AI Agent 代码审查工作流:先帮自己 review 一遍 PR

在 PR 发给同事之前,用 Claude Code / Codex / Cursor Agent 先 review 一遍。完整 prompt、回路,以及 2026 年 6 月的工具价格。

独立开发和小团队往外发代码时没有第二双眼睛,diff 一看就知道。解法不是”等 AI 替代 reviewer”,而是把 agent 当成预过滤器,让真人 reviewer(或者未来的你)打开的是一个干净的 PR。下面给的是确切的 prompt、review 回路,以及 2026 年 6 月这套工具的真实价格——任何 50 行以上的 PR 都值得跑一遍。

一句话总结

  • 在任何人看到这个 PR 之前,先用 agent 跑一遍 git diff main...HEAD,并附上一句话的意图。没有意图行,得到的就是”可以更模块化”这种泛泛之谈,而不是有用的反馈。
  • 用 Claude Code 的话不需要自定义命令:/review 会按 Anthropic 的 PR 检查清单走,/security-review 审查分支里的安全漏洞。截至 2026 年 6 月,这两个都是内置的。
  • review 和改代码要分开 prompt、分开 commit,这样修复在历史里可见,也不会偷偷改了行为。
  • 在 200 行 diff 上手动跑一遍 agent,token 成本大约 $0.10–$0.40。托管型机器人(CodeRabbit、Copilot code review)做常驻 PR 覆盖则是每个席位每月 $15–$48。
  • 改完之后要重跑一遍 review。一遍很少够,补丁往往会带出新的小问题。

为什么”预审自己的代码”比”审 AI 输出”更值

大多数”AI 代码审查”的讨论说的是检查 AI 生成的输出。反过来——让 agent 在同事看到你”人类写的”代码之前先 review 一遍——价值更高。一次 5 分钟的 agent pass 抓掉那些显而易见的东西(漏掉的边界、抽象泄漏、命名糟糕、缺测试),让真人 reviewer 把有限的注意力花在真正的判断题上,而不是风格小事。

它还能解决小团队的信任问题:资深同事的 PR 因为大家信任作者而被盖章式通过,而这恰恰是 bug 漏出去的时候。Agent 不会盖章。

这篇适合谁看

走 PR review 流程的开发者,尤其是:

  • 独立开发和顾问:没同事可以扔 diff 让对方瞄一眼。
  • 资深工程师:PR 靠口碑通过,因此审得不够细。
  • 小团队:review 队列慢,作者想加速但又不想跳过 review。
  • 开源 maintainer:自己 merge 自己的 PR,merge 前想多一个信号。

什么时候用、什么时候别用

任何 50 行以上的 PR 之前、大重构之后、合并涉及共享接口 / 公开 API / auth 或 billing 代码之前都该用。只要漏一个 bug 的代价高于 10 分钟 agent 时间,就用。

这些情况别用:15 分钟内必须发的 hotfix、纯 typo 修复、以及你还在熟悉这个代码库的 PR(agent 会直接把答案塞给你,你就没机会自己理解代码)。安全敏感的改动无论 agent 怎么说,都仍然需要一个指定的真人 reviewer。

选你的 review 路线(2026 年 6 月)

实际上有三条路,区别在于 review 在哪里跑、谁付钱、是一次性还是常驻。

路线工具价格(2026 年 6 月)适合
内置命令Claude Code /review/security-review仅 token 费(200 行 diff 约 $0.10–$0.40)独立开发,任何付费 Claude 套餐
云端深度 reviewClaude Code /ultrareview(研究预览)每次约 $5–$20;Pro/Max 套餐最难的 bug,只报已验证的问题
常驻 PR 机器人CodeRabbit / GitHub Copilot code reviewCodeRabbit Pro $24 / Pro+ $48 每席位每月;Copilot 从 $10/月起(自 2026 年 6 月 1 日起还吃 Actions 分钟)想让每个 PR 自动被 review 的团队

关于这些数字,均为 2026 年 6 月:

  • Claude Code 的 /review/security-review 是任何付费套餐都有的内置 slash 命令(Claude Pro 每月 $20,年付折合每月 $17,现在还捆绑 Claude Code)。/review 套用 Anthropic 的 PR 检查清单,/security-review 审查当前分支。参见官方 slash 命令文档
  • /ultrareview 是面向 Pro/Max 用户的云端多 agent bug 猎手,只报它能独立复现的 bug,因此误报更少。每次预算 $5–$20。
  • CodeRabbit 对公开开源仓库免费;私有仓库 Pro 每席位每月 $24、Pro+ 每席位每月 $48(年付),且只有开 PR 的贡献者才算席位。参见 coderabbit.ai/pricing
  • GitHub Copilot code review 从 Pro 套餐(每月 $10)起。自 2026 年 6 月 1 日起,每次 review 双重计费:token 走 AI credits,跑 review 的 agent 基础设施还吃 GitHub Actions 分钟。全组织开启前要把这点算进去。

如果你想要一条自己完全掌控、不依赖机器人的回路,下文用本地的 Claude Code、Codex 或 Cursor Composer。

开始前准备

  • 有一个干净的 commit。Agent review 的是 diff,未提交的杂音会污染 review。
  • 能用一句话说出这个 PR 的意图。没意图,review 就泛(“可以更模块化”);有意图就有用(“限流器接受负的 window,是故意的吗?”)。
  • 选一个有文件和 diff 访问权的 agent:Claude Code、Codex 或 Cursor Composer。纯聊天 agent 逼你复制粘贴,会丢保真度。

review 回路,一步一步来

  1. 建分支并 commit。 Agent 读的是 git diff main...HEAD,所以 commit 边界很关键。
  2. 跑 review。 在 Claude Code 里直接打 /review 走内置清单,或者粘贴下面这个模板做一次聚焦、带意图的 pass:
Review the diff from main...HEAD against this codebase.
Intent: [一句话:这个 PR 做什么、为什么]
Focus on: 漏掉的边界、抽象泄漏、命名、新行为的测试覆盖,
以及 diff 与仓库其他部分的模式有没有冲突。
不要重写。只评论。
  1. 每条评论都分类到三个桶:明显对的、风格噪音、“需要更多上下文”(补上缺的上下文再问一次)。
  2. 一次只修一处。 对每条明显对的评论,让它”给最小补丁,除了修这条不要带任何行为改动”。应用并单独 commit,让修复在历史里可见。
  3. 对噪音推回去。 对风格类的标注问:“这个跟说好的意图有什么关系?“真噪音的 agent 一推就退;它仍坚持,就听。
  4. 在新 diff 上重 review。 直到 agent 只剩鸡毛蒜皮才停。
  5. 交给真人,带一行”已 agent 预审”备注,让 reviewer 把精力放在判断题上,而不是那些显而易见的东西。

先在真实 PR 上校准一遍

在你信任这套回路之前,先拿一个你已经知道答案的 PR 跑一次:

  1. 挑一个你本周发过、且真人 reviewer 给过实质评论的 ~200 行 PR。
  2. 跑 agent review,把它的发现和真人的评论对比。
  3. 算账:真人那些评论,agent 抓住了几条、漏了几条、又额外找出真人没看到的几条?
  4. 这个比例就是 agent 在你这个代码库里的价值。社区对并行多 subagent 方案的测试发现大约 75% 的建议是可落地的,而单个朴素 agent 不到 50%;所以一个单 pass 的 agent 只要抓到 70%+ 的真人评论,就已经够本了。

容易踩的坑

  • review 时不写意图。 Agent 会标错点,因为它不知道对这次改动来说”好”长什么样。
  • 每条都照单全收。 Agent 容易过度设计,会乐呵呵地把能跑的代码重构成更抽象、更糟的样子。
  • 让它一边 review 一边改。 review 和 edit 必须分开 prompt、分开 commit,否则行为改动会藏在”修复”里。
  • 用写代码的那个模型去审它自己的输出。 它倾向通过自己的作品,要换一个模型交叉验证。
  • 跳过重 review。 修复会引入新问题,一遍很少够。
  • 把”可以重构”当阻塞。 那是 merge 后的 ticket,不是 PR 阻塞项。

进阶技巧

  • 跨模型交叉验证。 一个模型先 review,再让另一个(比如让 Claude Opus 4.7 对上 GPT-5.5)去反驳第一个的结论。不同的训练会暴露不同的盲区。
  • 把项目反模式写进 CLAUDE.md(或 AGENTS.md)放在仓库根,例如”db.exec 不许出现在 repository 层之外”。Agent 每次 review 都会遵守;再把你的自定义 prompt 存成 .claude/commands/review.md,就能零摩擦复用。
  • 安全敏感代码/security-review,或者明确问:“列出可能成为攻击向量的输入,逐个追它怎么被校验。“通用安全 review 漏细节。
  • stacked PR 用 commit 级 review,这样反馈映射到一个内聚改动,而不是整叠。
  • 留意反复出现的发现类别。 如果”缺测试”在八个 PR 里都冒出来,解法是 pre-commit hook,不是更强的 review prompt。

FAQ

  • 会让我的 review 能力变弱吗?: 只有当你盲目接受才会。读评论 + 主动推回,反而会教你以前没看到的模式。
  • 跟 CI lint 有什么区别?: Lint 抓语法和已知模式。Agent 抓逻辑错误、缺测试、抽象泄漏,也就是人通常做的那种更高层的 review。
  • 该用哪个模型?: 截至 2026 年 6 月,Claude Sonnet 4.6 和 Opus 4.7、以及 GPT-5.5 级别的模型都是很强的 reviewer。Opus 4.7 在 SWE-bench Verified 上以 87.6% 领先。用你编辑器集成的那个,切换成本是真的。
  • 一次 review 多少钱?: 手动跑 200 行约 $0.10–$0.40 的 token 费。云端 /ultrareview 每次 $5–$20。常驻机器人每席位每月 $24–$48。都比漏一个生产 bug 便宜。
  • agent 能帮我 merge 吗?: 不能,也别让它。Agent review 是一个信号,测试和真人是另外两个。三者都同意才发。

相关阅读

标签: #AI 编程 #教程 #工作流 #Claude Code