token-integration-analyzer
作者 trailofbitstoken-integration-analyzer 是一项面向 token 实现与 token 集成的安全审查技能。它会检查 ERC20/ERC721 一致性、异常 token 模式、所有者权限、稀缺性,以及非标准 token 处理,适用于 Security Audit 工作流。使用 token-integration-analyzer 指南,可以减少猜测,更系统地评估兼容性风险。
这项技能得分 83/100,说明它很适合作为目录收录项:它为 agent 提供了清晰的触发条件、扎实的 token 分析流程,以及可复用的报告格式,相比泛泛的提示词更能减少猜测。对目录用户来说,如果需要结构化的 ERC20/ERC721 集成审查或异常 token 风险分析,它值得安装;但也要预期其中一部分工作流细节需要根据文档推断,而不是由脚本自动完成。
- 覆盖范围明确且实用:直接面向 token 实现、token 集成、链上稀缺性分析,以及 20+ 种异常 token 模式。
- 触发性和结构都不错:frontmatter 描述与多阶段工作流能帮助 agent 快速判断何时启用该技能。
- 产出物有用:评估分类和报告模板为审查提供了具体的输出结构。
- 没有提供安装命令或辅助脚本,因此执行仍然依赖 agent 按照书面流程来完成。
- 仓库以文档为主,看起来主要依赖人工分析步骤,在复杂项目中可能会限制速度和一致性。
token-integration-analyzer 技能概览
token-integration-analyzer 的作用
token-integration-analyzer 是一项专注于 token 代码和面向 token 协议的安全审查技能。它可以帮助你判断一个 token 是否真的符合 ERC20 或 ERC721 的行为预期,协议能否安全处理奇怪的或非标准 token,以及 owner 权限、稀缺性或升级路径是否引入了隐藏风险。
适合谁使用
如果你在审查 token 上线、DeFi 集成、vault、bridge、marketplace,或任何接收第三方 token 的系统,就应该使用 token-integration-analyzer skill。它尤其适合做 token-integration-analyzer for Security Audit 工作流的团队,因为在这类场景里,token 行为本身就是威胁模型的一部分,而不只是应用逻辑。
它为什么不同
这个技能不是一个通用的“帮我分析 Solidity 仓库”提示词。它围绕 token 集成检查清单、奇怪 token 模式覆盖和上下文发现来设计。这意味着当你需要的是关于兼容性和边缘情况的决策级输出,而不只是表面上的标准合规检查时,token-integration-analyzer 的安装价值最高。
如何使用 token-integration-analyzer skill
安装并找到正确的文件
进行 token-integration-analyzer install 时,先使用 trailofbits/skills 中该技能的路径,然后从 SKILL.md 开始。接着阅读 resources/ASSESSMENT_CATEGORIES.md 了解检查类别,再看 resources/REPORT_TEMPLATES.md 了解期望的输出格式。这两个文件是最快弄清楚该技能会要求哪些证据的方式。
把模糊目标转成可用提示词
好的 token-integration-analyzer usage 要从明确目标开始:
- “审查这个 ERC20 是否存在非标准 transfer 行为和 owner 控制权限。”
- “评估我们的借贷协议是否能安全处理 fee-on-transfer 和 rebasing token。”
- “检查这个 NFT 合约的 ERC721 合规性、approval 处理,以及 mint/burn 边缘情况。”
同时说明链、合约类型、部署阶段,以及任何已知的特殊行为。如果你知道这个 token 是可升级的、rebasing 的、fee-on-transfer 的、可暂停的,或基于 proxy 的,请一开始就说明。这些事实对分析路径的影响,往往比泛泛的安全背景更大。
推荐的最佳结果工作流
- 先说明你是在分析 token 实现还是 token 集成。
- 提供相关源文件、已部署地址或仓库路径。
- 要求输出清单式审查,再附一段简洁的风险总结。
- 提醒重点关注税费、rebasing、黑名单、flash minting 或自定义 approval 等异常行为。
这个技能最适合你要求它把行为映射到具体风险,而不是只让它“找问题”。
先读什么
先看 SKILL.md,然后用上面提到的两个资源文件理解类别和报告格式。如果仓库里有 Solidity,正式全面审查前,先检查 token 合约、集成点、继承树,以及任何 proxy 或 admin 模块。对于 token-integration-analyzer guide 类工作流,这个顺序能减少虚假安全感,也让输出更容易验证。
token-integration-analyzer skill 常见问题
这只适用于 token 合约吗?
不是。token-integration-analyzer skill 同时覆盖 token 实现,以及与 token 集成的协议。这个区别很重要:一个完全合规的 token,如果协议错误地假设其 ERC 行为标准化,也可能对 vault、AMM 或 bridge 造成危险。
我需要是 Solidity 专家吗?
不需要,但输入越好,结果越准。新手只要能说明合约名、token 类型和预期行为,也可以使用。如果你连这个 token 的特殊机制都无法用一句话说清楚,技能可能就会漏掉你真正关心的关键风险。
为什么不直接用普通提示词?
普通提示词经常会漏掉奇怪 token 的边缘情况、owner 权限的影响,以及“标准合规”和“安全集成”之间的区别。相比一次性回答,这个技能在你想要结构化分析和可重复审查路径时更有用。
什么时候不该用它?
如果你的任务与 token 行为无关,或者你只需要高层产品摘要,就可以跳过它。另一种不适合的情况是你无法提供足够的源代码上下文或部署细节,没法区分标准 ERC 行为和自定义逻辑。
如何改进 token-integration-analyzer skill
给技能准确的 token 行为信息
提升质量最明显的一步,就是把非标准机制明确说出来。说明 token 是否有手续费、rebases、黑名单规则、mint 控制、可暂停、hooks、wrapper 逻辑或 proxy 升级。对 token-integration-analyzer 来说,这些信息比笼统的“审计这个 token”更有可操作性。
直接要求你需要的输出
如果你需要安全审查,就要求清单加风险排序。如果你需要集成指导,就要求列出预期失败模式和不支持的 token 类别。如果你需要上线准备度判断,就要求给出是/否建议,并附上最关键的阻塞项。
注意常见失败模式
最常见的错误是对环境描述不够具体:token 标准、链、proxy 模式和集成面都没说清。另一个错误是只问“bug”,但真正的问题其实是兼容性。一个 token 即使通过了基础 ERC 检查,也可能在下游系统里破坏记账、提现或定价逻辑。
用具体的后续信息迭代
如果第一轮结果不完整,就补充看起来有风险的精确函数、文件或地址,然后带着这些证据重新运行 token-integration-analyzer usage 提示词。高质量的后续输入通常像这样:“重点看 Token.sol里的transfer、fee 豁免和 admin mint 路径;协议假设 transferFrom 一定返回 true 且不会 revert。”