audit-context-building

audit-context-building 技能是一個專門的框架，旨在規範 AI 代理在安全審計初步階段如何處理程式碼。透過執行紀律嚴明的自下而上方法，它使開發人員和安全研究人員能夠在開始主動漏洞發現之前，將原始原始碼轉換為系統架構、狀態轉換和邏輯不變量之精確且全面的心理模型。

此技能適用於進行威脅建模、架構審查或手動漏洞研究的安全專業人員、審計員和資深工程師。對於複雜、高風險的程式碼庫特別有效，因為「大意層級」的理解往往會導致遺漏邊緣情況、產生幻覺漏洞或在長時間分析過程中丟失上下文。透過強制執行嚴謹、結構化的檢查流程，確保每個函數、外部呼叫和狀態變數都經過精確分析。

• 執行逐行與逐塊的語義分析，以擷取微觀層級的邏輯。

• 應用第一性原理 (First Principles)、5 Whys 與 5 Hows 來解構假設並識別潛在的推理危險。

• 實現全棧上下文傳播，將整個呼叫鏈（包括外部依賴與函式庫呼叫）視為單一連續的執行流程。

• 自動構建持久的全局心理模型，整合內部函數邏輯、儲存模式與信任邊界。

• 強制記錄每個分析模組的預先條件、輸入、副作用與狀態變更操作。

• 此工具專為獲取上下文而設計；不應用於最終的漏洞利用生成、錯誤報告或嚴重性影響評分。

• 使用者應預期代理程式會非常嚴謹，經常暫停以根據實際程式碼庫驗證假設，而非僅依賴常見模式或啟發式方法。

• 在分析外部呼叫或黑盒函式庫時，代理程式將預設採取對抗性姿態，將外部輸入視為不可信，並對所有可能的返回/回滾路徑進行建模。

• 輸出針對高保真度技術回憶進行了優化，優先考慮準確性與完整性而非速度。