AuditForge-org/AuditForge

# Audit Forge **多引擎智能合约安全分析。** Audit Forge 会并行运行六款 独立且符合行业标准的安全引擎来扫描您的 Solidity 代码—— 包括静态分析、符号执行和属性模糊测试（fuzzing）—— 然后通过**共识**（即有多少独立工具达成一致）来核对每项发现， 并生成 0–100 的评分、排名后的漏洞发现列表、AI 撰写的简报， 以及一份可分享的报告。 🔗 **在线体验：** https://auditforge.org ## 引擎 | 引擎 | 方法 | 来源 | |--------|--------|--------| | **Slither** | 静态分析 | Trail of Bits | | **Aderyn** | AST 分析 | Cyfrin | | **Mythril** | 符号执行 | Consensys | | **Semgrep** | 模式匹配 | Semgrep | | **Solhint** | Linting | Protofire | | **Echidna** | 属性模糊测试（可选） | Trail of Bits | 每个引擎都在独立、**禁用网络**且限制资源的 Docker 沙箱中运行。发现的漏洞会根据其 SWC 类别进行标准化并聚类， 因此评分反映的是跨引擎的共识，而不是单一工具的误报噪音。 ## 工作原理 ``` ┌─────────┐ paste / address / GitHub submit ──▶│ API │──── resolves & flattens source ───┐ └─────────┘ ▼ ┌─────────┐ report ◀── consensus + score + AI brief ──│ worker │ └────┬────┘ │ spawns (network-off) ┌──────────────────────────────────────────┴──────────────┐ ▼ ▼ ▼ ▼ ▼ ▼ slither aderyn mythril semgrep solhint echidna ``` - **Frontend** — 无依赖项、基于 hash 路由的 vanilla-JS SPA (`frontend/`)。 - **API + worker** — Node/TypeScript + Express + BullMQ (`backend/`)、Postgres、 Redis。Worker 通过宿主机的 Docker socket 将每个引擎作为沙箱化容器启动。 - **Sources** — 粘贴代码、已验证的合约地址（Etherscan V2 多链）或 GitHub 仓库/路径。 ## 按地址获取源码 地址模式通过 **Etherscan V2 多链** API 获取已验证的源码 — 一个 `ETHERSCAN_API_KEY` 即可覆盖 Ethereum、BSC、Polygon、Arbitrum、Optimism 和 Base。（EthereumPoW 没有维护的公开源码 API，目前在地址模式下不受 支持 — 请使用粘贴模式。） ## 运行方式 请参阅 **[DEPLOY.md](DEPLOY.md)** 获取完整的单主机 Docker Compose 部署说明。简要步骤如下： ``` cp .env.production.example .env # then fill in the values (chmod 600 .env) docker compose -f docker-compose.prod.yml up -d --build ``` 配置由环境变量驱动；请参阅 `.env.production.example` 和 `backend/.env.example` 了解所有变量（数据库、Redis、用于生成简报且兼容 OpenAI 的 AI 提供商、区块链浏览器密钥、GitHub OAuth、速率限制等）。 ## 许可证 **[AGPL-3.0-or-later](LICENSE).** 因为 Audit Forge 是通过网络提供的， 所以 AGPL 的 §13 适用：如果您将修改后的版本作为服务运行，您必须 向您的用户提供完整的对应源代码。有关第三方引擎的归属说明，请参阅 [NOTICE](NOTICE)（各引擎保留其自身的许可证）。 欢迎在相同许可证下提交贡献。

标签：MITM代理, Solidity, 云安全监控, 代码安全, 共识算法, 搜索引擎查询, 智能合约, 漏洞枚举, 自动化攻击, 请求拦截, 静态分析