name	jar-audit-agent
description	基于 jar-analyzer（SQLite + 内置 MCP）的证据驱动 Java 安全审计技能。核心目标：把“结论”变成“可复现证据 + 可度量覆盖率”。

jar-audit-agent（Fail-Closed / Evidence+Coverage）

数据源

DB(SQLite)：Freeze/coverage/entry/graph 输入（必须）
MCP(:20032 SSE)：推荐用于取证（agent 可直接调用 get_code_cfr/get_code_fernflower）

禁止事项（防止"自作聪明"导致调用错误）

禁止ai重新写 Python/正则/临时脚本去解析 curl 输出、拼 SQL、拼 HTTP URL 例如python3 - <<；只能调用已经存在的 <python> scripts/cli.py <subcommand>（<python> 为 init 输出中检测到的命令）。
禁止手写 curl/HTTP 调用：本技能不使用 HTTP 通道；取证只允许走 MCP。
禁止用 grep/自写脚本从 MCP tool-results 抽代码：必须用 evidence --mcp-tool-result-file <path>（优先）或 --code-json-file/--code-text-file。
禁止在错误目录执行 cli：任何 <python> scripts/cli.py ... 之前，必须先进入技能根目录。
禁止"猜路径/临时注入"取证：禁止扫描 /tmp//var/folders、禁止 find 猜 tool-results、禁止 /dev/stdin/here-doc/echo 注入 JSON；一旦出现 "Do you want to proceed?" / "allow reading from tmp/ …" 立即取消。取证只允许两条路径：--mcp-tool-result-file <Claude 提示的绝对路径> 或把 JSON 写入 runs/<run_id>/inputs/ 再 --code-json-file。
遇到工具不支持/候选未覆盖时必须停下：只能输出"需要扩展 skill（新增向量 sink/规则）"，不得写脚本绕过、不得手改 verify_*.jsonl。

环境约束（Environment Constraints）

Python 命令自动检测：
- init 命令会自动检测当前系统可用的 Python 命令（优先 python，其次 python3）。
- init 输出中会显示检测到的 Python 命令，后续所有命令都应使用相同的命令。
- 例如：如果 init 输出 python scripts/cli.py ...，则后续都用 python；如果输出 python3 scripts/cli.py ...，则后续都用 python3。
Windows 上下文：
- 如果看到路径类似 C:\...，说明你在 Windows 环境。
- 引号：路径参数必须用双引号包裹（例如：--db "C:\target path\db"），避免空格/特殊字符导致解析错误。
Unix/Linux/macOS 上下文：
- 如果看到路径类似 /home/... 或 /Users/...，说明你在 Unix 环境。
Session 连续性：
- 当 init 完成时，立即捕获输出中的 Run ID 和 Python 命令。
- 所有后续命令（freeze、reach、next、evidence、submit）必须：
  1. 使用 init 输出中显示的 Python 命令（保持一致）
  2. 完整复制 init 输出中显示的命令（包含 --run <ID> 参数）
- 关键：init 命令会在输出中打印下一条完整命令（用 = 分隔线标记），必须完整复制整行命令，不要只复制部分参数。
- 常见错误：如果看到 "error: the following arguments are required: --run"，说明命令被截断了，需要重新查看 init 输出并完整复制命令。

操作细则（避免卡点）

详细操作门禁（MCP 文件路径/anchor/SAFE-NEEDS_DEEPER 边界/扩展 sink/结束判定/工作目录）见：
- references/TACTICS_LIBRARY.md

MCP 取证（唯一推荐）

MCP 工具名：
- get_code_cfr / get_code_fernflower（返回 JSON，含 fullClassCode）
取证方式：
- 先调用 MCP get_code_*（不要阅读/解析返回内容；输出过大时系统会自动落盘到 tool-results 文件）
- 立刻调用 <python> scripts/cli.py evidence --mcp-tool-result-file <tool-results/xxx.txt>（<python> 为 init 输出中检测到的命令，自动抽 fullClassCode 并完成切片+hash 落盘）
- 注意：evidence 不会自己去找代码；如果没提供 --mcp-tool-result-file/--code-json-file/--code-text-file，工具会 fail-closed 直接报 “missing code input”
- 若 MCP 输出未自动落盘且可手动保存：将 MCP 返回 JSON 保存到 runs/<run_id>/inputs/mcp_<candidate_id>.json，然后用 --code-json-file

铁律

Fact：节点=四元组 (jar_id,class,method,desc)；禁止只用名字 join/追链
Evidence：submit 必须带 snippet_ref 或 chain_trace 或 sql_proof，否则拒绝写入
Report：报告只读 artifacts 编译；--strict 未完成 coverage 直接 fail

状态机（唯一入口）

用 <python> scripts/cli.py（等价 scripts/jaudit.py，<python> 为 init 自动检测的命令）：

init：创建 runs/<id>/session.json inventory.json rules/ graph_cache/ ...
profile --cwd <jar-analyzer>：写 profile 并快照 vulnerability.yaml/dfs-sink.json 到 runs/<id>/rules/
freeze --vector <v> --cwd <jar-analyzer>：圈地+降噪+sink_resolution
graph→reach --vector <v>：可达性/最短链回写 candidates
next --vector <v> --limit 5：生成 batch（默认按向量 batch.size，推荐 5）；NEEDS_DEEPER 优先
evidence --candidate-id <CID> --batch-id <BID> --code-json-file <mcp.json> --auto-fallback：WARN/BAD 自动 expand→method
submit --candidate-id <CID> --batch-id <BID> --status VULN|SAFE|NEEDS_DEEPER：严格模式 VULN 需 GOOD 证据
report [--strict]：只读编译 audit_report.md（含 Remaining TopK 下一批计划）
status：机器可算进度（final=VULN/SAFE；NEEDS_DEEPER 仍算 remaining）

强制运行规程（防“一条就结束”）

你是驾驶员：必须按批次循环，直到满足停止条件才允许 report。

Full Audit（覆盖表 67-84 对应的全套类别）

入口：优先用默认队列（vectors/default_queue.yaml），不要只跑单个向量就下结论。
流程：
- init
- profile --cwd <jar-analyzer>
- graph（每个 run 只需一次）
- 对默认队列里每个 vector 执行：
  - freeze --vector <v> --cwd <jar-analyzer>
  - reach --vector <v>
  - VERIFY LOOP（必须循环，不许只做一条）：
    - next --vector <v> --limit 5
    - 对 batch 里的每个 candidate：evidence ... --auto-fallback → submit ...
    - 继续 next 取下一批，直到：
      - 该向量没有可取候选（next 输出为空/或触发 no candidates），或
      - 你已经把所有候选都提交为 final（VULN/SAFE），或
      - 你把剩余的全部标记为 NEEDS_DEEPER（并在 reasoning 里写明阻断原因：例如入口不可达/证据不可用/缺少环境信息）。
- 全部向量跑完后再 report（必要时 --strict）

什么时候允许生成报告

只有在 至少完成一次完整的 VERIFY LOOP（next→evidence→submit→next…） 后才允许 report。
report 不是“结束”，只是“当前台账快照”；如果存在 Remaining TopK，你必须继续循环。

name	jar-audit-agent
description	基于 jar-analyzer（SQLite + 内置 MCP）的证据驱动 Java 安全审计技能。核心目标：把“结论”变成“可复现证据 + 可度量覆盖率”。

jar-audit-agent（Fail-Closed / Evidence+Coverage）

数据源

DB(SQLite)：Freeze/coverage/entry/graph 输入（必须）
MCP(:20032 SSE)：推荐用于取证（agent 可直接调用 get_code_cfr/get_code_fernflower）

禁止事项（防止"自作聪明"导致调用错误）

禁止ai重新写 Python/正则/临时脚本去解析 curl 输出、拼 SQL、拼 HTTP URL 例如python3 - <<；只能调用已经存在的 <python> scripts/cli.py <subcommand>（<python> 为 init 输出中检测到的命令）。
禁止手写 curl/HTTP 调用：本技能不使用 HTTP 通道；取证只允许走 MCP。
禁止用 grep/自写脚本从 MCP tool-results 抽代码：必须用 evidence --mcp-tool-result-file <path>（优先）或 --code-json-file/--code-text-file。
禁止在错误目录执行 cli：任何 <python> scripts/cli.py ... 之前，必须先进入技能根目录。
禁止"猜路径/临时注入"取证：禁止扫描 /tmp//var/folders、禁止 find 猜 tool-results、禁止 /dev/stdin/here-doc/echo 注入 JSON；一旦出现 "Do you want to proceed?" / "allow reading from tmp/ …" 立即取消。取证只允许两条路径：--mcp-tool-result-file <Claude 提示的绝对路径> 或把 JSON 写入 runs/<run_id>/inputs/ 再 --code-json-file。
遇到工具不支持/候选未覆盖时必须停下：只能输出"需要扩展 skill（新增向量 sink/规则）"，不得写脚本绕过、不得手改 verify_*.jsonl。

环境约束（Environment Constraints）

Python 命令自动检测：
- init 命令会自动检测当前系统可用的 Python 命令（优先 python，其次 python3）。
- init 输出中会显示检测到的 Python 命令，后续所有命令都应使用相同的命令。
- 例如：如果 init 输出 python scripts/cli.py ...，则后续都用 python；如果输出 python3 scripts/cli.py ...，则后续都用 python3。
Windows 上下文：
- 如果看到路径类似 C:\...，说明你在 Windows 环境。
- 引号：路径参数必须用双引号包裹（例如：--db "C:\target path\db"），避免空格/特殊字符导致解析错误。
Unix/Linux/macOS 上下文：
- 如果看到路径类似 /home/... 或 /Users/...，说明你在 Unix 环境。
Session 连续性：
- 当 init 完成时，立即捕获输出中的 Run ID 和 Python 命令。
- 所有后续命令（freeze、reach、next、evidence、submit）必须：
  1. 使用 init 输出中显示的 Python 命令（保持一致）
  2. 完整复制 init 输出中显示的命令（包含 --run <ID> 参数）
- 关键：init 命令会在输出中打印下一条完整命令（用 = 分隔线标记），必须完整复制整行命令，不要只复制部分参数。
- 常见错误：如果看到 "error: the following arguments are required: --run"，说明命令被截断了，需要重新查看 init 输出并完整复制命令。

操作细则（避免卡点）

详细操作门禁（MCP 文件路径/anchor/SAFE-NEEDS_DEEPER 边界/扩展 sink/结束判定/工作目录）见：
- references/TACTICS_LIBRARY.md

MCP 取证（唯一推荐）

MCP 工具名：
- get_code_cfr / get_code_fernflower（返回 JSON，含 fullClassCode）
取证方式：
- 先调用 MCP get_code_*（不要阅读/解析返回内容；输出过大时系统会自动落盘到 tool-results 文件）
- 立刻调用 <python> scripts/cli.py evidence --mcp-tool-result-file <tool-results/xxx.txt>（<python> 为 init 输出中检测到的命令，自动抽 fullClassCode 并完成切片+hash 落盘）
- 注意：evidence 不会自己去找代码；如果没提供 --mcp-tool-result-file/--code-json-file/--code-text-file，工具会 fail-closed 直接报 “missing code input”
- 若 MCP 输出未自动落盘且可手动保存：将 MCP 返回 JSON 保存到 runs/<run_id>/inputs/mcp_<candidate_id>.json，然后用 --code-json-file

铁律

Fact：节点=四元组 (jar_id,class,method,desc)；禁止只用名字 join/追链
Evidence：submit 必须带 snippet_ref 或 chain_trace 或 sql_proof，否则拒绝写入
Report：报告只读 artifacts 编译；--strict 未完成 coverage 直接 fail

状态机（唯一入口）

用 <python> scripts/cli.py（等价 scripts/jaudit.py，<python> 为 init 自动检测的命令）：

init：创建 runs/<id>/session.json inventory.json rules/ graph_cache/ ...
profile --cwd <jar-analyzer>：写 profile 并快照 vulnerability.yaml/dfs-sink.json 到 runs/<id>/rules/
freeze --vector <v> --cwd <jar-analyzer>：圈地+降噪+sink_resolution
graph→reach --vector <v>：可达性/最短链回写 candidates
next --vector <v> --limit 5：生成 batch（默认按向量 batch.size，推荐 5）；NEEDS_DEEPER 优先
evidence --candidate-id <CID> --batch-id <BID> --code-json-file <mcp.json> --auto-fallback：WARN/BAD 自动 expand→method
submit --candidate-id <CID> --batch-id <BID> --status VULN|SAFE|NEEDS_DEEPER：严格模式 VULN 需 GOOD 证据
report [--strict]：只读编译 audit_report.md（含 Remaining TopK 下一批计划）
status：机器可算进度（final=VULN/SAFE；NEEDS_DEEPER 仍算 remaining）

强制运行规程（防“一条就结束”）

你是驾驶员：必须按批次循环，直到满足停止条件才允许 report。

Full Audit（覆盖表 67-84 对应的全套类别）

入口：优先用默认队列（vectors/default_queue.yaml），不要只跑单个向量就下结论。
流程：
- init
- profile --cwd <jar-analyzer>
- graph（每个 run 只需一次）
- 对默认队列里每个 vector 执行：
  - freeze --vector <v> --cwd <jar-analyzer>
  - reach --vector <v>
  - VERIFY LOOP（必须循环，不许只做一条）：
    - next --vector <v> --limit 5
    - 对 batch 里的每个 candidate：evidence ... --auto-fallback → submit ...
    - 继续 next 取下一批，直到：
      - 该向量没有可取候选（next 输出为空/或触发 no candidates），或
      - 你已经把所有候选都提交为 final（VULN/SAFE），或
      - 你把剩余的全部标记为 NEEDS_DEEPER（并在 reasoning 里写明阻断原因：例如入口不可达/证据不可用/缺少环境信息）。
- 全部向量跑完后再 report（必要时 --strict）

什么时候允许生成报告

只有在 至少完成一次完整的 VERIFY LOOP（next→evidence→submit→next…） 后才允许 report。
report 不是“结束”，只是“当前台账快照”；如果存在 Remaining TopK，你必须继续循环。