AI 编程实战用 Claude Code 自动化代码审查一、为什么需要自动化代码审查传统代码审查的痛点耗时- 每个 PR 需要人工逐行审查不一致- 不同审查者标准不同容易遗漏- 疲劳时容易忽略问题知识依赖- 新人不了解项目规范AI 审查的优势7x24 小时待命标准一致快速反馈可学习团队规范二、Claude Code 简介Claude Code 是 Anthropic 推出的命令行 AI 编程工具特点深度理解代码上下文支持多文件分析可执行 shell 命令支持自定义规则2.1 安装 Claude Code# 安装 Node.jsbrewinstallnode# 安装 Claude Codenpminstall-ganthropic-ai/claude-code# 配置 API KeyexportANTHROPIC_API_KEYyour-api-key# 或者写入 ~/.zshrcechoexport ANTHROPIC_API_KEYsk-ant-...~/.zshrcsource~/.zshrc2.2 验证安装claude--versionclaudeHello, test三、基础用法3.1 单文件审查# 审查单个文件claude请审查这个文件检查代码质量、潜在 bug 和风格问题src/user-service.ts3.2 多文件审查# 审查整个 PR 变更claude审查这些文件的变更关注 1. 逻辑错误 2. 性能问题 3. 安全隐患 4. 代码风格 5. 测试覆盖--filesrc/auth.ts src/user.ts src/validator.ts3.3 Git Diff 审查# 审查当前分支的所有变更gitdiffmain|claude审查这些代码变更列出所有问题和建议四、搭建自动化审查流程4.1 创建审查规则文件在项目根目录创建.claude/review-rules.md# 代码审查规则 ## 项目信息 - 语言TypeScript - 框架Express React - 数据库PostgreSQL ## 必须检查项 ### 安全性 - [ ] SQL 注入风险必须使用参数化查询 - [ ] XSS 风险用户输入必须转义 - [ ] 敏感信息泄露不能硬编码密钥 - [ ] 认证授权需要验证用户权限 ### 性能 - [ ] 数据库查询优化避免 N1 查询 - [ ] 循环内避免同步 I/O - [ ] 大数组操作使用合适的数据结构 ### 代码质量 - [ ] 函数长度不超过 50 行 - [ ] 圈复杂度不超过 10 - [ ] 必须有错误处理 - [ ] 变量命名清晰 ### 测试 - [ ] 新增功能必须有单元测试 - [ ] 边界条件有测试覆盖 - [ ] 错误场景有测试 ## 代码风格 ### TypeScript - 使用 interface 定义对象类型 - 避免使用 any使用 unknown 或具体类型 - 导出类型使用大驼峰 - 函数使用小驼峰 ### 命名规范 - 变量camelCase - 类/接口PascalCase - 常量UPPER_SNAKE_CASE - 文件kebab-case.ts ## 常见问题检查清单 1. 是否有未处理的 Promise 2. 是否有内存泄漏风险 3. 是否有竞态条件 4. 日志是否包含敏感信息 5. API 响应格式是否统一4.2 创建审查脚本创建scripts/ai-review.sh#!/bin/bash# AI 代码审查脚本set-e# 颜色输出RED\033[0;31mGREEN\033[0;32mYELLOW\033[1;33mNC\033[0m# No Colorecho 开始 AI 代码审查...# 获取变更文件CHANGED_FILES$(gitdiff--name-only main)if[-z$CHANGED_FILES];thenecho没有检测到变更exit0fiecho检测到以下变更echo$CHANGED_FILESecho# 生成审查提示PROMPT请作为高级代码审查专家审查以下代码变更。 审查重点 1. 安全性问题SQL 注入、XSS、认证授权等 2. 性能问题查询优化、内存使用等 3. 代码质量可读性、可维护性等 4. 测试覆盖单元测试、边界条件等 5. 是否符合项目规范参考 .claude/review-rules.md 输出格式 ## 审查结果 ### ✅ 做得好的地方 - 列出优点 ### ⚠️ 需要改进 - 问题 1描述 建议 - 问题 2描述 建议 ### ❌ 必须修复 - 严重问题 1描述 修复建议 - 严重问题 2描述 修复建议 ### 建议 - 优化建议 1 - 优化建议 2 ### 总结 整体评价和下一步建议 # 调用 Claude Code 审查echo AI 正在审查代码...claude$PROMPT--file$CHANGED_FILESreview-result.md# 显示结果echoecho 审查结果echocatreview-result.md# 检查是否有必须修复的问题ifgrep-q### ❌ 必须修复review-result.md;thenechoecho-e${RED}⚠️ 发现必须修复的问题请处理后再提交${NC}exit1elseechoecho-e${GREEN}✅ 审查通过没有发现严重问题${NC}exit0fi4.3 添加 Git Hook创建.git/hooks/pre-push#!/bin/bash# 在 push 前自动执行 AI 审查echo 运行 AI 代码审查...# 运行审查脚本./scripts/ai-review.shif[$?-ne0];thenechoecho❌ AI 审查未通过push 被阻止echo请修复问题后重新提交或使用 --no-verify 跳过检查不推荐exit1fiecho✅ AI 审查通过允许 push# 添加执行权限chmodx .git/hooks/pre-pushchmodx scripts/ai-review.sh五、集成到 CI/CD5.1 GitHub Actions 配置创建.github/workflows/ai-review.ymlname:AI Code Reviewon:pull_request:branches:[main,develop]jobs:ai-review:runs-on:ubuntu-lateststeps:-uses:actions/checkoutv4with:fetch-depth:0-name:Setup Node.jsuses:actions/setup-nodev4with:node-version:20-name:Install Claude Coderun:npm install-g anthropic-ai/claude-code-name:Get changed filesid:changed-filesrun:|FILES$(git diff --name-only origin/main...HEAD) echo files$FILES $GITHUB_OUTPUT-name:AI Code Reviewenv:ANTHROPIC_API_KEY:${{secrets.ANTHROPIC_API_KEY}}run:|cat review-prompt.txt EOF 请审查以下代码变更检查 1. 安全性问题 2. 性能问题 3. 代码质量 4. 测试覆盖 5. 是否符合规范输出格式## 审查结果### ✅ 优点### ⚠️ 改进建议### ❌ 必须修复EOF claude $(cat review-prompt.txt)--file ${{steps.changed-files.outputs.files}}review-result.md-name:Upload Review Resultuses:actions/upload-artifactv4with:name:ai-review-resultpath:review-result.md-name:Post Review Commentuses:actions/github-scriptv7with:github-token:${{secrets.GITHUB_TOKEN}}script:|const fs require(fs); const review fs.readFileSync(review-result.md, utf8);await github.rest.issues.createComment({owner:context.repo.owner,repo:context.repo.repo,issue_number:context.issue.number,body:## AI 代码审查结果\n\n${review}});5.2 配置 API Key在 GitHub 仓库设置中添加 SecretSettings → Secrets and variables → Actions → New repository secret Name: ANTHROPIC_API_KEY Value: sk-ant-...六、高级技巧6.1 自定义审查模板创建.claude/review-template.md# PR #{{PR_NUMBER}} 审查报告 **审查时间** {{TIMESTAMP}} **审查分支** {{BRANCH_NAME}} **变更文件** {{FILE_COUNT}} 个 ## 变更概览 {{SUMMARY}} ## 详细审查 ### 安全性 {{SECURITY_REVIEW}} ### 性能 {{PERFORMANCE_REVIEW}} ### 代码质量 {{CODE_QUALITY_REVIEW}} ### 测试 {{TEST_REVIEW}} ## 问题清单 | 严重性 | 文件 | 行号 | 问题描述 | 建议 | |--------|------|------|----------|------| {{ISSUE_TABLE}} ## 审查结论 - [ ] 通过可以合并 - [ ] 需要小修改后合并 - [ ] 需要大修改后重新审查 **审查者** AI Assistant6.2 增量审查只审查变更部分提高效率# 创建增量审查脚本catscripts/incremental-review.shEOF #!/bin/bash # 只审查变更的行 git diff -U0 main | while read -r line; do if [[ $line * ]] [[ $line ! * ]]; then echo 检查新增行$line claude 这行代码是否有问题$line fi done EOF6.3 历史问题追踪# 创建问题追踪文件cat.claude/issue-tracker.mdEOF # AI 审查问题追踪 ## 2026-03-17 - [x] src/auth.ts:45 - JWT 过期时间配置问题已修复 - [ ] src/user.ts:123 - SQL 查询未参数化待修复 - [ ] src/api.ts:89 - 缺少输入验证待修复 ## 2026-03-16 - [x] src/validator.ts:34 - 正则表达式性能问题已修复 EOF七、实际案例7.1 案例发现 SQL 注入漏洞原始代码// ❌ 有问题的代码asyncgetUserById(id:string){constquerySELECT * FROM users WHERE id ${id};returnawaitdb.query(query);}AI 审查意见### ❌ 必须修复 **文件** src/user-service.ts:45 **问题** SQL 注入漏洞 代码直接使用字符串拼接构建 SQL 查询攻击者可以传入恶意输入id “’ OR ‘1’1”**修复建议** typescript // ✅ 修复后 async getUserById(id: string) { const query SELECT * FROM users WHERE id $1; return await db.query(query, [id]); }### 7.2 案例性能优化建议 **原始代码** typescript // ❌ N1 查询问题 async getUsersWithOrders() { const users await db.query(SELECT * FROM users); for (const user of users) { user.orders await db.query( SELECT * FROM orders WHERE user_id $1, [user.id] ); } return users; }AI 审查意见### ⚠️ 需要改进 **文件** src/order-service.ts:78 **问题** N1 查询性能问题 当前实现会对每个用户执行一次查询100 个用户 101 次数据库查询。 **修复建议** typescript // ✅ 使用 JOIN 或批量查询 async getUsersWithOrders() { const query SELECT u.*, json_agg(o.*) as orders FROM users u LEFT JOIN orders o ON u.id o.user_id GROUP BY u.id ; return await db.query(query); }## 八、最佳实践 ### 8.1 审查频率 - **小 PR200 行** - 每次提交前审查 - **中 PR200-500 行** - 每日审查 - **大 PR500 行** - 拆分后审查 ### 8.2 问题优先级 | 级别 | 类型 | 响应时间 | |------|------|----------| | ❌ 必须修复 | 安全漏洞、严重 bug | 立即修复 | | ⚠️ 需要改进 | 性能问题、代码异味 | 本次 PR 修复 | | 建议 | 优化建议、风格问题 | 后续迭代 | ### 8.3 人工复核 AI 审查不能完全替代人工 - **必须人工审查** 业务逻辑、架构设计、用户体验 - **可以 AI 审查** 代码规范、常见 bug、性能问题 - **建议混合审查** AI 初筛 人工复核 ## 九、成本优化 ### 9.1 Token 使用统计 bash # 创建使用统计脚本 cat scripts/review-stats.sh EOF #!/bin/bash # 统计 AI 审查的 Token 使用 LOG_FILE.claude/review-log.jsonl echo AI 审查统计 echo 总审查次数$(wc -l $LOG_FILE) echo 总输入 Token: $(cat $LOG_FILE | jq -s [.[].input_tokens] | add) echo 总输出 Token: $(cat $LOG_FILE | jq -s [.[].output_tokens] | add) echo 估算成本$(cat $LOG_FILE | jq -s ([.[].input_tokens] | add) * 0.000003 ([.[].output_tokens] | add) * 0.000015) 美元 EOF9.2 优化策略只审查变更文件- 避免全量扫描增量审查- 只审查变更的行缓存结果- 相同变更不重复审查批量审查- 合并多个小 PR十、总结使用 Claude Code 自动化代码审查的核心价值提升效率- 减少人工审查时间提高质量- 发现人眼容易忽略的问题统一标准- 所有代码按相同标准审查知识沉淀- 审查规则可复用实施建议从简单的 Git Hook 开始逐步集成到 CI/CD根据团队反馈调整规则定期回顾审查效果注意事项AI 审查是辅助工具不是替代品业务逻辑仍需人工审查定期更新审查规则关注 API 使用成本现在就开始搭建你的自动化代码审查流程吧