025 GBOYEE。详见 [LICENSE](LICENSE)。 ## 🙌 参与其中 - **试用** —— 运行扫描并开启一个包含结果的 issue - **反馈** —— 发现 bug？想要新功能？[开启一个 issue](https://github.com/GBOYEE/web3-security-scout/issues) - **贡献** —— 查看 `good-first-issue` 标签 - **支持** —— [GitHub Sponsors](https://github.com/sponsors/GBOYEE) 以维持开发 **源自尼日利亚拉各斯，用 🔥 打造。**

标签：AI 代码审计, AV绕过, CISA项目, CVSS 评分, DeFi 安全, DNS枚举, Etherscan 监控, FastAPI, LLM 辅助审计, Python, Solidity 安全, Web3 安全, 以太坊安全, 加密, 加密货币安全, 区块链安全, 密码管理, 对称加密, 无后门, 智能合约审计, 智能合约监控, 漏洞扫描器, 网络安全工具, 自动化审计, 逆向工具, 配置审计, 重入攻击检测, 错误基检测, 静态代码分析