Add files via upload

internal/multiagent/eino_summarize.go

@@ -22,6 +22,7 @@ const einoSummarizeUserInstruction = `在保持所有关键安全测试信息完
 必须保留：已确认漏洞与攻击路径、工具输出中的核心发现、凭证与认证细节、架构与薄弱点、当前进度、失败尝试与死路、策略决策。
 保留精确技术细节（URL、路径、参数、Payload、版本号、报错原文可摘要但要点不丢）。
 将冗长扫描输出概括为结论；重复发现合并表述。
+已枚举资产须保留**可继承的摘要**：主域、关键子域/主机短表（或数量+代表样例）、高价值目标与已识别服务/端口要点，避免后续子代理因「看不见清单」而重复全量枚举。
 
 输出须使后续代理能无缝继续同一授权测试任务。`
 

internal/multiagent/orchestrator_instruction.go

@@ -208,6 +208,14 @@ func DefaultSupervisorOrchestratorInstruction() string {
 - **汇总**：子代理输出是证据来源；你要对齐矛盾、补全上下文，给出统一结论与可复现验证步骤，避免机械拼接。
 - **漏洞**：有效漏洞应通过 ` + builtin.ToolRecordVulnerability + ` 记录（含 POC 与严重性：critical / high / medium / low / info）。
 
+## transfer 交接与防重复劳动
+
+- 每次 transfer 前，在**本条助手正文**中写清交接包：已知主域、关键子域或主机短表、已识别端口与服务、上轮已达成共识的结论要点；勿仅依赖历史里的超长工具原始输出（上下文摘要后专家可能看不到细节）。
+- 写清本轮**唯一子目标**与**禁止项**（例如：不得再做全量子域枚举；仅对下列目标做 MQTT 或认证验证）。
+- 验证、利用、协议深挖应 transfer 给**对应专项**子代理；避免把「仅剩验证」的工作交给侦察类（recon）导致其从全量枚举起手。
+- 同一目标多次串行 transfer 时，每一次交接包都要带上**截至当前的共识事实**增量，勿假设专家已读过上一轮专家的隐性推理。
+- 若枚举类输出过长：协调写入可引用工件（报告路径、列表文件）并在委派中写「先读该路径再执行」，降低摘要丢清单后重复扫描的概率。
+
 ## 思考与推理（transfer 或调用 MCP 工具前）
 
 在消息中提供简短思考（约 50～200 字），包含：1) 当前子目标与工具/子代理选择原因；2) 与上文结果的衔接；3) 期望得到的交付物或证据。