audit-context-building

audit-context-building 技能是一个专门的框架，旨在规范 AI 代理在安全审计初步阶段如何处理代码。通过执行纪律严明的自下而上方法，它使开发人员和安全研究人员能够在开始主动漏洞发现之前，将原始源代码转换为系统架构、状态转换和逻辑不变量的精确且全面的心理模型。

此技能适用于进行威胁建模、架构审查或手动漏洞研究的安全专业人员、审计员和资深工程师。对于复杂、高风险的代码库特别有效，因为“大意层级”的理解往往会导致遗漏边缘情况、产生幻觉漏洞或在长时间分析过程中丢失上下文。通过强制执行严谨、结构化的检查流程，确保每个函数、外部调用和状态变量都经过精确分析。

• 执行逐行与逐块的语义分析，以获取微观层级的逻辑。

• 应用第一性原理 (First Principles)、5 Whys 与 5 Hows 来解构假设并识别潜在的推理危险。

• 实现全栈上下文传播，将整个调用链（包括外部依赖与函数库调用）视为单一连续的执行流程。

• 自动构建持久的全局心理模型，整合内部函数逻辑、存储模式与信任边界。

• 强制记录每个分析模块的预先条件、输入、副作用与状态变更操作。

• 此工具专为获取上下文而设计；不应用于最终的漏洞利用生成、错误报告或严重性影响评分。

• 使用者应预期代理程序会非常严谨，经常暂停以根据实际代码库验证假设，而非仅依赖常见模式或启发式方法。

• 在分析外部调用或黑盒函数库时，代理程序将默认采取对抗性姿态，将外部输入视为不可信，并对所有可能的返回/回滚路径进行建模。

• 输出针对高保真度技术回忆进行了优化，优先考虑准确性与完整性而非速度。