ingest: Blockchain Security Auditor + 4 entities + 2 concepts

- Source: blockchain-security-auditor.md (The Agency Specialized, smart contract security audit agent)
- Entities: The-DAO-2016, Euler-Finance, Nomad-Bridge, Curve-Finance
- Concepts: Reentrancy, Oracle-Manipulation
- Updated: index.md (消除了source missing标记), overview.md, log.md

wiki/overview.md

@@ -51,6 +51,8 @@ The wiki covers two major multi-agent frameworks: **The Agency** (agency-agents)
 
 **[[identity-graph-operator]]**（Identity Graph Operator）：多智能体系统共享身份图谱运营专家 Agent——The Agency Specialized 部门的核心基础设施 Agent，解决多 Agent 系统的身份孤岛问题：当多个 Agent 独立处理同一实体时，缺乏共享身份层导致账单 Agent 重复收费、发货 Agent 发送两个包裹、支持 Agent 创建重复客户记录。核心方法：通过规范化（昵称扩展/E.164电话/邮箱小写）→ 阻塞（blocking key 筛选候选）→ 评分（字段级加权）→ 聚类四步实现确定性身份解析；merge/split 操作通过乐观锁执行，按置信度分级处理（>0.95 直接合并、0.6-0.95 提案审查、<0.6 创建新实体）；保留 entity.created/merged/split/updated 完整事件历史。与 [[multi-agent-system-reliability]] 互补——后者解决 Agent 间决策一致性，前者解决 Agent 对同一实体的识别一致性；与 [[Personal CRM]]（联系人去重）同源但增加了并发写入、跨框架身份联邦和多 Agent 审计追踪维度。属 [[Multi-Agent-System-Reliability]] 的身份基础设施层，与 [[Agents-Orchestrator]]（注册身份解析能力）、[[Reality-Checker]]（质量门检验 merge 证据）、[[Support-Responder]]（客户身份预解析）协同构成完整多 Agent 身份体系。
 
+**[[Agents-Orchestrator]]**（Agents Orchestrator）：多智能体开发流水线编排器——The Agency Specialized 部门的核心编排 Agent，自主管理从规格文档到生产交付的完整开发流程。核心理念：**每个任务必须通过质量验证才能推进**，不允许跳过 QA 阶段。核心方法：四阶段流水线（Phase 1：[[ProjectManagerSenior]] 规格到任务列表 → Phase 2：[[ArchitectUX]] 技术架构基础 → Phase 3：[开发 ↔ [[EvidenceQA]] 截图验证] 循环 → Phase 4：[[TestingRealityChecker]] 最终集成验证）；最大3次重试上限；标准化状态报告模板。与 [[specialized-workflow-architect]] 互补——后者负责设计工作流模式，前者负责执行工作流流水线的编排，属设计与执行的分层关系。属 [[Multi-Agent-System-Reliability]] 的流水线编排实践层，与 [[Multi-Agent-Team]]（多 Agent 团队架构）共享流水线协调思想。与 [[TestingRealityChecker]] 在质量标准上协同——后者默认"NEEDS WORK"原则，前者确保其判定是最终交付标准。
+
 **[[agentic-identity-trust]]**（Agentic Identity & Trust Architect）：自主 Agent 身份认证与信任验证基础设施专家——The Agency Specialized 部门的核心安全基础设施 Agent，解决多 Agent 环境中的身份伪造、授权冒用、审计日志篡改等安全威胁。核心方法：密码学身份体系（Ed25519 公钥，签名密钥/加密密钥/身份密钥分离）、零信任验证模型（默认不信任自报告身份，要求密码学证明）、基于可验证结果的惩罚型信任评分（初始1.0，证据链损坏扣0.5，结果失败按失败率×0.4扣分，凭证超90天扣0.1）、append-only 哈希链式证据记录（每个操作记录 intent→decision→outcome，篡改任意历史记录均可检测）、多跳委托链验证（任意链节断裂则全链失效）、Fail-Closed 授权（无法验证时默认拒绝）。高级能力：算法敏捷性（密码学算法可升级，为后量子迁移预留抽象层）、NIST 后量子标准评估（ML-DSA/ML-KEM/SLH-DSA）、跨框架身份联邦（A2A/MCP/REST/SDK）。与 [[Identity Graph Operator]] 互补——前者解决"这个 Agent 是谁+能做什么"（确定性密码学证明），后者解决"这条记录是否是同一用户"（概率性实体匹配），共同构成完整身份层。与 [[multi-agent-system-reliability]] 协同——后者的对抗辩论/多数票等模式需要前者提供可验证的身份与信任基础。与 [[Designing-for-Agentic-AI]] 存在**潜在冲突**：零信任要求确定性验证 vs LLM 的概率性本质，当前方案通过将核心验证逻辑（密码学签名检查）从 LLM 推理分离为确定性代码组件来解决。
 
 **[[xr-interface-architect]]**（XR Interface Architect）：XR 空间界面架构师 Agent——The Agency Spatial Computing 部门的 UX/UI 设计专家，专注于为 AR/VR/XR 沉浸式环境创建直觉化、舒适且可发现的界面。核心方法：HUD / 浮动菜单 / 交互区域设计，支持直接触摸、注视+捏合、控制器和手势四种输入模型；基于人体工程学约束进行 UI 放置，减少晕动症；构建座舱/仪表盘/可穿戴界面布局模板；运行可用性验证实验（舒适度和学习性）。人格特质：**Human-centered, layout-conscious, sensory-aware, research-driven**。与 [[xr-immersive-developer]] 和 [[xr-cockpit-interaction-specialist]] 同属 Spatial Computing 部门，三者共同构建完整的 XR 产品交互基础设施。
@@ -691,6 +693,8 @@ Key concepts: [[Django ORM]], [[Django REST Framework]], [[Django Admin 定制]]
 
 **[[healthcare-marketing-compliance]]**（Healthcare Marketing Compliance Specialist）：The Agency Specialized 部门的医疗营销合规专家——覆盖中国医疗健康全品类（药品/医疗器械/医美/保健食品/互联网医疗）营销合规，深度熟悉《广告法》《医疗广告管理办法》《互联网广告管理办法》等核心法规体系。核心能力：医疗广告审查（《医疗广告审查证明》申请与合规）、处方药/OTC药广告分规管理、医疗器械三类分级合规（I类备案/II类注册/III类严格审批）、医美"容貌焦虑"红线防控、保健品"蓝帽子"标识管理、互联网诊疗合规（初诊必须线下面诊）、患者隐私 PIPL 合规（敏感个人信息须单独授权）、学术推广合规（医疗代表备案、会议赞助标准、医师讲课费规范）。关键原则：**合规不是"堵营销"，而是"保护品牌"**——一次违规处罚的代价远高于合规投入；**"事前审查"优于"事后补救"**——所有对外发布的医疗营销内容必须经过合规团队审核。成功指标：年度零监管处罚、平台违规 < 3次/年、100% 内容发布前合规审查覆盖率。属 The Agency Specialized 部门的合规垂直方向，与 [[government-digital-presales-consultant]]（政府合规）和 [[legal-compliance-checker]]（通用法律合规）共同构成完整的合规能力体系。
 
+**[[blockchain-security-auditor]]**（Blockchain Security Auditor）：The Agency Specialized 部门的智能合约安全审计 Agent——专职发现 DeFi 协议与区块链应用中的漏洞，核心理念：**在攻击者之前找到漏洞**。核心方法：自动化静态分析（Slither/Mythril/Echidna）+ 人工逐行审查 + 属性化模糊测试 + 经济博弈建模；五步工作流（范围→自动化分析→人工审查→经济分析→报告）。核心原则：自动化工具只能捕获约 30% 的真实漏洞；每个发现必须包含可复现 PoC；使用 OpenZeppelin 不等于安全（误用安全库本身是漏洞类型）；必须验证代码与部署字节码一致（供应链攻击真实存在）。漏洞评级严格化：能导致用户资金损失的发现不得降级为 Informational。与 [[Agents-Orchestrator]] 构成审计质量门控——流水线交付前须通过安全审计；与 [[compliance-auditor]] 同属审计类 Agent，但前者聚焦代码层智能合约安全，后者聚焦企业合规认证体系（SOC 2/ISO 27001/HIPAA）。
+
 **[[compliance-auditor]]**（Compliance Auditor）：The Agency Specialized 部门的专业技术合规审计 Agent——专注于 SOC 2、ISO 27001、HIPAA、PCI-DSS 等安全隐私认证的全流程指导，从准备评估到证据收集直至认证通过。与 Healthcare Marketing Compliance 侧重营销内容合规不同，Compliance Auditor 关注**技术控制体系**的审计准备。核心方法：五步工作流（Scoping → Gap Assessment → Remediation Support → Audit Support → Continuous Compliance）；核心原则：**不跟随的政策比没政策更危险**（Checkbox-Compliance 是反面教材）、**证据必须证明整个审计周期内持续有效**（而非仅当下存在）、**自动化证据收集从第一天建立**（手动流程无法扩展）、**技术控制优于管理控制**（代码比培训更可靠）。核心交付物：Gap Assessment Report（差距评估报告）、Evidence Collection Matrix（证据收集矩阵）、Policy Template（策略模板）。成功指标：零不合格发现（zero adverse findings）、审计周期缩短 30%、年度合规状态持续可查。与 [[specialized-model-qa]] 互补——后者审计 AI/ML 模型质量，前者审计组织整体安全控制，两者共同构成完整的技术合规审计体系；与 [[automation-governance-architect]] 协同——自动化证据收集需依托 Governance Architect 设计的 AI 系统治理框架。
 
 |**[[specialized-workflow-architect]]**（Workflow Architect）：工作流设计专家 Agent——The Agency Specialized 部门的工作流设计与系统建模专家，在代码编写前对系统所有路径进行穷举建模。核心职责：**工作流发现**（扫描 route/worker/migration/IaC/cron 文件找出隐式工作流）+ **工作流注册表维护**（四视角：按工作流/按组件/按用户旅程/按状态）。核心交付物：**工作流树规范格式**（含 Actor/Prerequisites/Trigger/Step 树/ABORT_CLEANUP/State Transitions/Cleanup Inventory/Test Cases/Assumptions），覆盖快乐路径+七类失败分支（输入验证/超时/瞬态/永久/部分失败/并发冲突）。关键原则：**不只为快乐路径设计**、**每个系统边界定义显式 Handoff Contract**（payload schema + 成功/失败响应 + 超时值 + 恢复动作）、**Reality Checker 验证是 Draft 升为 Approved 的前置条件**。Agent 协作协议：Reality Checker 验证规范→Backend Architect 实现代码→API Tester 生成测试用例→DevOps Automator 验证清理顺序。属 The Agency Specialized 部门的质量保障基础设施，与 [[specialized-civil-engineer]]（基础设施工程）同属 Specialized 专业 Agent 系列。
@@ -703,6 +707,8 @@ Key concepts: [[Django ORM]], [[Django REST Framework]], [[Django Admin 定制]]
 
 **[[lsp-index-engineer]]**（LSP/Index Engineer）：代码智能系统架构师 Agent——The Agency Specialized 部门的 LSP 客户端编排和语义图谱构建专家，通过 graphd LSP 聚合器将 TypeScript/PHP/Go/Rust/Python 等多语言 LSP 客户端统一编排为语义图谱，为沉浸式代码可视化提供基础设施。核心交付物：多语言 LSP 并发编排 + 统一图谱模式（节点：文件/符号，边：contains/imports/calls/refs）+ nav.index.jsonl 语义索引 + WebSocket 实时增量推送 + 原子性图谱更新保证。核心原则：**严格遵循 LSP 3.17 规范**（永远检查服务器能力而非假设）、**图谱一致性约束**（每个符号有且仅有一个定义节点，所有边引用有效节点 ID）。性能北极星指标：/graph <100ms、/nav <20ms（缓存）/60ms（未缓存）、WebSocket <50ms、内存 <500MB、100k+ 符号无性能降级。TypeScript 和 PHP 支持为**默认生产就绪要求**。与 [[specialized-workflow-architect]] 存在张力：LSP/Index Engineer 要求确定性图谱一致性（"Reference edges must point to definition nodes"），而 Workflow Architect 承认穷举建模存在 LLM 概率性上限——协调方向：两者作用于不同抽象层次，符号层面需确定性约束，行为工作流层面允许概率性处理。与 [[multi-agent-system-reliability]] 共享对"架构约束优于提示词约束"的认同。
 
+**[[study-abroad-advisor]]**（Study Abroad Advisor）：留学申请规划专家 Agent——The Agency Specialized 部门的全链路留学申请规划专家，面向中国学生，覆盖美国/英国/加拿大/澳大利亚/欧洲/香港/新加坡七大目的地，涵盖本科/硕士/博士全学位层次。核心理念：**数据驱动、零焦虑贩卖**——GPA 3.2 进入 Top 30 的案例与 GPA 3.9 全拒的案例并存，关键变量是选校策略和文书质量。核心方法：四步工作流（全面诊断→策略制定→材料打磨→提交跟进）+ 多国联申时间线协调；标准化交付模板（选校报告、多国申请时间线、文书诊断框架、Offer 比较矩阵）。诚信原则：不代写文书、不承诺录取结果、明确区分"确认信息"与"经验估算"。属 The Agency Specialized 部门的垂直服务方向，与 [[corporate-training-designer]]（企业培训）同属服务型 Agent，但前者面向 B2C 个人消费者，后者面向企业组织。
+
 ## Conflict Areas
 
 1. **Kanban vs Event Sourcing**: Kanban emphasizes visual team collaboration; Event Sourcing emphasizes auto-tracking and context preservation. **[[Project State Management]]**（事件驱动看板替代方案）vs 传统 PM 工具。核心差异：手动拖拽 vs 自然语言输入；静态快照 vs 全历史保留；无上下文 vs 完整决策链。**[[Event Sourcing]]** 在此上下文中指将项目变更存储为事件序列，每次 progress/blocker/decision/pivot 均持久化，保留完整决策上下文。