spec-to-code-compliance

Tổng quan về skill spec-to-code-compliance

spec-to-code-compliance là một skill kiểm tra có trọng tâm, dùng để audit xem code có khớp chính xác với một đặc tả viết ra hay không. Skill này phù hợp nhất với các team blockchain và protocol cần một bản rà soát compliance có bằng chứng, chứ không phải code review tổng quát. Hãy dùng skill spec-to-code-compliance khi bạn có cả đặc tả lẫn phần triển khai, và cần trả lời một câu hỏi khó: cái gì đã được implement, cái gì còn thiếu, và cái gì lệch đi về hành vi, invariant, hoặc cam kết an toàn.

Skill này dùng để làm gì

Skill này được thiết kế cho phân tích spec-to-code compliance, đặc biệt trong smart contract, logic protocol, và các codebase có mức độ rủi ro cao kèm tài liệu chính thức. Nó giúp phát hiện khoảng trống giữa whitepaper, design doc và code, bao gồm workflow bị bỏ sót, giả định bị thay đổi, hành vi không được ghi nhận, và cơ chế bảo vệ an toàn chưa đầy đủ.

Ai phù hợp và dùng trong tình huống nào

Đây là lựa chọn rất phù hợp cho auditor, protocol engineer, security reviewer, và technical PM đang chuẩn bị cho Compliance Review. Nếu bạn cần đối chiếu hành vi dự kiến với code đang chạy trước khi launch, skill này cho bạn một quy trình chặt chẽ hơn nhiều so với một prompt thông thường.

Điểm khác biệt chính

Giá trị lớn nhất của spec-to-code-compliance là tính truy vết: nó kéo phân tích về phía việc trích xuất đặc tả một cách rõ ràng, đối chiếu bằng chứng ở cấp code, và kiểm tra mức độ khớp. Nhờ vậy, nó đáng tin cậy hơn nhiều so với việc yêu cầu AI “review code” trong một lượt duy nhất.

Cách sử dụng skill spec-to-code-compliance

Cài đặt và kích hoạt

Dùng đường dẫn cài đặt từ repo của skill, rồi chỉ mô hình vào đúng codebase và bộ tài liệu đặc tả cần kiểm tra. Một lần cài đặt spec-to-code-compliance điển hình bắt đầu từ plugin path trong trailofbits/skills, sau đó chạy skill trong một repo có cả tài liệu lẫn source.

Cung cấp đúng đầu vào cho skill

Để dùng spec-to-code-compliance hiệu quả, hãy cung cấp:

• nguồn đặc tả hoặc các nguồn đặc tả
• codebase hoặc commit mục tiêu
• phạm vi chính xác, chẳng hạn một contract, một module, hoặc một luồng protocol
• mọi ngoại lệ đã biết, giả định, hoặc tiêu chí review

Một yêu cầu yếu là: “Kiểm tra xem cái này có compliant không.”
Một yêu cầu mạnh hơn là: “So sánh docs/whitepaper.md và contracts/Router.sol về slippage khi swap, xử lý deadline, và authorization, đồng thời đánh dấu mọi hành vi không được đặc tả đề cập.”

Đọc các file này trước

Bắt đầu với SKILL.md, rồi đọc resources/OUTPUT_REQUIREMENTS.md, resources/COMPLETENESS_CHECKLIST.md, và resources/IR_EXAMPLES.md. Những file này cho bạn biết skill kỳ vọng trích xuất gì, mức độ đầy đủ được đánh giá ra sao, và một bản ghi compliance tốt trông như thế nào.

Quy trình giúp kết quả tốt hơn

Một hướng dẫn spec-to-code-compliance thực tế là:

1. xác định các phần của spec có yêu cầu, invariant, và workflow
2. map từng yêu cầu tới đúng hàm, modifier, và thay đổi state trong code
3. ghi lại mọi mismatch, nhánh bị thiếu, và giả định không được ghi rõ
4. tóm tắt theo mức độ nghiêm trọng và độ tin cậy, chứ không đếm số lượng phát hiện

Cải thiện chất lượng lớn nhất đến từ việc nêu thật cụ thể hành vi đang được xem xét. Nếu bạn thu hẹp phạm vi còn một luồng, một contract, hoặc một bộ invariant, đầu ra thường sắc nét hơn và dễ kiểm chứng hơn.

Câu hỏi thường gặp về spec-to-code-compliance skill

spec-to-code-compliance chỉ dành cho code blockchain à?

Không, nhưng nó được tối ưu rất rõ cho tài liệu blockchain và protocol. Nếu dự án của bạn không có đặc tả chính thức, whitepaper, hoặc design doc, thì skill này thường không phải lựa chọn phù hợp.

Nó khác gì một prompt code review bình thường?

Một prompt thông thường có thể tìm bug hoặc tóm tắt code. spec-to-code-compliance dùng cho compliance review: nó kiểm tra xem implementation có khớp với ý định đã được tài liệu hóa hay không, bao gồm cả các phần bị bỏ sót và các cam kết không khớp.

Người mới có cần kinh nghiệm audit để dùng không?

Không. Người mới vẫn có thể dùng skill spec-to-code-compliance nếu họ cung cấp rõ spec và code. Yêu cầu chính không phải là chuyên môn sâu, mà là chọn đúng nguồn và đặt câu hỏi có phạm vi giới hạn.

Khi nào thì không nên dùng?

Đừng dùng nó khi bạn chỉ muốn viết tài liệu, săn lỗ hổng rộng, hoặc hiểu tổng quát một codebase lạ. Nếu không có đặc tả mang tính thẩm quyền, kết quả phân tích sẽ kém ý nghĩa hơn và mức độ phù hợp cũng yếu đi.

Cách cải thiện skill spec-to-code-compliance

Tập trung vào các claim của spec quan trọng nhất

Để có kết quả spec-to-code-compliance tốt hơn, hãy ưu tiên các yêu cầu có tác động đến người dùng, bảo mật, hoặc kinh tế: invariant, vai trò, ranh giới tin cậy, chuyển trạng thái, và ngôn ngữ MUST/NEVER rõ ràng. Đây là những claim có khả năng ảnh hưởng trực tiếp đến quyết định trong Compliance Review.

Cung cấp ranh giới bằng chứng cụ thể

Hãy đưa cho mô hình tên tài liệu chính xác, đường dẫn code, và commit hoặc tag nếu có thể. Nếu bạn biết phần review nên bỏ qua test helper, admin script, hoặc module không liên quan, hãy nói rõ ngay từ đầu. Ranh giới rõ ràng sẽ giảm báo cáo gap sai và giữ cho phân tích bám đúng bề mặt triển khai cần xem.

Cảnh giác với các kiểu lỗi thường gặp

Những điểm yếu thường gặp là các claim spec ngầm định, các chuyển trạng thái bị che khuất, và các phần khớp một phần nhưng nhìn qua thì có vẻ đúng. Nếu lượt đầu chưa kết luận được, hãy yêu cầu một bảng đối chiếu chặt hơn, map từng claim của spec tới một vị trí trong code hoặc ghi nó là chưa được triển khai.

Lặp lại với một lượt sau sắc hơn

Nếu đầu ra ban đầu còn quá rộng, hãy tinh chỉnh prompt bằng một trong các cách sau:

• “Chỉ kiểm tra authorization và upgrade paths”
• “Đối chiếu phần tính phí với công thức trong spec”
• “Liệt kê mọi claim của spec chưa có đối ứng trong code”

Kiểu follow-up này biến spec-to-code-compliance từ một công cụ tóm tắt thành một workflow xác minh chính xác.