📦 Code Review Assistant — 代码审查助手

代码审查助手 对 PR 或本地变更进行深度 AI 驱动的代码审查。分析 diff，发现 bug、安全漏洞、性能问题、可维护性缺陷及风格违规。提供具体、可操作的反馈，而非泛泛建议。

用法 “Review the current PR” “Review the changes on this branch vs main” “Review these specific files for security issues” “Do a deep review of the authentication changes”

工作原理

• 收集变更

获取 diff 与上下文： # PR 审查 gh pr diff --color=never # 分支审查 git diff main...HEAD # 已暂存变更 git diff --cached

同时收集：

• 文件历史（近期改动 = 更高风险）
• 变更文件的测试覆盖率
• 相关未关闭 issue 或历史审查记录

• 多轮分析

每轮聚焦不同维度： Pass 1 — 正确性：逻辑错误、边界情况、异常处理、状态管理、并发 bug Pass 2 — 安全：注入漏洞、认证/授权缺失、敏感数据泄露、弱加密、硬编码密钥 Pass 3 — 性能：N+1 查询、缓存缺失、热路径分配、阻塞调用、无界查询、低效算法 Pass 4 — 可维护性：复杂函数、命名不清、死代码、重复逻辑、类型模糊、模块耦合 Pass 5 — 测试：逻辑变更无测试、测试质量、边界用例缺失、 flaky 测试、错误路径覆盖

• 严重度分级

🔴 Must Fix：bug、安全问题、数据丢失、崩溃 🟡 Should Fix：性能、可维护性、缺测试 🟢 Consider：风格、小优化、建议 💡 Nitpick：可选改进、个人偏好

• 可行动反馈

每条评论包含：

• What：具体问题
• Where：文件与行号
• Why：为何是问题
• How：带代码的修复建议

• 总结

整体评估：

• 风险等级（可合并 / 需修改 / 需重构）
• 最重要的 3 条发现
• 正向观察（好模式、改进点）
• 非阻塞后续项

输出示例

Code Review Summary

Risk Level: 🟡 Needs Changes（2 处必须修复，4 处建议修复） Files Reviewed: 12 文件，+342/-89 行

🔴 Must Fix

• SQL 注入 in user search — src/api/users.ts:47

查询直接拼接用户输入：

   // 当前（脆弱）
   db.query(SELECT  FROM users WHERE name LIKE '%${query}%')
   // 修复：使用参数化查询
   db.query('SELECT  FROM users WHERE name LIKE $1', [%${query}%])
   

• 余额更新竞态条件 — src/services/wallet.ts:112-118

先读后写无事务，并发请求可互相覆盖。 修复：用 SELECT FOR UPDATE 包裹事务。

🟡 Should Fix

• N+1 查询 in order listing — src/api/orders.ts:23
• 缺错误处理 — src/services/payment.ts:67

……

👍 Good Stuff

• 新服务层职责清晰
• 注册接口输入校验全面
• 善用 TypeScript 区分联合类型

📋 Follow-up（非阻塞）

• 考虑给搜索接口加限流
• formatDate 三处重复，可提取公共 util

配置 审查深度随 PR 大小自适应：

• Small（<100 行）：逐行深度审查
• Medium（100-500 行）：聚焦高风险区
• Large（500+ 行）：架构审查 + 关键路径抽检，建议拆分 PR

集成 支持：

• GitHub PRs（gh CLI）
• GitLab MRs（glab CLI）
• 本地 git 分支（git diff）
• Patch 文件（git apply --stat）