オンチェーンOS セキュリティ

トークンリスク分析、DAppフィッシング検出、トランザクション事前実行セキュリティ、署名安全性確認、および承認管理のための5つのコマンド。

事前チェック

onchainos コマンドを実行する前に、毎回以下のステップを順番に従ってください。定期的なコマンド出力をユーザーに表示しないでください。インストール、更新、または障害処理時のみ簡潔なステータス更新を提供してください。

1. 最新の安定バージョンを解決: GitHub API から最新の安定リリースタグを取得します:

   curl -sSL "https://api.github.com/repos/okx/onchainos-skills/releases/latest"
   

   tag_name フィールド (例: v1.0.5) を LATEST_TAG に抽出します。 API呼び出しが失敗し、onchainos がすでにローカルにインストールされている場合、ステップ2-3をスキップしてステップ4に進みます (ユーザーがオフラインであるか、レート制限されている可能性があります。古いバイナリがブロックするよりは良いです)。onchainos がインストールされていない場合、停止してネットワーク接続を確認するか、https://github.com/okx/onchainos-skills から手動でインストールするようユーザーに指示します。

2. インストールまたは更新: onchainos が見つからない、または ~/.onchainos/last_check (Windows では $env:USERPROFILE\.onchainos\last_check) のキャッシュが12時間以上古い場合:

   • 最新リリースタグからインストーラーとそのチェックサムファイルをダウンロードします:
     • macOS/Linux: curl -sSL "https://raw.githubusercontent.com/okx/onchainos-skills/${LATEST_TAG}/install.sh" -o /tmp/onchainos-install.sh curl -sSL "https://github.com/okx/onchainos-skills/releases/download/${LATEST_TAG}/installer-checksums.txt" -o /tmp/installer-checksums.txt
     • Windows: Invoke-WebRequest -Uri "https://raw.githubusercontent.com/okx/onchainos-skills/${LATEST_TAG}/install.ps1" -OutFile "$env:TEMP\onchainos-install.ps1" Invoke-WebRequest -Uri "https://github.com/okx/onchainos-skills/releases/download/${LATEST_TAG}/installer-checksums.txt" -OutFile "$env:TEMP\installer-checksums.txt"
   • インストーラーのSHA256を installer-checksums.txt に対して検証します。不一致の場合、停止して警告します — インストーラーが改ざんされている可能性があります。
   • 実行: sh /tmp/onchainos-install.sh (または Windows では & "$env:TEMP\onchainos-install.ps1")。 インストーラーはバージョン比較を内部で処理し、必要な場合のみバイナリをダウンロードします。
   • その他の障害の場合、https://github.com/okx/onchainos-skills を指摘します。

3. バイナリ整合性の確認 (セッションごとに1回): onchainos --version を実行してインストール済みバージョン (例: 1.0.5 または 2.0.0-beta.0) を取得します。インストール済みタグを v<version> として構成します。 インストール済みバージョンのタグ (必ずしも LATEST_TAG ではない) の checksums.txt をダウンロードします: curl -sSL "https://github.com/okx/onchainos-skills/releases/download/v<version>/checksums.txt" -o /tmp/onchainos-checksums.txt プラットフォームターゲットを検索し、インストール済みバイナリのSHA256をチェックサムと比較します。 不一致の場合、再インストール (ステップ2) して再確認します。それでも不一致の場合、停止して警告します。

   • プラットフォームターゲット — macOS: arm64->aarch64-apple-darwin, x86_64->x86_64-apple-darwin; Linux: x86_64->x86_64-unknown-linux-gnu, aarch64->aarch64-unknown-linux-gnu, i686->i686-unknown-linux-gnu, armv7l->armv7-unknown-linux-gnueabihf; Windows: AMD64->x86_64-pc-windows-msvc, x86->i686-pc-windows-msvc, ARM64->aarch64-pc-windows-msvc
   • ハッシュコマンド — macOS/Linux: shasum -a 256 ~/.local/bin/onchainos; Windows: (Get-FileHash "$env:USERPROFILE\.local\bin\onchainos.exe" -Algorithm SHA256).Hash.ToLower()

4. バージョンドリフトチェック — 必須、ステップ1-3がスキップされた場合でも実行します。

   • onchainos --version を実行 → CLIバージョン (例: 2.2.9)
   • このファイルのYAML frontmatterから version フィールドを読む (例: 上部の version: "2.0.0")
   • CLIバージョン > スキルバージョンの場合 → 警告: "⚠️ スキルが古い (スキル vX.Y.Z < CLI vA.B.C)。最新の機能と修正を取得するためにスキルを再インストールしてください。"
   • ユーザーのコマンドに続行します。

5. コマンド障害時に自動再インストールしないでください。 エラーを報告し、onchainos --version または https://github.com/okx/onchainos-skills からの手動再インストールを提案します。

6. レート制限エラー。 コマンドがレート制限に達した場合、共有APIキーがスロットルされている可能性があります。OKX Developer Portal でパーソナルキーを作成することをお勧めします。ユーザーが .env ファイルを作成する場合、.env を .gitignore に追加するよう注意してください。

フェイルセーフ原則 (重要)

スキャン完了 — リスク検出

セキュリティスキャンが正常に完了し、action: "block" または action: "warn" を返す場合、以下のリスク処置優先度ルールに従います。エージェントはリスク評決を上書きしてはなりません。

スキャン失敗 — インフラストラクチャエラー

セキュリティスキャンが完了に失敗した (ネットワークエラー、APIタイムアウト、レート制限、不正な形式の応答) 場合、エージェントは以下を行わなければなりません:

• エラーをユーザーに明確に報告します。
• ユーザーに尋ねて スキャンを再試行するか、スキャン結果なしで進行するかを決定させます。
• ユーザーが進行を選択した場合、警告を表示します:

  "⚠️ セキュリティスキャンを完了できませんでした。検証なしで進行しています — このオペレーションを信頼していることを確認してください。"

• 監査可能性のためにスキップされたスキャンをログします。

完了に失敗したセキュリティスキャンは「パス」ではありません。常にユーザーに通知し、明示的な決定を下させます。

リスク処置優先度ルール

tx-scan / sig-scan (トランザクション & 署名スキャン)

block > warn > safe (空)。トップレベルの action フィールドは riskItemDetail からの最高優先度を反映します。

action 値	リスクレベル	エージェントの動作
(空/null)	低リスク	安全に進行
warn	中程度のリスク	リスク詳細を表示し、明示的なユーザー確認を求める
block	高リスク	進行しない、リスク詳細を表示し、キャンセルを推奨する

• リスクスキャン結果はシミュレーション失敗時でも有効です (simulator.revertReason にリバート理由が含まれる可能性があります)。
• warnings フィールドが満たされている場合、スキャンは完了しましたが、一部のデータが不完全な可能性があります。利用可能なリスク情報を提示してください。
• 正常な API応答における空/null の action は「リスクが検出されないこと」を意味します。ただし、API呼び出しが失敗した場合、action の不在は安全を意味しません — フェイルセーフ原則を適用します。

token-scan (トークンリスクラベルスキャン)

token-scan は riskLevel フィールド (CRITICAL, HIGH, MEDIUM, LOW) を返します。これは、すべてのブール値ラベル、税金閾値、および追加シグナル (オフチェーンインテリジェンス、MLモデル) からサーバー側で計算された全体的なトークンリスクを表します。エージェントはこのフィールドを直接使用し、買いと売りオペレーション用に異なるアクションを適用します。

riskLevel	買いアクション	売りアクション
CRITICAL	block — 買いを拒否	warn — リスクを表示、売りを許可
HIGH	warn + 一時停止 — 明示的なはい/いいえが必要	warn — リスクを表示、売りを許可
MEDIUM	warn — 情報通知、続行	warn — 情報通知、続行
LOW	safe — 進行	safe — 進行

完全なラベルカタログ、税金閾値ルール、および表示形式は references/risk-token-detection.md で定義されています。token-scan を実行する前に必ずそのリファレンスをロードしてください。

重要な原則:

• riskLevel は権威的: API はサーバー側で全体的なリスクレベルを返します。エージェントは riskLevel を直接読む — 個々のラベルからのクライアント側の計算は不要です。
• 買いは売りより厳しい: CRITICAL は買いをブロックしますが、売りでのみ警告します (ストップロス出口を許可するため)。
• HIGH 買いは明示的なユーザー確認 (はい/いいえ) を必要とします — 自動で続行しないでください。
• 個々のラベルレベルはユーザーに表示されません — 全体的な riskLevel のみ表示され、トリガーされたラベルはレベルプレフィックスなしでリストされます。
• isChainSupported: false の場合、警告で検出をスキップします。ブロックしないでください。
• API が失敗した場合、警告しますがブロックしないでください。スワップコンテキストでは、token-scan の失敗は時間制約のあるトレードのブロックを避けるために警告で自動で続行します — これは一般的なフェイルセーフのユーザー確認動作を上書きします。

セキュリティコマンドはウォレットログインを必要としません。任意のアドレスで機能します。

チェーン名サポート

CLIは人間が読める形式のチェーン名を受け入れ、自動的に解決します。

チェーン	名前	chainIndex
XLayer	xlayer	196
Ethereum	ethereum または eth	1
Solana	solana または sol	501
BSC	bsc または bnb	56
Polygon	polygon または matic	137
Arbitrum	arbitrum または arb	42161
Base	base	8453
Avalanche	avalanche または avax	43114
Optimism	optimism または op	10
zkSync Era	zksync	324
Linea	linea	59144
Scroll	scroll	534352

アドレス形式に関する注: EVM アドレス (0x...) は Ethereum/BSC/Polygon/Arbitrum/Base などで機能します。Solana アドレス (Base58) と Bitcoin アドレス (UTXO) は異なる形式です。チェーンタイプ間で形式を混在させないでください。

関連ワークフロー

以下のいずれかのコマンドが使用される場合、結果を表示した後に関連ワークフローのヒントを表示します:

コマンド	ワークフロー	ファイル
security token-scan	新規トークンスクリーニング	~/.onchainos/workflows/new-token-screening.md
security token-scan	スマートマネーシグナル	~/.onchainos/workflows/smart-money-signals.md
security token-scan	トークンリサーチ	~/.onchainos/workflows/token-research.md
security token-scan	ウォレットモニタ	~/.onchainos/workflows/wallet-monitor.md

ヒント形式: "さらに包括的な結果を得るために、当社の*[ワークフロー名]** ワークフローも試すことができます。試してみますか?"*

コマンドインデックス

#	コマンド	説明
1	onchainos security token-scan	トークンリスク / ハニーポット検出 (すべてのチェーン)
2	onchainos security dapp-scan	DApp / URL フィッシング検出 (チェーン非依存)
3	onchainos security tx-scan	トランザクション事前実行セキュリティ (EVM + Solana)
4	onchainos security sig-scan	メッセージ署名セキュリティ (EVMのみ)
5	onchainos security approvals	トークン承認 / Permit2 認可クエリ (EVMのみ)

リファレンスロードルール (必須)

ANY セキュリティコマンドを実行する前に、skills/okx-security/references/ から対応するリファレンスドキュメントを読む必要があります。前の知識に頼らないでください — 常に最初にリファレンスをロードします。

ユーザー意図	最初にこのファイルを読む
トークン安全性、ハニーポット、このトークンは安全か、代币安全、蜜罐检测、貔貅盘	references/risk-token-detection.md
DApp/URLフィッシング、このサイトは安全か、钓鱼网站	references/risk-domain-detection.md
トランザクション安全性、tx事前実行、署名安全性、承認安全性、交易安全、签名安全	references/risk-transaction-detection.md
承認、手当、Permit2、取り消し、授权管理、授权查询、风险授权	references/risk-approval-monitoring.md

ワークフローが複数のコマンドを含む場合 (例: token-scan その後 tx-scan)、そのコマンドを実行する前に各リファレンスをロードします。

他のスキルとの統合

セキュリティスキャンは他のウォレット操作の前提条件になることが多いです:

• コントラクトトークンで wallet send を実行する前に: token-scan を実行してトークン安全性を確認します
• 承認コールデータで wallet contract-call を実行する前に: tx-scan を実行してスペンダーをチェックします
• 任意のDApp URLと相互作用する前に: dapp-scan を実行します
• 任意のEIP-712メッセージに署名する前に: sig-scan を実行します

後続の送信/contract-call 操作には okx-agentic-wallet スキルを使用します。