代码审查 Skill:建立 AI 辅助 Code Review 流程
一个面向开发者的代码审查 Skill,用于让 AI 按正确性、安全性、性能和可维护性审查代码。
这个 Skill 解决什么问题
AI 代码审查 Skill 可以在提交代码前发现常见问题,帮助开发者建立更稳定的自查流程。它不是替代人工 Review,而是让 AI 先按固定维度检查一遍,减少低级 Bug、安全遗漏和测试缺口。
它适合这些场景:
- 提交 PR 前自查 diff。
- 重构代码后检查是否改变已有行为。
- 上线前审查权限、输入校验和异常分支。
- 为新同事提供 Review 清单和反馈格式。
- 针对某类高风险代码做专项审查,例如支付、登录、文件上传。
输入要求
- 代码 diff:最好提供变更前后差异,而不是只贴最终代码。
- 相关文件上下文:被调用函数、类型定义、路由、配置等。
- 预期行为:这次变更原本要解决什么问题。
- 测试结果:运行了哪些测试,哪些没跑。
- 关注重点:正确性、安全性、性能、可维护性、兼容性等。
- 风险边界:是否涉及支付、权限、用户数据或外部接口。
使用方法
第一步:先说明变更意图
AI 如果不知道代码为什么改,很容易只做表面格式点评。先说明目标和预期行为。
第二步:提供 diff 和上下文
只贴一段函数通常不够。至少补充调用方、数据结构和关键配置。
第三步:要求按严重程度输出
Review 结果必须区分“必须修复”“建议修复”“可优化项”,避免把风格问题和真实 Bug 混在一起。
第四步:要求给出可复现条件
每个问题最好包含触发场景、影响范围和修复方向。没有具体触发条件的问题,应降级为建议。
推荐 Prompt 模板
你是一个代码审查 Skill。请审查以下代码变更。
变更目标:
预期行为:
代码 diff:
相关上下文:
已运行测试:
关注重点:
风险边界:
请按以下要求输出:
1. 只报告真实可能发生的问题,不要泛泛而谈
2. 每个问题说明触发条件、影响和建议修复方式
3. 按严重程度排序
4. 单独列出测试缺口
5. 如果信息不足,请标记需要补充的上下文
输出格式
## 必须修复
## 建议修复
## 可优化项
## 测试建议
## 需要补充的上下文
使用案例一:审查支付回调处理
场景
团队修改了支付回调逻辑,需要在上线前检查是否存在重复处理、签名校验和状态流转问题。
输入示例
变更目标:重构支付回调处理函数。
预期行为:收到支付平台回调后校验签名,更新订单状态,并触发发货。
关注重点:幂等、签名校验、异常重试、日志。
代码:
[粘贴 diff]
预期输出方向
AI 应先理解回调流程,再按严重程度输出问题。例如:是否先校验签名再处理订单、是否用交易号做幂等、重复回调是否会重复发货、失败重试是否会造成状态错乱。
复核清单
- 问题是否能定位到具体代码?
- 是否有真实触发条件?
- 修复建议是否影响现有业务?
- 是否需要补充单元测试或集成测试?
使用案例二:审查权限变更
场景
后台管理系统新增“编辑内容”权限,前端按钮和后端接口都做了调整。你需要检查是否存在越权访问。
输入示例
变更目标:新增内容编辑权限
预期行为:只有 admin 和 editor 可以编辑文章,viewer 只能查看
关注重点:前后端权限一致性、接口鉴权、错误提示
代码 diff:[粘贴相关 diff]
使用建议
权限类 Review 不能只看前端按钮是否隐藏。应要求 AI 同时检查后端接口、路由中间件、角色枚举、默认权限和测试覆盖。
常见审查维度
- 正确性:边界条件、空值、状态流转、并发、幂等。
- 安全性:权限、输入校验、敏感信息、文件上传、外部回调。
- 性能:重复查询、循环调用、缓存失效、大数据量场景。
- 可维护性:命名、职责拆分、重复逻辑、隐式依赖。
- 测试缺口:正常路径、异常路径、权限路径、回归用例。
注意事项
不要把 AI 审查当作唯一质量门禁。复杂业务逻辑仍需要熟悉上下文的工程师复核。AI 提出的每个问题都应验证是否能在真实输入和真实状态下触发。
延伸阅读
相关文章
资料总结 Skill:把长文资料转成摘要、观点和行动建议
一个用于资料总结的 AI Skill,适合整理文章、报告、会议材料和调研笔记。
邮件写作 Skill:生成清晰、礼貌、行动导向的工作邮件
一个用于工作邮件写作的 AI Skill,帮助明确沟通目标、收件人、语气和行动要求。
设计评审 Skill:用 AI 检查页面目标、层级和可用性
一个可复用的 AI 设计评审 Skill,帮助产品、设计和运营团队从目标、信息层级、CTA、文案、交互状态和可访问性角度检查页面。