deps: bump the chainreactors group across 1 directory with 2 updates

[dependabot]

Bumps the chainreactors group with 2 updates in the / directory: github.com/chainreactors/ioa and github.com/chainreactors/spray.

Updates github.com/chainreactors/ioa from 0.1.1-0.20260618070057-ec99736bed74 to 0.1.1

Release notes

Sourced from github.com/chainreactors/ioa's releases.

v0.1.1 — 认证默认开启 + 广播消息修复 + 文档重构

本版本聚焦于安全默认值、消息路由修复和文档体系重构。

安全

认证默认开启

Server 启动时默认启用 token 认证。未指定 --access-key 时自动生成并输出包含 access key 的连接 URL：

[*] ioa_server status=starting url=http://<access-key>@127.0.0.1:8765

Client 支持从 URL 中解析 access key 并自动注册：

c, _ := client.NewClient("http://<access-key>@127.0.0.1:8765", "")
c.EnsureRegistered(ctx, "my-agent", "", nil)  // 自动使用 URL 中的 access key

破坏性变更：v0.1.0 中未设置 --access-key 时认证关闭，v0.1.1 中认证始终开启。已有的无认证部署需要更新客户端配置。

消息路由

广播消息修复

修复了 GetMessagesForNode 和 GetInboxMessages 的路由逻辑：

• 广播消息（refs.messages = [] 且 refs.nodes = []）现在对 Space 内所有节点可见
• 发送者自身的消息不再出现在自己的收件箱中
• isBroadcast() 判定：refs.nodes 和 refs.messages 均为空的 Root Message

这修复了 Swarm 模式中 Commander 广播目标后，其他节点通过 ioa_read（无 --all）无法看到广播消息的问题。

文档

文档体系重构

删除 spec.md 和 protocol-design.md，重构为结构化文档：

文件	内容
README.md / README_zh.md	核心设计理念、安装、Claude Code 使用、Swarm 协同、集成
docs/design.md / docs/design_zh.md	完整协议规格与理论基础
docs/cli.md / docs/cli_zh.md	CLI 全部命令和参数
docs/extension.md / docs/extension_zh.md	Skill + 子命令 L2 扩展指南

README 内联精简的设计理念（4 概念 / 3 操作 / Message Graph / L2 涌现），取代单独的设计文档入口。全部文档提供中英双语版本。

... (truncated)

Commits

• See full diff in compare view

Updates github.com/chainreactors/spray from 1.3.1-0.20260622112616-712e89f96158 to 1.3.1

Release notes

Sourced from github.com/chainreactors/spray's releases.

v1.3.1

Changelog

Features

• [feat] 支持在所有请求字段中直接嵌入 mask 表达式（{?...} / {$...}），包括 -u URL、-H Header、--host、--cookie、--path，自动提取 mask 生成字典并在请求构建时替换 {{FUZZ}} 占位符；同时支持显式 -w 搭配 {{FUZZ}} 占位符在任意字段中引用同一字典
• [feat] 新增 --keys 插件，内嵌 156 条 proton found/keys 模板（覆盖 AWS/GCP/Azure/OpenAI/Slack/GitHub/Stripe 等），-a 自动启用
• [feat] 增强 extract 系统：新增 severity 分级、上下文捕获（--extract-context）、word matchers 预过滤，新增 9 条 HaE 规则（lfi-indicator/upload-form/url-as-value 等），模板总数 35→45
• [feat] 新增 ResourceLoader 机制，SDK 场景可控制资源加载行为，避免重复初始化

Bug Fixes

• [fix] 修复 Handler 处理中 wg 计数不完整导致 crawl-only 模式下提前 drain 的问题
• [fix] 修复 invalid baseline 跳过 extract 导致敏感数据（keys/recon）丢失的问题
• [fix] 修复 crawl source baseline 被 BaseCompare 误判为 invalid，导致递归爬虫中断
• [fix] 修复 --crawl 在带 base path 的 SPA URL 中二次拼接路径，导致 /base/base/... 和 recon 漏提取的问题
• [fix] 修复 RunWithCheck 中 OutputCh 在 pool goroutine 结束前被关闭导致 panic

Dependencies & CI

• [deps] 升级 proxyclient 至 v1.1.0，更新 chainreactors 全系依赖
• [ci] 新增 dependabot 自动依赖更新配置

使用示例

# URL 内嵌 mask（等价于 -u http://example.com -w '{$l#3}'）
spray -u 'http://example.com/{$l#3}'
Header 内嵌
spray -u http://example.com -H 'Token: {$d#6}'
Host 内嵌
spray -u http://example.com --host '{$l#3}.internal.com'
Cookie 内嵌
spray -u http://example.com --cookie 'sid={$hex#16}'
显式 -w + {{FUZZ}} 占位符（多字段同时替换）
spray -u 'http://example.com/{{FUZZ}}' -w '{$d#6}' -H 'Token: {{FUZZ}}'
敏感信息检测
spray -u http://example.com --keys
spray -u http://example.com -a  # advance 模式自动启用 keys

Full Changelog: chainreactors/spray@v1.3.0...v1.3.1

Commits

• See full diff in compare view

[dependabot]

Labels

The following labels could not be found: dependencies, go. Please create them before Dependabot can add them to a pull request.

Please fix the above issues or remove invalid values from dependabot.yml.

[dependabot]

Looks like these dependencies are updatable in another way, so this is no longer needed.