一、核心定位
替代人工做第一轮代码预审,区别于 ESLint / 静态扫描工具:
- 静态工具只检查语法、格式;
- autoreview 靠大模型理解业务逻辑、上下文、代码意图,能发现逻辑漏洞、安全隐患、架构风险;
- 可对接 GitHub/Gitee/GitLab Webhook,PR 创建 / 更新时全自动触发,无需手动调用。
二、完整审查能力清单
1. 代码正确性与逻辑 Bug
- 空指针、未判空、数组越界、边界值错误;
- 异步函数缺少异常捕获、try/catch 缺失;
- 分支逻辑遗漏、返回值缺失、条件判断错误;
- 类型不匹配、隐式 any、类型定义缺失。
2. 安全风险扫描(重点)
- 硬编码密钥、密码、Token 明文;
- SQL 注入、无校验用户输入、不安全反序列化;
- 权限越权、敏感日志泄露、文件路径遍历;
- 危险函数调用、未做鉴权接口。
3. 性能与代码规范
- 嵌套循环、重复数据库查询、内存泄漏;
- 项目统一编码风格、命名规范、注释缺失;
- 冗余代码、重复逻辑、可简化实现;
- 硬编码常量、魔法数字。
4. 工程配套完整性
- 新增 / 修改函数无对应单元测试;
- 公共接口、新增模块缺少文档;
- 破坏性变更未兼容旧调用方;
- 配置、环境变量未同步更新。
5. 范围管控(Scope Governor 独有机制)
防止开发者在小 PR 里夹带无关重构、架构改动:
- 文件变更量突增、行数翻倍无说明直接拦截;
- 多次修复后问题未收敛,强制拆分 PR;
- 区分「小迭代」和「架构重构」,避免 PR 失控膨胀。
三、输出形式(可直接提交到代码平台)
- 行级精准评论:定位具体文件 + 行号,标注问题;
- 结构化汇总报告:按「严重 / 普通 / 优化」分级,附带可直接复制的修复代码片段;
- PR 标签 / 状态标记:自动标记
security-risk、missing-test、breaking-change; - 支持输出 JSON 结构化报告,对接 CI / 告警系统。
四、多模型支持
内置多评审引擎切换,可指定模型做深度审查:
GPT 系列、Claude、Copilot、Cursor、OpenCode、Gemini 等;
可配置双模型交叉评审(如 Codex + Claude)提升准确率。
五、和 github 技能的区别
githubskill:只负责拉取 PR diff、提交评论、操作仓库(纯 Git 工具能力);autoreview:核心评审逻辑大脑,负责解析代码、AI 分析、生成评审意见;两者通常搭配使用:Webhook 触发 → github 拉取变更 → autoreview 执行审查 → github 推送评论到 PR 页面。
六、典型使用场景
- 团队流水线自动化:新建 PR 自动预审,拦截低级漏洞再流转人工;
- 架构大变更后安全审计;
- 开源项目减少维护者评审负担;
- 夜间 / 无人值守持续扫描存量代码风险;
- 统一团队代码规范,消除不同评审人标准不一致问题。
七、局限性(它做不到的)
- 无法深度判断产品业务决策、架构顶层设计好坏;
- 无法识别需要性能压测才能发现的性能瓶颈;
- 高度主观风格偏好、无统一标准的审美类评审;
- 缺少业务上下文时,无法识别业务专属逻辑缺陷。
简单一句话总结
autoreview 是 OpenClaw 内置 AI 自动代码评审智能体,自动抓取 PR 代码差异,从逻辑、安全、性能、测试、规范多维度做深度语义审查,自动在代码仓库提交带行号的修复建议,大幅减少人工评审重复工作。