使用AI进行代码审查

优质文章学习记录

11 min read

ai-code-review

在日常开发中,我们经常会遇到一些问题,比如代码质量问题、安全问题等。如果我们每次都手动去检查,不仅效率低下,而且容易出错。

所以我们可以利用 AI 来帮助我们检查代码,这样可以提高我们的效率

那么,如何利用 AI 来检查代码呢?
在这里我先厚着脸皮要下star吧。一款基于AI进行代码审核的插件。插件地址,希望大家能支持下。

1. 使用 JS 脚本

这种方法其实就是写一个简单的脚本,通过调用 OpenAI 的 API,将代码提交给 AI 进行评审。
这里我们需要使用 Node.js 来实现这个功能。利用 git 的 pre-commit hooks,在 git 提交前执行这个脚本。整体流程如下:

在这里插入图片描述

接下来我们来具体实现下代码。在项目根目录下新建一个pre-commit.js文件,这个文件就是我们的脚本。

1.1 校验暂存区代码

通过 git diff --cached 验证是否存在待提交内容,如果没有改动则直接退出提交。

const{ execSync }=require('child_process');constcheckStaged=()=>{try{const changes =execSync("git diff --cached --name-only").toString().trim();if(!changes){ console.log("No staged changes found."); process.exit(0);}}catch(error){ console.error("Error getting staged changes:", error.message); process.exit(1);}}

1.2 获取差异内容

constgetDiff=()=>{try{const diff =execSync("git diff --cached").toString();if(!diff){ console.log("No diff content found."); process.exit(0);}return diff;}catch(error){ console.error("Error getting diff content:", error.message); process.exit(1);}}

1.3 准备prompt

这里我们需要准备一个 prompt,这个 prompt 就是用来告诉 AI 我们要检查什么内容。

constgetPrompt=(diff)=>{return` 你是一名代码审核员,专门负责识别git差异中代码的安全问题和质量问题。您的任务是分析git 差异,并就代码更改引入的任何潜在安全问题或其他重大问题提供详细报告。 这里是代码差异内容: ${diff} 请根据以下步骤完成分析: 1.安全分析: - 查找由新代码引发的一些潜在的安全漏洞,比如: a)注入缺陷(SQL注入、命令注入等) b)认证和授权问题 ... 2. 代码逻辑和语法分析: -识别任何可能导致运行时错误的逻辑错误或语法问题,比如: a)不正确的控制流程或条件语句 b)循环使用不当,可能导致无限循环 ... 3. 报告格式: 对于每个发现的问题,需要按照严重等级分为高/中/低。 每个问题返回格式如下: -[严重等级](高中低)- [问题类型](安全问题/代码质量) - 问题所在文件名称以及所在行数 - 问题原因 + 解决方案 4. 总结: 在列出所有单独的问题之后,简要总结一下这些变化的总体影响,包括: -发现的安全问题数量(按严重程度分类) -发现的代码质量问题的数量(按严重性分类) 请现在开始你的分析,并使用指定的格式陈述你的发现。如果没有发现问题,请在报告中明确说明。 输出应该是一个简单的结论,无论是否提交这些更改,都不应该输出完整的报告。但是要包括文件名。并将每行标识的问题分别列出。 如果存在高等级的错误,就需要拒绝提交 回答里的结尾需要单独一行文字 "COMMIT: NO" 或者 "COMMIT: YES" 。这将用来判断是否允许提交 `}

1.4 定义一个 AI 执行器

这里我用 chatgpt 实现的,具体代码如下:

constexecCodeReviewer=(text)=>{const apiKey =''const apiBaseUrl =''const translateUrl =`${apiBaseUrl}/v1/chat/completions`returnnewPromise((resolve, reject)=>{fetch(translateUrl,{method:'POST',headers:{'Content-Type':'application/json',Authorization:`Bearer ${apiKey}`,},body:JSON.stringify({stream:false,messages:[{role:'user',content: text,},],}),}).then(res=> res.json().then(data=>resolve(data.choices[0].message.content))).catch(err=>{ console.error(err)})})}

1.5 结果处理

这里我们需要解析一下结果,提取结果中是否包含 "COMMIT: YES"关键字,有则允许提交,否则不允许提交并打印结果

consthandleReviewResult=(result)=>{const decision = result.includes("COMMIT: YES")?"YES":"NO";if(decision ==='NO'){ console.log("\nCritical issues found. Please address them before committing."); console.log(details); process.exit(1);} console.log("\nCommit approved.");}

1.6 主函数执行整个流程

constmain=async()=>{try{checkStaged();const diffContent =getDiff(); console.log("Running code review...");const prompt =getPrompt(diffContent);const reseponse =awaitexecCodeReviewer(prompt);handleReviewResult(reseponse) process.exit(0);}catch(error){ console.error("Error:", error.message); process.exit(1);}}

1.7 git hooks里添加执行该脚本逻辑

进入项目根目录,在这里运行 git bash。打开pre-commit钩子文件

vim .git/hooks/pre-commit

然后添加以下内容

#!/bin/shGIT_ROOT=$(git rev-parse --show-toplevel)node"$GIT_ROOT/pre-commit.js"exit$?

保存退出后,我们就可以使用 git 做下测试。

1.8 测试

我新建了一个 test.js 文件,然后添加如下代码:

constfn=()=>{let num =0for(let i =0;true; i++){ num += i }}

然后执行 git add . 然后 git commit -m “test”。效果如下:

在这里插入图片描述

看来还是不错的,有效识别代码中的逻辑缺陷与语法隐患(如无限循环、变量误用等),同时当不满足提交条件后,也是直接终止了 commit。这里面其实比较关键的是 prompt 的内容,ai 评审的效果主要就是取决于它。

2. ai-pre-commit-reviewer 插件

上面我们是通过 js 脚本来实现的,其实也可以通过现成插件来实现。原理和第一个方法是一样的,只不过是插件帮我们封装好了,我们只需要配置下即可。插件地址,欢迎大家star。

2.1 安装插件

npminstall ai-pre-commit-reviewer --save-dev #安装完成后执行 npx add-ai-review #添加执行逻辑到git pre-commit钩子中

2.2 配置文件

插件安装完成后,新建一个.env 文件

baseURL= *** #模型服务地址apiKey=*** #模型服务密钥language=chinese #语言

2.3 效果预览

在这里插入图片描述

也可以配合husky使用,进行语法检查后执行code review。

在这里插入图片描述

我这里也是更推荐大家使用这个,简单易上手。

3. gerrit + ai-code-review

Gerrit 是由 Google 开发的代码审查管理系统,基于 Git 版本控制系统构建,主要特性包括:

  • 强制代码审查机制:所有代码必须通过人工/自动化审查才能合并
  • 细粒度权限控制:支持基于项目/分支的访问权限管理
  • 在线代码对比:提供可视化差异查看界面(Side-by-Side Diff)
  • 插件扩展体系:可通过插件集成 CI/CD、静态分析等工具

其核心功能主要是通过 refs/for/ 推送机制,确保所有代码变更必须通过审核。因此我们可以利用 ai 代替人工去执行代码 review,这样效率也会更高效。

2.1 gerrit 安装与配置

# 执行以下命令docker pull gerritcodereview/gerrit:latest

安装完后可以看下容器列表

在这里插入图片描述

没问题后启动服务,然后在浏览器中访问 http://localhost:8080/ 就可以看到gerrit首页

2.1.1 配置 ssh 密钥
ssh-keygen -t ed25519 -C"[email protected]"# 直接按3次回车(不要设置密码)cat ~/.ssh/id_ed25519.pub # 复制输出的内容

然后在 “settings” 页面中选择左侧的"SSH Keys",将复制的公钥内容粘贴进去。添加完成后测试下连接情况。

ssh-p29418 admin@localhost # 输入yes接受指纹

看到 Welcome to Gerrit Code Review 表示成功

2.1.2 拉取项目测试

可以在 BROWSE > Repositories 里查看当前项目列表,我这里用 All-Projects 做下测试,理论上是要新建项目的。

git clone "ssh://admin@localhost:29418/All-Projects"

安装 Gerrit 提交钩子 commit-msg(必须!)。Gerrit 依赖 commit-msg 钩子实现以下功能:

  1. 生成 Change-Id:每个提交头部自动添加唯一标识符,格式示例 Change-Id: I7e5e94b9e6a4d8b8c4f3270a8c6e9d3b1a2f5e7d
  2. 校验提交规范: 确保提交信息符合团队约定格式(如包含任务编号)
  3. 防止直接推送: 强制推送到 refs/for/ 路径而非主分支
cd All-Projects curl-Lo .git/hooks/commit-msg http://localhost:8080/tools/hooks/commit-msg chmod +x .git/hooks/commit-msg

然后新建个js文件,写点代码并提交。

git push origin HEAD:refs/for/refs/meta/config # 提交到 refs/meta/config 分支

然后在gerrit首页可以看到刚刚提交的代码,点击查看详情,可以看到代码审核的流程。

在这里插入图片描述

2.2 插件安装和配置

将 ai-code-review 插件克隆到本地。插件详情可参考官方文档。此插件可以使用不同的 AI Chat 服务(例如 ChatGPT 或 OLLAMA)

git clone https://gerrit.googlesource.com/plugins/ai-code-review

安装 Java 和构建工具

sudoapt update sudoaptinstall-y openjdk-21-jdk maven # 官方文档说 11 就行,但是我实际上跑了后发现需要 JDK 21+

进去项目目录构建 JAR 包

cd ai-code-review mvn clean package

当输出BUILD BUILD SUCCESS时,表示构建成功。进入目录看下生成的包名。

在这里插入图片描述

然后将生成的jar包复制到 gerrit 的 plugins 目录下

# 我这里容器名为 gerrit,JAR 文件在 target/ 目录dockercp target/ai-code-review-3.11.0.jar gerrit:/var/gerrit/plugins/

然后进入容器内看下插件列表,确认插件已经安装成功

在这里插入图片描述

也可以在 gerrit 网页端查看插件启动情况

在这里插入图片描述

接着修改配置文件,在 gerrit 的 etc 目录下找到 gerrit.config 文件。但在这之前需要在 Gerrit 中创建一个 AI Code Review 用户,这个席位用于 AI 来使用进行代码评审。

vi var/gerrit/etc/gerrit.config

在文件里添加以下内容。

[plugin "ai-code-review"] model = deepseek-v3 aiToken = *** aiDomain = *** gerritUserName = AIReviewer aiType = ChatGPT globalEnable = true 。
  • model(非必填): 使用的模型
  • aiToken(必填): AI模型的密钥
  • aiDomain(非必填): 请求地址,默认是 https://api.openai.com
  • gerritUserName(必填): AI Code Review 用户的 Gerrit 用户名。我这里创建的用户名为 AIReviewer
  • aiType(非必填): AI类型,默认是 ChatGPT
  • globalEnable(非必填): 是否全局启用,默认是 false, 表示插件将仅审核指定的仓库。如果不设置为true的话。需要添加enabledProjects参数,指定要运行的存储库,例如:“project1,project2,project3”。

更多字段配置参考官方文档

这些都完成后,重启 gerrit 服务。然后修改下代码,写段明显有问题的代码,重新 commit 并 push 代码,看下 AI 代码评审的效果怎么样。

在这里插入图片描述


可以看到 ai 审查代码的效果还是不错的。当然我这里是修改了插件的prompt,让它用中文生成评论,它默认是用英文回答的。

Read more

timed_out错误处理:传统方法与AI辅助的对比

快速体验 1. 打开 InsCode(快马)平台 https://www.inscode.net 2. 点击'项目生成'按钮,等待项目生成完整后预览效果 输入框内输入如下内容: 设计一个对比工具,能够模拟传统手动调试和AI辅助调试timed_out错误的过程。工具应展示两种方法的耗时、准确率和开发者体验,并提供数据支持。 在开发过程中,遇到timed_out错误是再常见不过的事情了。这类错误通常出现在网络请求、数据库连接或API调用时,由于响应时间超过预设阈值而触发。传统的处理方法和新兴的AI辅助工具在解决这类问题上展现出截然不同的效率和体验。今天,我就来分享一下两者的对比,以及我在实际项目中得到的体会。 1. 传统手动调试方法 传统方法通常依赖于开发者的经验和反复测试,耗时且容易出错。常见的步骤如下: 1. 日志分析:首先需要查看日志,定位错误发生的具体位置和上下文信息。这一步往往需要翻阅大量日志文件,耗时较长。 2. 代码审查:检查相关代码段,确认超时设置的合理性,比如网络请求的超时时间是否过短。
AI赋能原则2解读思考:从权威到机制-AI 时代的分层式信任体系

AI赋能原则2解读思考:从权威到机制-AI 时代的分层式信任体系

目录 一、AI 的“撒谎”:技术能力还是系统性风险? (一)生成式机制的幻觉性(hallucination) (二)多模态模型的构建方式导致的结构偏移 (三)任务驱动可能诱导“策略性输出” 二、在真假交织的时代:信任不再来自“权威”,而来自“机制” (一)信任的底层逻辑:从“身份可信”到“过程可信” 1. 可解释性与透明机制(Explainable AI / XAI) 2. 溯源与可验证内容(RAG + Source Attribution) 3. 系统级信号验证(Watermarking & Model Signatures) (二)超级能动性的技术化体现 三、AI“撒谎”与人类心理:信任错位引发的深层认知震荡 (一)
骡子快跑MuleRun:自进化AI数字员工开启“养骡”替代“养虾”的Agent普及元年

骡子快跑MuleRun:自进化AI数字员工开启“养骡”替代“养虾”的Agent普及元年

MuleRun(骡子快跑)是一款全球首创的自进化个人 AI 智能体(AI Agent)平台,被定位为“AI 数字劳动力市场”。该项目核心解决了 AI 工具部署门槛高、稳定性差的痛点,提出了“养虾不如养骡子”的概念(对比部署复杂的 Claw 系列工具),主打 0 门槛云端运行、7x24 小时主动服务及持续学习用户习惯的自进化能力。MuleRun 不仅为个体提供可深度适配的数字员工,还构建了一个创作者生态,允许专家将行业经验转化为可交易的 AI 代理。目前已在跨境电商运营、自动化投研、短剧剧本创作及小游戏开发等多个生产力领域实现商业化落地,标志着 AI Agent 从开发者工具向普惠生产力工具的重大跨越。 鲲志短评 【智能摘要:AI 界的“电子牲口”上岗证】 一句话大白话: 别再折腾那些配置环境能让你折寿三年的复杂脚本了,MuleRun(骡子快跑)就是把