自动代码评审

381210 79861 更新时间: 2026-07-09 00:20:19

全称Autonomous Code Review(自动代码评审),是 OpenClaw 内置核心 AI 代码审查智能体技能,专门自动化处理 Git PR/MR 代码评审工作流。

安装
npx skills add https://github.com/openclaw/openclaw --skill autoreview
技能详情 readonly

一、核心定位

替代人工做第一轮代码预审,区别于 ESLint / 静态扫描工具:
  • 静态工具只检查语法、格式;
  • autoreview 靠大模型理解业务逻辑、上下文、代码意图,能发现逻辑漏洞、安全隐患、架构风险;
  • 可对接 GitHub/Gitee/GitLab Webhook,PR 创建 / 更新时全自动触发,无需手动调用。

二、完整审查能力清单

1. 代码正确性与逻辑 Bug

  • 空指针、未判空、数组越界、边界值错误;
  • 异步函数缺少异常捕获、try/catch 缺失;
  • 分支逻辑遗漏、返回值缺失、条件判断错误;
  • 类型不匹配、隐式 any、类型定义缺失。

2. 安全风险扫描(重点)

  • 硬编码密钥、密码、Token 明文;
  • SQL 注入、无校验用户输入、不安全反序列化;
  • 权限越权、敏感日志泄露、文件路径遍历;
  • 危险函数调用、未做鉴权接口。

3. 性能与代码规范

  • 嵌套循环、重复数据库查询、内存泄漏;
  • 项目统一编码风格、命名规范、注释缺失;
  • 冗余代码、重复逻辑、可简化实现;
  • 硬编码常量、魔法数字。

4. 工程配套完整性

  • 新增 / 修改函数无对应单元测试;
  • 公共接口、新增模块缺少文档;
  • 破坏性变更未兼容旧调用方;
  • 配置、环境变量未同步更新。

5. 范围管控(Scope Governor 独有机制)

防止开发者在小 PR 里夹带无关重构、架构改动:
  • 文件变更量突增、行数翻倍无说明直接拦截;
  • 多次修复后问题未收敛,强制拆分 PR;
  • 区分「小迭代」和「架构重构」,避免 PR 失控膨胀。

三、输出形式(可直接提交到代码平台)

  1. 行级精准评论:定位具体文件 + 行号,标注问题;
  2. 结构化汇总报告:按「严重 / 普通 / 优化」分级,附带可直接复制的修复代码片段;
  3. PR 标签 / 状态标记:自动标记 security-riskmissing-testbreaking-change
  4. 支持输出 JSON 结构化报告,对接 CI / 告警系统。

四、多模型支持

内置多评审引擎切换,可指定模型做深度审查:
 
GPT 系列、Claude、Copilot、Cursor、OpenCode、Gemini 等;
 
可配置双模型交叉评审(如 Codex + Claude)提升准确率。

五、和 github 技能的区别

  • github skill:只负责拉取 PR diff、提交评论、操作仓库(纯 Git 工具能力);
  • autoreview核心评审逻辑大脑,负责解析代码、AI 分析、生成评审意见;
     
    两者通常搭配使用:Webhook 触发 → github 拉取变更 → autoreview 执行审查 → github 推送评论到 PR 页面。

六、典型使用场景

  1. 团队流水线自动化:新建 PR 自动预审,拦截低级漏洞再流转人工;
  2. 架构大变更后安全审计;
  3. 开源项目减少维护者评审负担;
  4. 夜间 / 无人值守持续扫描存量代码风险;
  5. 统一团队代码规范,消除不同评审人标准不一致问题。

七、局限性(它做不到的)

  • 无法深度判断产品业务决策、架构顶层设计好坏;
  • 无法识别需要性能压测才能发现的性能瓶颈;
  • 高度主观风格偏好、无统一标准的审美类评审;
  • 缺少业务上下文时,无法识别业务专属逻辑缺陷。

简单一句话总结

autoreview 是 OpenClaw 内置 AI 自动代码评审智能体,自动抓取 PR 代码差异,从逻辑、安全、性能、测试、规范多维度做深度语义审查,自动在代码仓库提交带行号的修复建议,大幅减少人工评审重复工作。