公司开了个仓库,前端团队从 3 人扩到 12 人,我定规矩:所有 PR 至少 1 个 Review 才能合。好的,大家开始互相送"LGTM ⭐"了------一眼都没看,点完就跑。线上挂的时候谁也背锅,群消息全是"不是我"。我一气之下拉了 AI 进来当永久 Code Reviewer,0 薪水 7x24 小时在线,什么混子、什么歪代码,全部兜住。
前言
PR 审查这件事,经历过的都懂:平时没人看,一出事全是"我早说了"。你认真看了 500 行 diff 给出了 3 页修改意见,人家回复一个"done",你都不知道改没改对。
Code Review 的最大矛盾是什么?要快,就水;要细,就慢。AI 时代,你猜怎么着?这活儿最适合交给机器人。不需要情商,直接喷;不需要开会,秒回;不需要记住项目规范,每次都按最新标准来。
今天我来实操:用 AI 在自己的 PR 里自动跑 Code Review,准确到几行代码,还能直接输出"P0 严重"、"P1 重要"、"P2 建议"的结构化报告。准备接受 AI 对你代码的无差别吐槽了吗?
一、AI 当 reviewer 会"胡说八道"吗?
你先不用管它会胡说八道。你只要让它遵循的原则是 "如果这条建议可能不对,就闭嘴"。
打个比方,你让人工 review:"这个 useEffect 漏了清理函数" → 这是对的。"你这里最好改用 useMemo" → 有时是对的,但也可能是在显摆。
AI 也一样,你调校它的方式不是"提示词",而是给它喂规则。
来看看我用了大半年的一套 AI Code Review 命令行工具能"喷"什么:
- security:检测登录态是否在前端 localStorage 明文存密码、有没有 XSS 注入风险、SQL 注入隐患。
- performance :看你有没有在 React 组件里直接写
const style = { margin: 10 }(每次渲染新建对象)。 - accessibility:img 缺 alt、button 缺类型、颜色对比度稀烂。
- code quality :文件超过 500 行给你标黄、catch 了错误只
console.log(等于没 catch)、变量名拼写错误。
这套逻辑用下来,我的体感:AI 发现问题的速度是人类的 20 倍以上,遗漏率比人类 reviewer 低得多,而且从不得罪人------因为它不带"你写得好烂"的情绪,只有纯技术判断。
二、一行命令立刻拥有
我最近一直在用一个叫 ai-review-pipeline 的工具,它的理念很好:"AI 审查 AI 写的代码"------现在是 AI 辅助编程时代了,写得快但容易藏 bug,我正好需要这种【7x24 小时兜底】
这个工具的特点是用 AI 自动 review + 生成测试 + 自动修复。你就无脑给它一个文件或目录,它出来的是评分 + 问题清单 + 修复建议 + 测试用例。
bash
npx ai-review-pipeline --file src/ --full它的流程很清晰:先跑确定性规则检查(比如 ESLint 已有的问题一次性过滤掉,不让 AI 重复废话),然后 AI 带着你配置好的团队规范去读 diff,每发现一个问题就给等级、给修复建议、给代码示例。如果你加 --fix 参数,它甚至会尝试自动修然后重新 review。
你说:"万一自动修复改错了逻辑呢?" 错不了,AI 只敢改那些确定性高的低质量代码(多余空格、未使用的变量、非空断言错误等)。业务逻辑?它先绕开,你合并之前自己把关。
而且支持绝大部分场景(后端 Java, Go, Python, Rust 也能喷):
- 前端代码 review(React / Vue / TSX、CSS、a11y)
- backend-code-review(API 设计、数据库、并发安全)
- 自动修复(默认只修格式、未使用的变量、确定的 lint 类问题,不敢动业务逻辑)
- Multi-LLM(OpenAI、Claude、DeepSeek、Gemini、Ollama 都能跑)
三、调 AI 的"毒舌参数",让它喷得更专业
我用过 Grok、Claude 和 DeepSeek,相对用得最深的是 DeepSeek 和 OpenAI。调教参数也很简单:
bash
# 预设深度更狠一点,让它给你抓出 P0~P3 等级的分类
ai-review config set strictness=high
ai-review config set outputFormat=structuredAI 的审查结果可以直接挂在 GitHub PR 里当 Comment,每条对应具体行数和问题等级。一旦 AI 给了 P0(严重) ,CI 直接 block 合并,你必须解决。
注意:如果你的项目有特别明确的"业务规范",你可以写到
.ai-pipeline.json配置文件里,例如"禁止引入 moment.js"、"禁止在循环中使用 await",AI 会把这部分自动纳入审查范畴,跟内置规则并排跑。
四、这套 AI Code Review 还解决了哪些痛点?
1. 跨语言能力 + 敏感信息排查
检查出来的问题几乎横跨你代码库所有位置:泄漏的 API endpoint、调试信息意外留到生产、图片 dead link 甚至无障碍视觉回归。
它有一个特殊技巧:让多个 LLM 并行审查、互相辩论,然后一个"法官 agent"给出最终裁决。不同模型能逮到不同 bug,通过共识机制滤掉噪音。
2. CI 门禁,上线之前最后一道防线
你可以把 ai-review-pipeline 挂在 GitHub Actions 上,每次 PR 自动执行。如果评分低于阈值(比如 80 分),CI 直接标红,连人都不用到场干预。
某互联网团队落地类似系统后,代码审查周期缩短了 65%,基础性缺陷拦截率提升了 82%。这个数据就是 AI review 正面效果的最好说明。
五、毒舌吐槽大会:AI 喷过的那些人类代码
我随便举几个真实案例,括号里是 AI 原话(节选):
- 案例 1 :
setTimeout(() => { ... }, 0)用来模拟"异步一下"。AI 喷:"用 setTimeout 0 是反模式,你应该用 Promise.resolve().then() 或者 queueMicrotask。------另外,你连错误处理都没有?" - 案例 2 :自己封装了一个
request函数,每个请求都console.log全部响应体数据。AI 喷:"你在生产环境把整个 API 响应结构暴露到控制台,包含了敏感字段。P0 严重。建议只 log trace id。" - 案例 3 :
<img src={userInput} />。AI 喷:"你直接把用户输入当 src?明天你的网站就变成菠菜广告基地。用 DOMPurify 或者干脆用 background-image 托管。"
这套 AI 让我晚上睡得踏实。自从它上线,我再也没有过"线上又崩了,测试也没测出来"的半夜来电。
六、总结:AI 帮你 review 代码不是替代人,而是让你做更高价值的事
- AI 擅长一致性检查、边界检测、安全底网,还能给出可落地的修复示例。人类 reviewer 只需要关注架构、业务语义、用户体验。
- 成本几乎为零,你只需要提供几个免费 API(Ollama、Groq 或各家入门额度)+ 一条
npx命令。 - 未来方向:不只是 review,还开始蔓延到自动修复+测试生成+知识沉淀,AI 在 PR 里已经可以替你完成 80% 的"找茬"工作。
我的建议:今天就拉一个这样的工具进你的私有仓库和团队。领导不批预算?不用批,无门槛,立刻跑起来。等下次有人 PR 又是"空代码 + 俩表情包"来糊弄时,AI 会替你第一时间上去喷它:"你写的代码,想让我怎么 review?请自重点。"