ECD5A/EllipticZero

# EllipticZero [](https://github.com/ECD5A/EllipticZero/actions/workflows/tests.yml) [](https://github.com/ECD5A/EllipticZero/actions/workflows/codeql.yml)      EllipticZero 是一个针对两个领域的本地实验室研究： - ECC / 防御性密码学研究 - 智能合约审计 外表简单，内部严格：加载合约或选择 ECC 目标，写下 研究思路，让边界代理选择本地检查，然后审查证据， 风险车道、置信度和后续指导。   ## 你得到什么 - 用于 ECC 和智能合约审计研究的本地优先代理工作流 - 工具支持证据，而非仅模型的声明 - 可重现的会话、追踪、清单、捆绑包和回放 - 面向评估者的基准和金标准案例，用于冒烟检查 - 谨慎的报告，包含手动审查边界和修复方向 该仓库在 `FSL-1.1-ALv2` 下公开且源代码可用。 当前版本未在 OSI 开源许可下提供， 商业使用、托管部署、OEM 分发或白牌使用需另行签订协议。 ## 为何选择 EllipticZero EllipticZero 为证据优先的本地研究而构建，而非无约束的代理自主性。系统让代理推理、本地计算、工件、 回放、置信度和手动审查边界在一个工作流中可见。 其目标是帮助仔细的研究者缩小应检查的内容、本地证据实际支持的内容，以及仍需人类判断的部分。 ## 核心优势 EllipticZero 设计围绕： - 本地优先的防御性研究和审计工作流 - ECC 与智能合约审查的边界编排 - 可重现的证据、追踪、清单、捆绑包和报告 - 用于重复比较和硬化验证的基准包 - 保留手动审查车道的谨慎置信度校准 - 源代码可用的评估与商业许可路径 ## 快速评估 如果你正在评估 EllipticZero 作为研究者、安全团队或潜在商业合作伙伴，请从以下开始： - [EVALUATION.md](EVALUATION.md) 获取评估路径和基准评分卡 - [examples/golden_cases/README.md](examples/golden_cases/README.md) 获取稳定的 ECC 和智能合约冒烟案例 - [COMMERCIAL_LICENSE.md](COMMERCIAL_LICENSE.md) 如果你的用例涉及产品、托管服务、OEM、白牌、转售或类似商业路径 ## 详细能力 - 以编排器为中心的研究会话 - 数学、密码学、策略、假设、批评和报告代理 - 沙箱本地运行器，用于符号、形式、基于属性的测试、模糊测试和 ECC 测试床检查 - 内置 ECC 基准包，用于点异常、编码边界、曲线别名、曲线族转换、子群/余因子与扭转卫生，以及边界域完整性 - 智能合约审计工具，用于解析、编译、仓库级库存、第一方与依赖范围、协议映射、审查车道、函数族优先级、跨文件优先级融合 - 内置智能合约语料库，用于资产流动、Vault/Share、预言机新鲜度、抵押/清算与清算费用、协议费用/储备缓冲/债务会计、坏账社会化及相关协议风格审查家族 - 边界仓库级案例库，用于升级/存储、治理/时间锁、资产流动、预言机/清算、协议会计、奖励/分发、稳定币/抵押、AMM/流动性、桥/托管、质押/再平衡、托管/许可，以及可选的 `Slither`、`Foundry` 和 `Echidna` 本地适配器 - 内置智能合约基准包，用于静态基线审查、仓库案例库基准、协议风格仓库基准、升级/控制基准、治理/时间锁基准、奖励/分发基准、稳定币/抵押基准、AMM/流动性基准、桥/托管基准、质押/再平衡基准、托管/许可基准，以及借贷风格协议基准 - 黄金/合成示例案例，包含面向评估者的 ECC 和智能合约冒烟检查的预期报告形态 - 追踪、清单、捆绑包、回放和医生/自检 - `mock` 为默认，支持 `openai`、`openrouter`、`gemini` 和 `anthropic`（配置后） ## 快速开始 要求： - Python 3.11+ - 本地文件系统访问工件 - 仅在需要超出 `mock` 时需要 API 密钥 安装： ``` python -m venv .venv .\.venv\Scripts\Activate.ps1 python -m pip install --upgrade pip pip install -e .[lab] ``` 或使用： ``` .\scripts\setup_local_lab.ps1 ``` 智能合约专注的本地设置： ``` .\scripts\setup_local_lab.ps1 -Profile smart-contract-static ``` 启动界面： ``` python -m app.main --interactive ``` 运行自检： ``` python -m app.main --doctor ``` 在交互式控制台中使用 `F2` 或 `L` 在 `EN` 和 `RU` 之间切换。 ## 常用命令 直接研究会话： ``` python -m app.main "Inspect whether secp256k1 metadata labels remain consistent across local reasoning and tool output." ``` 边界探索模式： ``` python -m app.main "Explore whether ECC point parsing and on-curve checks reveal bounded defensive research leads." --research-mode sandboxed_exploratory ``` 从本地文件进行智能合约审计： ``` python -m app.main --domain smart_contract_audit --contract-file .\contracts\Vault.sol "Audit the contract for low-level call review surfaces and externally reachable value flow." ``` 从内联代码进行智能合约审计： ``` python -m app.main --domain smart_contract_audit --contract-code "pragma solidity ^0.8.20; contract Vault {}" "Review the contract for reachable admin, upgrade, and external-call surfaces." ``` 从本地文件进行智能合约基准包： ``` python -m app.main --domain smart_contract_audit --contract-file .\contracts\Vault.sol --pack contract_static_benchmark_pack "Benchmark the contract with bounded static analysis and parser-to-surface cross-checks." ``` 路由概览： ``` python -m app.main --show-routing ``` 内置黄金评估案例： ``` python -m app.main --list-golden-cases python -m app.main --golden-case contract-repo-scale-lending-protocol ``` 附加 CLI 工具： ``` python -m app.main --evaluation-summary python -m app.main --evaluation-summary --evaluation-summary-format json python -m app.main --list-synthetic-targets python -m app.main --list-packs python -m app.main --live-provider-smoke openai --live-smoke-model gpt-4.1-mini python -m app.main --live-provider-smoke openrouter --live-smoke-model openrouter/auto python -m app.main --replay-session .\artifacts\sessions\session_id.json python -m app.main --domain smart_contract_audit --contract-file .\contracts\Vault.sol --compare-session .\artifacts\sessions\baseline.json "Re-run the bounded audit and record before/after deltas against the saved baseline session." ``` ## 运行时说明 - 配置从默认值、`configs/settings.yaml`、环境变量和可选的 `.env` 解析 - 支持的提供者：`mock`、`openai`、`openrouter`、`gemini`、`anthropic` - 正常设置为所有角色使用一个共享提供者/模型。可选地为每个代理覆盖。 - OpenRouter 有用作为一个边界实时冒烟路径，因为它暴露了 OpenAI 兼容的托管模型且只需一个 API 密钥，并且直接冒烟路径现在默认为 `openrouter/auto`，除非你明确固定另一个模型。 - 可选本地工具可包括 `SymPy`、`Hypothesis`、`z3-solver`、内置边界变异探针、ECC 测试床、智能合约审计检查，以及可用的 `SageMath` - ECC 报告现在可包含简短的基准摘要、基准立场、家族覆盖行、ECC 覆盖矩阵、紧凑的基准案例摘要、边界 ECC 审查焦点、残差风险行、ECC 信号共识注释、简短的 ECC 验证矩阵、谨慎的 ECC 对比焦点行、ECC 基准差值注释和 ECC 回归观察行（当本地编码、家族转换、扭转卫生、子群/余因子或域完整性信号合理时）。 - 设置配置文件可在 `.ellipticzero/tooling/solcx` 下预置项目管理的 Solidity 编译器，以便编译检查和编译器适配不依赖于全局 `solc` 安装。 - Solidity 分析是版本感知的：首先读取合约的 Pragma，然后运行时选择一个兼容的本地托管编译器，而不是假设固定的 `solc` 版本。 - 智能合约会话可使用粘贴代码、内联代码或本地 `.sol` / `.vy` 文件作为输入。 - `doctor` 现在区分提供者配置与托管实时冒烟准备状态，并且直接托管冒烟路径会显示其使用的有效超时和请求令牌上限。 - `doctor` 现在也显示边界本地插件安全门和捆绑包与清单导出使用的批准导出根策略。 - 智能合约会话可可选地携带本地合约根，以便边界审计可以构建仓库级库存，分离第一方与依赖范围、追踪入口点审查车道、排名函数族、总结风险家族车道，并与有界案例库进行比较。当使用本地合约文件时，交互式流程现在会自动推导边界本地根。 - 智能合约实验包现在可结构化边界静态基准、仓库案例库基准协议风格基准通过，以及更具体的升级/控制、治理/时间锁、奖励/分发、稳定币/抵押、AMM/流动性、桥/托管、质押/再平衡、keeper/拍卖、treasury/vesting、保险/恢复，以及 vault/permission 或借贷风格基准通过；它们执行的步骤会保留在会话、回放工件和最终报告中。 - 新的直接 CLI 比较标志（`--compare-session`、`--compare-manifest`、`--compare-bundle`）可将保存的基线会话附加到新的边界运行，因此最终报告可包含谨慎的 before/after 和回归导向的比较注释。 - 智能合约报告可包含合约库存、仓库级协议映射、协议不变量、信号共识摘要、验证矩阵、基准立场摘要、最强优先级、仓库分类、入口点审查车道、函数族优先级和风险家族车道摘要。 - 智能合约报告还可包括边界仓库案例库覆盖率、紧凑的匹配案例研究摘要、治理/时间锁、奖励/分发、稳定币/抵押、AMM/流动性、桥/托管、质押/再平衡、keeper/拍卖、treasury/vesting、保险/恢复 或类似协议案例的 archetype 风格案例研究标签，短期优先级案例行、空白车道缺口、基准支持注释、案例库分类和工具链对齐，用于最强的仓库车道。 - 智能合约报告还可包括基准包摘要和简短的基准案例摘要，当有边界合约基准包显著影响会话时。 - 智能合约报告还可包括案例库覆盖率矩阵、基准立场摘要和工具链支持的验证立场，用于最强的仓库车道，包括支持多个风险家族的仓库案例库。 - 当本地信号合理时，智能合约报告还可包括简短的审查队列、残差风险行、最强车道的退出标准、编译状态、合约表面摘要、内置模式发现、协议风格审查焦点、修复验证注释、修复后续优先级、谨慎的防御性修复指导、外部静态发现、边界测试床或仓库案例库比较、置信度校准注释，解释为何当前证据仍为边界，以及带有回归标志的与保存基线会话的 before/after 对比行。 - 完成的运行会在 `artifacts/` 下写入会话、追踪、比较和捆绑工件，且可重现性捆绑包现在包含一个 `overview.json` 快照，包含焦点摘要、比较准备度、导出级别计数，以及质量门和硬化总结计数。 - 跨域报告也可保留质量门和硬化总结，以便边界证据深度、比较准备度、导出立场、插件安全立场和残差手动审查车道在一个地方保持可读。 - 可重现性清单和捆绑包现在过滤掉在批准本地存储根之外解析的工件引用，并且仅在源路径位于这些批准根内时才导出会话/追踪副本。 - 在注册表加载前阻止不安全的本地插件路径布局。 - GitHub Actions 现在包含针对 Python 代码库的专用 CodeQL 工作流，Dependabot 可保持 Python/github-actions 依赖项处于审查状态。 请参阅 `.env.example` 获取本地配置选项。 ## 项目文档 - [docs/INDEX.md](docs/INDEX.md) - [EVALUATION.md](EVALUATION.md) - [CHANGELOG.md](CHANGELOG.md) - [docs/USE_CASES.md](docs/USE_CASES.md) - [docs/ENVIRONMENT_PROFILES.md](docs/ENVIRONMENT_PROFILES.md) - [ARCHITECTURE.md](ARCHITECTURE.md) - [AGENTS.md](AGENTS.md) - [LICENSE_FAQ.md](LICENSE_FAQ.md) - [LICENSE_TRANSITION.md](LICENSE_TRANSITION.md) - [COMMERCIAL_LICENSE.md](COMMERCIAL_LICENSE.md) - [TRADEMARKS.md](TRADEMARKS.md) - [REPRODUCIBILITY.md](REPRODUCIBILITY.md) - [REPORT_SPEC.md](REPORT_SPEC.md) - [SECURITY.md](SECURITY.md) - [CONTRIBUTING.md](CONTRIBUTING.md) - [examples/README.md](examples/README.md) - [examples/SAMPLE_OUTPUTS.md](examples/SAMPLE_OUTPUTS.md) - [examples/golden_cases/README.md](examples/golden_cases/README.md) - [examples/golden_cases/RUNBOOK.md](examples/golden_cases/RUNBOOK.md) - [examples/golden_cases/EXPECTED_REPORT_SHAPES.md](examples/golden_cases/EXPECTED_REPORT_SHAPES.md) ## 验证 ``` python -m pip check python -m ruff check . python -m compileall app tests scripts pytest -q ``` 该项目当前在 mock 模式下通过测试套件。 ## 支持 - 比特币（BTC）：`1ECDSA1b4d5TcZHtqNpcxmY8pBH1GgHntN` - USDT（TRC20）：`TSWcFVfqCp4WCXrUkkzdCkcLnhtFLNN3Ba` ## 负责任使用 仅将 EllipticZero 用于授权本地研究。保持实验边界、可逆和可检查。 ## 许可证 EllipticZero 在 **FSL-1.1-ALv2** 下许可。 公共仓库以源代码形式提供，用于评估、研究、内部 使用及其他许可用途定义。 每个版本在发布后的第二年以 Apache License 2.0 提供。 如需超出公共许可的权利，包括竞争性商业使用、托管或管理服务使用、OEM、白牌或转售，请参见 [COMMERCIAL_LICENSE.md](COMMERCIAL_LICENSE.md)。 本仓库是公开的，但当前版本不应描述为 OSI 批准的开源发布。 品牌权不受代码许可约束。请参见 [TRADEMARKS.md](TRADEMARKS.md)。 ## 商业使用 评估、研究、内部审查和本地测试在公共许可条款下是受欢迎的。 如果你的用例涉及竞争性商业产品、托管服务、OEM 分发、白牌使用或转售，你应该获得单独的 商业许可。 如果不确定你的部署或产品计划是否跨越这条线，请在发货或销售前联系我们。 请参阅 [COMMERCIAL_LICENSE.md](COMMERCIAL_LICENSE.md) 获取简短政策。 ## 联系 商业许可、合作与伙伴关系咨询： - 电子邮件：`stelmak159@gmail.com` - Telegram：`@ECDS4` - 仓库：`https://github.com/ECD5A/EllipticZero`

标签：benchmark, bounded agents, CI/CD 测试, ECC, evaluator smoke checks, FSL-1.1-ALv2, golden cases, manifest, Python 3.11+, replay, trace, 事后分析, 代码质量分析, 区块链安全, 反取证, 可重现研究, 安全研究实验室, 安全评估, 密码学研究, 手动审查边界, 智能合约安全, 智能合约审计, 本地优先, 本地工具链, 椭圆曲线密码学, 沙箱多智能体研究实验室, 源码可用, 置信度评估, 补救指导, 证据驱动审计, 逆向工具, 风险车道