0x01 工具介绍小程序全自动安全审计 Skill依托多智能体全流程审计框架可一站式搞定敏感信息、接口、加密、漏洞全自动分析。采用脚本 LLM 双层架构兼顾规则覆盖率与智能分析准确率支持从小程序反编译、资产扫描、并行智能分析到标准化安全报告全链路自动化。纯静态无网络请求合规无攻击行为全面覆盖敏感信息泄露、API 接口提取、加密算法研判、多维漏洞检测四大核心场景开箱即用轻松完成小程序专业安全审计工作。注意现在只对常读和星标的才展示大图推送建议大家把渗透安全HackTwo设为星标⭐️否则可能就看不到了啦下载地址在末尾 #渗透安全HackTwo0x02 功能介绍✨核心特点 7 Agent 协作 — 反编译、敏感信息扫描、接口提取、加密分析、漏洞挖掘、自定义分析、报告生成各司其职⚡ 脚本 LLM 双层架构 — Python 正则保证 100% 规则覆盖率LLM 做智能分析误报过滤、风险评级、上下文关联 Phase 2 四路并行 — 4 个分析 Agent 同时启动大幅缩短审计耗时 用户需求前置解析 — 支持指定重点接口、参数、安全关注点Phase 2.5 自动触发深度定向分析 外部工具集成 — 可接收 Burp Suite 等抓包工具信息进行关联分析 双层报告输出 — 主报告聚焦关键发现 独立文档保留全量数据兼顾可读性与完整性️ 纯静态分析 — 全程零网络请求不生成攻击代码安全合规 覆盖维度️ 架构用户输入: 帮我分析这个小程序 {target_dir}│ ▼ ┌─────────────────────────────────────┐ │ Phase 0: 需求解析 │ 编排器自身完成 │ 提取路径 → 创建输出目录 → 解析需求 │ 不启动子 Agent └──────────────┬──────────────────────┘ │ ▼ ┌─────────────────────────────────────┐ │ Phase 1: 反编译 │ agent-01 │ 扫描子目录 → unveilr 反编译 │ → file_inventory.json │ → 生成文件资产清单 │ └──────────────┬──────────────────────┘ │ ▼ ┌─────────────────────────────────────┐ │ Phase 1.5: 脚本预扫描 │ 编排器执行 Python 脚本 │ endpoint_extractor.py → 接口提取 │ → raw_endpoints.json │ secret_scanner.py → 敏感信息扫描 │ → raw_secrets.json └──────────────┬──────────────────────┘ │ ▼ ┌───────────────────────────────────────────────────────────────┐ │ Phase 2: 并行分析4 Agent 同时启动 │ │ │ │ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ │ │SecretScanner │ │EndpointMiner │ │CryptoAnalyzer│ │ VulnAnalyzer │ │ │ │ agent-02 │ │ agent-03 │ │ agent-04 │ │ agent-05 │ │ │ │ │ │ │ │ │ │ │ │ │ │ 脚本结果 │ │ 脚本结果 │ │ 纯LLM分析 │ │ 纯LLM分析 │ │ │ │ LLM分析 │ │ LLM分析 │ │ │ │ │ │ │ └──────┬───────┘ └──────┬───────┘ └──────┬───────┘ └──────┬───────┘ │ │ │ │ │ │ │ │ 等待全部 4 个 Agent 完成 │ │ └─────────┼────────────────┼────────────────┼────────────────┼─────────┘ │ │ │ │ ▼ ▼ ▼ ▼ ┌───────────────────────────────────────────────────────────────┐ │ Phase 2.5: 自定义需求分析条件触发 agent-07 │ │ 仅当用户指定了特定接口/参数时触发 │ │ → custom_analysis.json │ └──────────────┬────────────────────────────────────────────────┘ │ ▼ ┌───────────────────────────────────────────────────────────────┐ │ Phase 3: 报告生成 agent-06 │ │ 汇总所有分析结果 → 生成主报告 独立文档 结构化数据 │ │ → security_report.md / api_endpoints_full.md / secrets_full.md│ │ → findings.json / domains.txt / endpoints_fuzz.txt │ └───────────────────────────────────────────────────────────────┘0x03 更新介绍优化纯静态分析 — 禁止发送任何网络请求禁止验证密钥/Token 有效性所有分析仅基于本地文件新增不生成攻击代码 — 不生成 PoC 漏洞利用脚本或自动化攻击工具仅供安全审计和防御参考降低最小权限 — 仅读取源码目录仅在输出目录写入分析结果不修改不删除原有文件新增数据不外传 — 分析数据全程在本地处理不上传到任何第三方服务0x04 使用介绍运行环境依赖说明Claude CodeClaude Code CLI 环境支持 Agent Teams / SkillPython 3.x系统已安装仅使用标准库无需 pip installWindows当前版本依赖 Windows 平台unveilr.exe安装将本项目克隆或下载到本地放入 Claude Code 的 Skill 目录即可git clone https://github.com/sssmmmwww/wxmini-security-audit.git克隆后需自行获取unveilr.exe微信小程序反编译工具并放入tools/目录tools/└── unveilr.exe ← 需自行放置unveilr为第三方开源工具可从 unveilr 项目 获取。运行在 Claude Code 中直接向 AI 发出指令帮我分析这个小程序 D:\wechat\miniapp\wxapkg_files支持多种触发方式# 基础审计审计这个小程序 C:\miniprogram\target# 指定重点关注自动触发 Phase 2.5 深度分析帮我分析这个小程序 D:\wxapp重点看一下 /api/user/login 接口# 携带 Burp 抓包信息分析这个小程序 D:\wxappBurp 抓包发现 /api/pay 接口的 amount 参数可以篡改# 指定安全关注点分析这个小程序 D:\wxapp关注支付安全和越权风险下载在《渗透安全HackTwo》回复20260508获取下载