cholakovvv/ai-audit-findings-triager
GitHub: cholakovvv/ai-audit-findings-triager
一款 Claude Code 技能,通过对照源码和链上状态验证 AI 生成的 Solidity 审计发现,自动区分真实漏洞与误报并分配严重性等级。
Stars: 0 | Forks: 0
# ai-audit-findings-triager
`[BETA]` 一项 [Claude Code](https://docs.claude.com/en/docs/claude-code/overview) 技能,它根据实际代码对 AI 生成的 Solidity 审计发现进行分类,将真正的 bug 与误报区分开来,并分配 Immunefi V2.3 严重性级别,因此您审查的是分类后的报告,而不是原始的工具输出。
## 它的功能
- **去重并聚类** 发现的问题,然后针对源代码验证每一项(并在必要时针对链上状态进行验证)
- **调查代码库、已部署的合约和文档** 以解决问题本身,仅在确实无法确定某个事实时才标记为需要人工审查
- **从双向验证每个结论**(利用它 / 破坏它),然后再最终认定为有效或误报
- **分配 Immunefi V2.3 严重性级别** 并编写 `triager-issues.md`:一个摘要仪表板,以及每个发现的一项有证据支持的记录
## 要求
- Claude Code(Opus 或 Sonnet)
- 上下文中的代码库
## 安装
```
cd ~/.claude/skills
git clone https://github.com/cholakovvv/ai-audit-findings-triager.git
```
重启 Claude Code,然后使用 `/skills` 进行验证。
## 用法
```
Using the ai-audit-findings-triager skill, triage these findings against ./src.
Findings: ./ai-report.md
```
为了获取关于依赖于真实配置的发现的更多上下文,请添加部署信息,以便它可以检查链上状态:
```
Deployed at 0x... on ethereum.
```
它会去重、验证、自检并编写 `triager-issues.md`。请确认这些结论;这是一个起点,不能替代您的判断。
## 它不会做的事
- **盲目认可工具。** 从代码中重新推导每一个声明;一份自信的报告说明不了任何问题。
- **拒绝它无法解释的 bug。**“无法确认其有效性”即为 `NEEDS_HUMAN_REVIEW`,绝不是错误的 `INVALID`。
- **猜测外部行为。** 未知的 token / oracle / config → 查明真相,或标记缺失的内容。
- **编写 PoC。** 仅作分类。为此,请参阅 [foundry-poc-mainnet-fork](https://github.com/cholakovvv/foundry-poc-mainnet-fork)。
## License
待定。
## 致谢
由区块链安全研究员 [Simeon Cholakov](https://github.com/cholakovvv/) 构建。
如果这项技能为您省去了一次分类工作,请考虑:
- 为仓库加星
- 当它在真实审计中发现问题时,在 [X](https://x.com/cholakovvv) 上标记我
标签:AI代码审计, Claude Code, DLL 劫持, Maven, Solidity, 大语言模型, 智能合约审计, 漏洞验证, 误报过滤, 防御框架