Yudis-bit/arkheionx

GitHub: Yudis-bit/arkheionx

ArkheionX 将 Solidity/Foundry 仓库转化为确定性的审查上下文,为智能合约审计员提供结构化的价值路径、信任假设和测试缺口地图。

Stars: 4 | Forks: 0

# ArkheionX 面向智能合约安全的本地优先审查基础设施。 ArkheionX 将 Solidity 或 Foundry 仓库转化为确定性的审查上下文:价值路径、角色、信任假设、可达流程、缺失的测试、证据以及未解决的审查缺口。 它不替代审计员。 它为审计员提供一张更好的地图。 ## 功能简介 ArkheionX 读取已授权的本地仓库,并构建审查工件,帮助人类了解应优先将注意力集中在哪里: - 价值路径和资产流动; - 角色、权限和信任假设; - 可达流程和交互面; - 缺失或薄弱的测试区域; - 证据任务和扼杀条件(kill conditions); - 未解决的审查问题; - 机器可读的 JSON 和人类可读的 Markdown 审查包。 Foundry 告知审查者他们编写的测试是否通过。ArkheionX 则有助于指出他们可能遗漏了哪些测试。 ## 它不是什么 不是审计。 ArkheionX 不会自动查找漏洞、替代审计员、确认严重程度、证明安全性、保证赏金结果,也不会充当漏洞利用生成器。 无严重性保证。 它不声称获得 Ethereum Foundation 或任何生态系统资助计划的认可。人工审查、本地 PoC 验证以及特定协议的判断仍然是必须的。 ## 适用人群 - 在深入审查前需要确定性地图的智能合约安全研究员。 - 正在为审计、竞赛或内部安全审查做准备的协议团队。 - 希望在手动分析前获得结构化上下文的审计员和审计公司。 - 评估项目是否可信、诚实且具有足够测试价值的生态系统资助审查员。 ## 存在意义 庞大的 Solidity 仓库很容易被随机审查。审查者需要知道价值在何处进入、移动、退出以及依赖于哪些假设,然后再决定测试什么。 ArkheionX 的存在是为了减少审查盲区。它使上下文变得明确、可重复且本地优先,从而让人类审查者可以基于证据而非宽泛的 prompt 进行推理。 ## 快速开始 ``` python3 -m pip install -e . arkheionx version arkheionx doctor arkheionx review . --scope-file scope.md --out .arkheionx/review ``` 默认工作流无需 API key、私钥、RPC URL 或 token。 有关源码安装的详细信息,请参阅 [`docs/INSTALLATION.md`](docs/INSTALLATION.md) 和 [`docs/INSTALLER.md`](docs/INSTALLER.md)。源码安装程序仍可通过 `sh install.sh` 使用。 ## 示例工作流 ``` # 检查 CLI 与环境实际情况。 arkheionx version arkheionx doctor # 构建主要审查包。 arkheionx review . --scope-file scope.md --out .arkheionx/review # 当你想要紧凑的首次阅读时,构建较早的专注 map。 arkheionx review-map . # 尝试一个捆绑的 demo。 arkheionx demo --list arkheionx review-map examples/vault-strategy-oracle-fixture ``` 请参阅 [`docs/CORE_WORKFLOW.md`](docs/CORE_WORKFLOW.md)、[`docs/CLI_REFERENCE.md`](docs/CLI_REFERENCE.md) 和 [`docs/DEMO_WORKFLOW.md`](docs/DEMO_WORKFLOW.md)。 有关仓库布局和生成输出的边界,请参阅 [`docs/REPOSITORY_STRUCTURE.md`](docs/REPOSITORY_STRUCTURE.md)。 ## 文档 从 [`docs/START_HERE.md`](docs/START_HERE.md)、[`docs/CLI_REFERENCE.md`](docs/CLI_REFERENCE.md)、[`docs/REPOSITORY_STRUCTURE.md`](docs/REPOSITORY_STRUCTURE.md)、[`docs/CASE_STUDIES.md`](docs/CASE_STUDIES.md) 和 [`docs/EXTERNAL_VALIDATION.md`](docs/EXTERNAL_VALIDATION.md) 开始。 ## 输出 主要审查包写入在 `.arkheionx/` 目录下,并打算保留在本地。它包括运行上下文、范围映射、价值流映射、交互映射、假设、审查通道、证据任务、报告过滤器、agent 输入、`review.json` 和 `manifest.json`。 输出是审查上下文,而不是最终事实。执行相关的本地 Foundry 测试是一种证据,但仍不是最终的安全判断。 请参阅 [`docs/OUTPUT_ARTIFACTS.md`](docs/OUTPUT_ARTIFACTS.md)、[`docs/EVIDENCE_PACKAGE.md`](docs/EVIDENCE_PACKAGE.md) 和 [`docs/INTERPRET_RESULTS.md`](docs/INTERPRET_RESULTS.md)。 ## 案例研究 ArkheionX 需要真实的审查证据,而不是做表面文章。案例研究层记录了提出了什么问题、映射了什么价值路径、生成了什么证据、人类验证了什么以及 ArkheionX 没有决定什么。从 [`docs/CASE_STUDIES.md`](docs/CASE_STUDIES.md) 开始。 ## 当前状态 最新稳定版本:**v8.0.1**。 此检出可能包含超出最新稳定版本的未发布开发工作。使用 [`docs/VERSIONING.md`](docs/VERSIONING.md) 了解包、发布、里程碑以及实验/内部状态。 公共仓库已更名为 `Yudis-bit/arkheionx`。新用户应使用 。旧的 `DeFi-Exploit-PoCs` slug 可能保留在历史文档、存档材料、生成的工件或兼容性说明中。请参阅 [`docs/REPO_IDENTITY_MIGRATION.md`](docs/REPO_IDENTITY_MIGRATION.md)。 稳定的命令接口记录在 [`docs/PUBLIC_SURFACE.md`](docs/PUBLIC_SURFACE.md) 中。 ## 局限性 - 静态/本地上下文可能会遗漏重要的行为,并且缺失测试的信号可能会受到干扰。 - 价值路径是审查地图,不是经过证明的执行轨迹。 - 证据任务需要人类判断、PoC 验证和特定于协议的审查。 - 严重性决策不是自动的,并且干净的运行并不能证明协议是安全的。 ## 安全边界 仅限本地仓库分析。默认不使用 RPC。无实时链上修改。无私钥或机密信息。无自动化漏洞利用。无自动提交。不替代审计、认证或人工审查。无严重性保证。 无 RPC。无实时链上扫描。无自动提交。必须进行人工审查。 ## 外部反馈 来自生态系统资助审查的反馈表明,ArkheionX 在寻求更广泛的生态系统支持之前,应加强实际使用、外部审查员反馈和案例研究。该反馈具有方向性指导意义:下一阶段的重点是可信度、在成熟的 DeFi 协议上的实际使用、审查员反馈以及清晰的案例研究。 请参阅 [`docs/EXTERNAL_VALIDATION.md`](docs/EXTERNAL_VALIDATION.md) 和 [`docs/PUBLIC_FEEDBACK_GUIDE.md`](docs/PUBLIC_FEEDBACK_GUIDE.md)。 ## 安全与道德 仅在你拥有或被授权审查的仓库上使用 ArkheionX。 默认工作流中不应包含实时链上修改、私钥、生产凭据、漏洞利用自动化、自动提交或未经支持的漏洞声明。 安全策略:[`SECURITY.md`](SECURITY.md)。许可证:[`LICENSE`](LICENSE)。
标签:Foundry, Solidity, 云安全监控, 代码审查, 区块链安全, 安全审计工具, 文档结构分析, 智能合约审计, 逆向工具, 静态分析