schatt93/universal-audit-skill

# 通用审计、验证与测试 — Master Skill 一个可重用的、**与产物无关的审计 / 验证 / 红队框架**，可运行在**任何智能体编程平台**上 — Claude、OpenAI Codex、Cursor、Gemini、GitHub Copilot，以及任何支持 [AGENTS.md](https://agents.md) 的工具 — 并附带面向本地 / 小上下文模型的低上下文 **Lite** 版本。将其指向几乎任何工作产物 — 源代码、应用程序、API、规范、架构/设计文档、数据 pipeline、ML/AI/LLM 系统、基础设施/IaC、金融和投资研究报告、市场分析、电子表格，以及媒体/文档文件 — 它会自动对产物进行分类，仅针对*当前已验证的*行业标准运行相关的验证域，并生成带有严重性评级发现和可追溯修复计划的、带编号的、基于证据的审计记录。 本框架本着 **IEEE 1028** 和 **ISO 19011:2018** 的精神编写：对*产物*（而非作者）保持对抗性，坚持“没有证据就等于没发生”，且绝不基于陈旧的记忆断言事实 — 并且它不仅验证外部事实，还验证产物自身**声明的假设与实际情况是否相符**（原则 9）。 ## 它是什么 - **42 个领域模块**，分为三组：系统与质量（`A`–`W`）、文件格式与资产（`X`–`AE`），以及专业领域（`AF`–`AQ`，包括财务/SOX、医疗设备、智能合约、模型风险，以及投资研究与市场分析）。 - **双模式通用检查** — 每次检查都在*建设性*（“它正确吗？”）和*对抗性*（“证明它是错的”）模式下运行（Pass B1–B3），外加一个贯穿全局的红队检查（B4）。 - **9 项操作原则** — 包括对*外部*事实的运行时验证（P1），以及针对*实际系统*验证产物自身的前提条件 / 基准（**P9 — 实情核对**，因此陈旧计划和无效假设会在导致正常工作的代码发生退化之前被捕获）。 - **严重性分类** S1–S5，带有正交的 `Status` 和 `Tags`，以及完整的**发现 ↔ 修复可追溯性**。 - **可移植** — 原生适配 Claude、OpenAI Codex / AGENTS.md、Cursor、Gemini 和 GitHub Copilot；统一的方法论，单一的事实来源。 - **深度研究时效性引擎（阶段 R）** — 在进行评判之前，它会自主分解其知识需求，执行迭代式网络搜索，验证来源，并综合生成一份带引用的**研究简报**，从而确保它是根据*当前*的标准和建议（而非记忆）进行审计的。 - **Ralph 循环与多供应商（§10）** — 可选择性地迭代执行 审计→修复→重新审计，直至获得一个干净的、*有证据支持的*通过结果，并在跨模型供应商的子智能体（审计员 / 修复员 / 独立的跨供应商验证器）之间进行，其密钥由 **`api-key-manager`** skill 管理。 - **自我审计** — 该框架会定期对自身运行审计；记录存放在 [`audits/`](audits/) 中。 ## 平台 | 平台 | 入口 | 说明 | |---|---|---| | **Claude / Claude Code** | [`universal-audit-skill.skill`](universal-audit-skill.skill)（作为 skill 安装） | 在审计 / 验证 / 审查意图时触发 | | **OpenAI Codex** + 任何 AGENTS.md 工具 | [`AGENTS.md`](AGENTS.md) | 开放标准 — 也适用于 Cursor、Gemini CLI、Copilot、Windsurf | | **Cursor** | [`adapters/cursor/universal-audit.mdc`](adapters/cursor/universal-audit.mdc) → `.cursor/rules/` | `.mdc` 规则 | | **Gemini CLI** | [`adapters/gemini/`](adapters/gemini/) — `GEMINI.md` + `/audit` 命令 | TOML 斜杠命令 | | **GitHub Copilot** | [`adapters/github-copilot/copilot-instructions.md`](adapters/github-copilot/copilot-instructions.md) → `.github/` | VS Code / Visual Studio / JetBrains | | **本地 / 小上下文模型** | [`universal-audit-skill-lite.md`](universal-audit-skill-lite.md) | 延后至完整规范执行的索引；轻量级深度，分块处理 | 部署矩阵请参见 [`adapters/README.md`](adapters/README.md)。 ## 仓库布局 ``` universal-audit-skill-v10.1.md # the skill source — full methodology (single source of truth) universal-audit-skill-lite.md # condensed core for local / small-context models (defers to the full file) universal-audit-skill.skill # installable Claude package (SKILL.md + eval set) AGENTS.md # universal adapter (open standard: Codex, Cursor, Gemini, Copilot, Windsurf, ...) adapters/ # native entry points per platform (Cursor .mdc, Gemini, Copilot, Codex) research/ # deep-research currency engine (Stage R) + web-research sub-agent ralph/ # Ralph loop (iterate to a clean pass) + multi-vendor sub-agent specs skills/api-key-manager/ # secure CRUD for multi-vendor API keys (OS keyring or git-ignored store) audits/ # audit outputs: AUDIT-INDEX.md + AUDIT-RUN-* records skill-dev/ # build & triggering artifacts (eval set, trigger tests, unpacked pkg) wiki/ # documentation (source for the GitHub Wiki) ``` ## 如何使用 从上表（或 [`adapters/README.md`](adapters/README.md)）中为您所在的平台**安装 / 部署**。当您要求对某些内容进行审计、验证、审查、QA、事实核查、压力测试、红队评估，或查找缺陷 / 漏洞 / 不一致之处时，它就会被触发 — 即使您从未说过“审计”二字。审计输出将被写入 `./audits/`。 **作为 prompt 运行**（适用于任何智能体）。将 `universal-audit-skill-v10.1.md` — 或在小上下文 / 本地模型上使用 `universal-audit-skill-lite.md` — 粘贴到支持 (1) 文件读写和 (2) 网络搜索 + 网页抓取的会话中。填写 `<<...>>` 占位符（范围、产物类型、领域/法规上下文、审计深度、**审计输出位置**、目标、重要性水平、鉴证级别），并从上到下运行。智能体会自动选择适用的模块 — 它不会盲目运行所有模块。 **选择深度。** `Lightweight | Standard | Deep`（默认为 **Deep**）；鉴证级别为 `Reasonable | Limited`。 **输出。** 每次运行都会生成 `audits/AUDIT-RUN--.md`（包含头部信息、清单、发现、整合、*对审计的审计*、修复计划、待解决问题、验证台账），并在 `audits/AUDIT-INDEX.md` 中追加一行记录。如果审计目录不存在，将会自动创建；该目录也可以在第 2 节中配置。 ## 多供应商密钥（可选 — 用于 Ralph 循环，§10） 为了利用跨模型供应商的子智能体来驱动循环，请使用 **`api-key-manager`** skill 存储每个供应商的 API key — 存储在 **OS keyring** 中（首选），或者一个被 git-ignore 的 `600` 权限文件中，切勿存放在代码库、prompt、日志或聊天中： ``` pip install keyring # OS keyring backend: macOS Keychain / Windows Credential Manager / Linux Secret Service KM=skills/api-key-manager/scripts/keyman.py python $KM add OPENAI_API_KEY # hidden prompt (or: --from-env VAR); also ANTHROPIC_API_KEY, GEMINI_API_KEY, ... python $KM list # names + masked values python $KM backend # show the active store (keyring | file) eval "$(python $KM export-env)" # load keys into this shell for the sub-agents (no values printed) ``` 如果缺少某个供应商的 key，该供应商将被自动跳过。请参见 [`skills/api-key-manager/SKILL.md`](skills/api-key-manager/SKILL.md)。 ## 维护方式 该 skill 通过**对自身进行审计**来维护 — 践行它所倡导的纪律。 - **自我审计轨迹。** 每一次实质性的更改都是由 [`audits/`](audits/) 中的某次记录在案的运行所驱动的：例如 `AUDIT-RUN-006`（内部一致性）、`AUDIT-RUN-007`（财务类别覆盖缺口 -> 新增模块 AQ）、`AUDIT-RUN-008`（知识/指令正确性 + 标准时效性）、`AUDIT-RUN-009`（多平台 + 小上下文 + 原则 9）、`AUDIT-RUN-010`（全新的全面自我审计），以及 `AUDIT-RUN-011`–`013`（深度研究引擎 → Ralph 循环 + 多供应商 → OS-keyring 密钥存储）。发现具有对应的 ID（`Fn`），修复也具有对应的 ID（`Rn`），并且 `AUDIT-INDEX.md` 是一个仅追加的运行日志。 - **运行时标准验证（原则 1）。** 命名的标准及其版本会对照权威来源进行重新验证，并在过时时予以纠正。 - **实情核对（原则 9）。** 该 skill 会针对*实际*系统验证产物声明的前提条件和基准 — 这一点是根据实时测试的反馈增加的，因为在那些测试中，陈旧计划中无效的基准曾险些导致能够正常工作的代码发生退化。 - **版本化与变更日志。** 主文件包含版本号、替代说明和变更日志；每次实质性的更改都会提升版本号并重新打包 `universal-audit-skill.skill`。CI（`.github/workflows/validate.yml`）会强制保证结构完整性。 - **触发器调优。** 该 skill 的 `description` 会对照 `skill-dev/trigger-evals.json` 进行评估并调优（参见 `skill-dev/TRIGGER-TEST-*.md`）。 ### 更新工作流 1. 在其自身（或您的目标对象）上运行该 skill -> 生成一个新的 `audits/AUDIT-RUN-`。 2. 应用修复；在主 `.md` 文件中提升版本号并更新变更日志。 3. 重新构建 `SKILL.md` 并重新打包 `universal-audit-skill.skill`。 4. 将本次运行记录追加到 `audits/AUDIT-INDEX.md`。 ## 作者与鸣谢 - **架构师与首席作者** — **Shubhajit Chatterjee** ([@schatt93](https://github.com/schatt93)) - **编程与研究伙伴** — **Claude** (Anthropic) 该框架由 **Shubhajit Chatterjee** 架构并主笔，并由 **Claude** 作为 AI **编程与研究伙伴**共同参与 — 包括协助起草模块、在 [`audits/`](audits/) 中执行自我审计、对照最新来源验证标准（原则 1），以及打包该 skill。提交记录中通过 `Co-authored-by: Claude` 进行共同署名。 ## 许可证 基于 **MIT License** 发布，© 2026 Shubhajit Chatterjee ([@schatt93](https://github.com/schatt93)) — 详见 [LICENSE](LICENSE)。

标签：AI代理, pocsuite3, 自动化验证, 质量保证, 软件测试, 逆向工具, 防御加固