代码审查 2026——从/review到/ultrareview的完整体系Windows 10/11 · Claude Code v2.1.x (2026-05) · DeepSeek V4 Pro / Anthropic API · 中度时效 · 最后更新 2026-05-08一、这篇教程解决什么问题一句话定位代码审查是日常最高频的开发场景之一。Claude Code 在 2026 年 3-4 月密集发布了多代理审查体系从本地单次扫描的/review一路升级到云端多代理并行的/ultrareview。这篇把三档审查能力讲透给你一张表选型、一套流程落地、五个 Debug 兜底。跳读指南如果你已经在用/review直接跳到 第四节 ECC 审查代理 了解专业代理的增量价值。如果你只关心/ultrareview跳到 第五节。对三档体系没概念的务必先看 第二节全景对比这是整篇的导航图。阅读前提硬条件可逐条验证Claude Code CLI 已安装并能正常启动参考《新手上路二》了解 Git 基础操作commit / branch / diff已配置 GitHub CLIgh并完成认证运行gh auth status验证使用 Windows 10 或 Windows 11DeepSeek 用户注意/ultrareview和 GitHub PR Code Review 运行在 Anthropic 云端基础设施上仅限 Anthropic API 用户。/review本地、/security-review本地、ECC 的 code-reviewer / security-reviewer agent 均可在 DeepSeek 上使用。本文完整覆盖两条路径每节标注兼容性。读完能得到什么一张三档审查体系全景对比表一眼看清/review/ ECC agent //ultrareview各自什么时候用掌握/review和/security-review的本地用法与输出格式理解 ECC code-reviewer 和 security-reviewer 的专业审查维度和严重性分级深入理解/ultrareview的多代理并行架构——为什么它能做到 1% 误报掌握 GitHub PR Code Review 的触发方式和 REVIEW.md 自定义规则一套可落地的审查意见分级标准必须改 / 建议改 / 可选5 个真实 Debug 场景的五段式排查二、全景速览Claude Code 代码审查三档体系在分别深入每个工具之前先建立全局视图。Claude Code 在 2026 年 5 月有三档代码审查能力维度轻量档/review/security-review标准档ECC code-reviewer / security-reviewer深度档/ultrareview运行位置本地终端会话内本地子代理独立上下文窗口Anthropic 云端沙箱审查深度单次扫描专项子代理一次一个维度多代理舰队并行 独立验证审查维度正确性 / 安全 / 风格 / 测试安全OWASP/ 代码质量 / 语言特定模式逻辑 / 安全 / 边界 / 性能 / 回归各由独立代理负责耗时数秒到 2 分钟1-3 分钟5-20 分钟成本计入正常 Token 用量计入正常 Token 用量$5-20/次额外用量DeepSeek 兼容✅ 完全可用✅ 完全可用子代理选 Flash 省钱❌ 仅 Anthropic API最佳场景提交前快速检查、小改动中等 PR、需要语言专项审查大 PR500 行、auth/支付/迁移等高风险变更误报率中等无验证环节中等依赖代理质量1%独立复现验证一句话选型小改动 / 快速迭代 → /review免费秒级 中 PR / 需要专项深度 → ECC code-reviewer security-reviewer免费分钟级 大 PR / 高风险变更 → /ultrareview$5-20/次5-20 分钟1% 误报 团队级 / 自动审查 → GitHub PR Code Review$15-25/次Team/Enterprise这三档不是互斥的——典型工作流是/review日常用合并前跑一次/ultrareview。三、轻量档/review和/security-review本地审查3.1/review——内置的快速审查/review是 Claude Code 出厂自带的内置命令。不需要安装任何插件。基本用法# 审查当前分支的未提交改动最常用/review# 审查指定 GitHub PR/review42工作机制/review在本地会话内执行分两步运行git diff收集改动用当前会话的模型对 diff 做单次审查输出覆盖以下维度功能概述这个 PR/改动做了什么代码质量与风格是否符合项目惯例具体改进建议有文件行号的建议潜在问题与风险边界情况、逻辑错误测试覆盖与安全考量缺失的测试、明显的安全风险实际输出示例## Review Summary This PR adds rate limiting to the /api/auth endpoint. ### Issues Found 1. **BLOCKER** — src/middleware/rateLimit.ts:23 Token bucket refill is not thread-safe. If two requests arrive within the same millisecond, both could be counted as under-limit. 2. **WARNING** — src/middleware/rateLimit.ts:45 Hardcoded limit of 100 req/min. Should be configurable via env var. 3. **SUGGESTION** — tests/rateLimit.test.ts is missing a test for the edge case where the Redis connection drops mid-count. ### Verdict: REQUEST CHANGES (1 blocker)适用场景与限制✅ 每次git commit前跑一次拦住低级错误✅ PR 小于 200 行时单次扫描基本够用⚠️ 单次扫描没有验证环节——可能产生误报⚠️ 模型能力决定审查质量——用 DeepSeek V4-Flash 跑/review会比 Opus 浅3.2/security-review——专注安全的内置命令/security-review是/review的安全特化版内置命令同样不需要安装。# 审查当前分支的安全问题/security-review检测范围类别检测内容SQL 注入字符串拼接 SQL、未参数化查询XSS未转义的用户输入渲染到 HTML/JSX认证缺陷缺失的 auth 检查、弱 token 处理不安全的数据处理未验证的用户输入、路径遍历依赖漏洞已知的第三方包 CVE密钥泄露硬编码的 API Key、密码、token注意/security-review必须在 Git 仓库内运行它依赖git diff来确定审查范围。如果在非 Git 目录运行会收到 Git 错误。3.3 两个本地命令的使用节奏写代码 → git add → /review查正确性→ 改 → /security-review查安全→ 改 → git commit每个改动在提交前走一遍这个循环成本几乎为零只消耗正常 Token但能拦住大量低级问题。四、标准档ECC code-reviewer 与 security-reviewer 代理ECCEverything Claude Code插件系统提供了两个专业审查子代理比内置的/review更结构化。两者均可在 DeepSeek 上运行。4.1 code-reviewer——质量与安全并重code-reviewer用 Sonnet 模型运行按检查清单逐项审查优先级类别检查项示例CRITICAL安全硬编码密钥、SQL 注入、XSS、路径遍历、CSRF、认证绕过、不安全依赖HIGH代码质量大函数50 行、深层嵌套4 层、缺失错误处理、console.log 残留、缺失测试、死代码HIGH语言特定Node: 未验证输入、缺失限流、N1 查询React: 不必要重渲染、缺失 key/code-review# Claude 自动路由到 code-reviewer 子代理输出为结构化格式每条发现标注文件:行号 严重性。4.2 security-reviewer——OWASP Top 10 专项security-reviewer专注安全漏洞覆盖 OWASP Top 10注入攻击、认证失效、敏感数据暴露、XXE、访问控制失效、安全配置错误、XSS、不安全反序列化、已知漏洞组件、日志监控不足。/security-scan# 或 Claude 在敏感代码改动后自动建议运行# 或在涉及敏感代码改动时Claude 会自动建议运行4.3 ECC 代理 vs 内置/review的区别维度内置/reviewECC code-reviewer审查粒度通用覆盖所有方面按检查清单逐项对照严重性分级无统一标准BLOCKER / CRITICAL / WARNING / SUGGESTION语言针对性通用针对语言适配TypeScript 审查者 vs Go 审查者不同输出格式自由文本结构化文件:行号 严重性 类别可靠性依赖当前会话模型固定用 Sonnet质量稳定可定制性有限可修改代理定义文件建议日常用/review快速扫提交前用 ECC code-reviewer 做正式审查。五、深度档/ultrareview云端多代理审查5.1 为什么需要/ultrareview传统的代码审查工具有一个根本矛盾发现 bug 和确认 bug 是两个不同的任务。/review把它们合在一起——同一个模型既找问题又判断问题是否真实。结果是要么漏掉真 bug因为模型不够自信不敢报要么报告一堆假问题因为模型在幻觉。/ultrareview通过多代理架构把这两个任务分开了。这就是它能把误报率压到 1% 的核心原因。DeepSeek 兼容性❌ 不可用。/ultrareview运行在 Anthropic 云端需要 Claude.ai 账号认证。DeepSeek 用户的等效替代方案见 第五节末尾。5.2 架构多代理舰队 独立验证你的分支/PR → 云端沙箱克隆仓库 ├─→ 代理 1逻辑错误边界/null/类型不匹配 ├─→ 代理 2安全漏洞注入/权限/密钥泄露 ├─→ 代理 3边界情况竞态条件/并发 ├─→ 代理 4性能风险O(n²)/内存分配/同步阻塞 └─→ 代理 5回归检测破坏性变更/API 兼容性 ↓ 独立验证层每个候选 bug 由另一代理复现确认 → 复现不了的丢弃 ↓ 去重 严重性排序 → CLI/Desktop 通知文件:行号 解释关键设计代理并行5 个审查代理同时工作大 PR 可扩展到 20 个每个拥有独立上下文窗口独立验证发现代理与验证代理分离——候选 bug 必须被独立复现才会进入最终报告这是 1% 误报率的核心保障不占本地资源全部在云端运行终端可继续工作甚至关闭 Claude Code仅人工启动/ultrareview只在你主动调用时运行不会自动触发5.3 前置条件# 1. 确保版本 ≥ 2.1.86claude--version# 2. 登录 Claude.ai 账号不能用 API Key/login# 3. 确保在 Git 仓库内gitstatus# 4. 如果需要付费运行开通额外用量/extra-usage不支持的运行环境Amazon BedrockGoogle Cloud Vertex AIMicrosoft Foundry启用了 Zero Data RetentionZDR的组织5.4 基本用法# 审查当前分支 vs 默认分支含未提交和已暂存改动/ultrareview# 审查 GitHub PR #1234/ultrareview1234# 审查当前分支 vs 指定基准分支/ultrareview main运行后会弹出确认对话框显示审查范围文件数、行数剩余免费运行次数预估费用确认后审查在后台运行你可以继续使用 Claude Code。随时用/tasks查看进度。5.5 Headless 模式CI/CD 集成# 非交互式运行阻塞等待结果打印到 stdoutclaude ultrareview# 审查特定 PRclaude ultrareview1234# 指定基准分支claude ultrareview origin/main退出码0 完成有或没有发现、1 启动失败/错误/超时、130 Ctrl-C 中断。中断claude ultrareview子命令不会停止远程审查——远程会话继续运行。终端会打印一个 URL可以在浏览器中跟踪。5.6 定价与配额计划免费运行次数免费后单价说明Pro ($20/月)3 次一次性已过期 2026-05-05$5-20/次额外用量Max 5x ($100/月)3 次一次性已过期 2026-05-05$5-20/次额外用量Max 20x ($200/月)3 次一次性已过期 2026-05-05$5-20/次额外用量Team ($30/座/月)无$5-20/次额外用量管理员需先开通Enterprise无$5-20/次额外用量管理员需先开通2026-05-05 后所有计划的免费运行已过期。每次/ultrareview都是付费的费用根据改动大小在 $5-$20 之间。注意额外用量和计划内用量是分开计费的——额外用量需要单独开通。5.7/ultrareviewvs/review的本质区别/review/ultrareview运行位置本地会话内云端沙箱架构单代理单次扫描多代理舰队 独立验证耗时数秒到 2 分钟5-20 分钟成本计入正常用量$5-20/次额外用量误报控制无验证环节每个发现由独立代理复现确认适用每次改动的快速反馈合并前的高信心审查一句话/review是日常用的快速检查/ultrareview是合并前的最终防线。5.8 真实案例来自 Anthropic 官方博客2026-03一次生产服务 PR 中Code Review 标记了一行在 diff 中看起来完全正常、但在整个代码库上下文中会破坏关键边界条件的改动。工程师事后承认我自己永远看不出来。TrueNAS 社区反馈/ultrareview发现了一个存在数月、多次人工审查遗漏的 ZFS 加密密钥缓存 bug。5.9 DeepSeek 用户的替代方案如果你用的是 DeepSeek API/ultrareview不可用。以下是等效的本地替代方案方案 AECC 代理组合免费推荐# 在 Claude Code 会话中依次运行/code-review# ECC code-reviewer 质量审查/security-scan# ECC security-reviewer 安全审查两个代理覆盖了/ultrareview的核心审查维度。缺点是缺少独立验证环节可能产生更多误报。方案 B自定义多代理审查命令在.claude/commands/ultrareview-local.md中创建--- description: DeepSeek-compatible multi-agent code review allowed-tools: Bash(git:*), Read, Grep, Glob --- Review the current branch against the default branch in depth. Changes: !git diff origin/main...HEAD --stat Full diff: !git diff origin/main...HEAD Launch 3 subagents in parallel to review: 1. Security agent: injection, XSS, auth bypass, secrets, unsafe crypto 2. Logic agent: boundary conditions, null safety, race conditions, type safety 3. Performance agent: N1 queries, O(n²), missing caching, sync blocking Each agent returns findings with file:line severity. Aggregate and deduplicate. Output a consolidated report ranked by severity.然后运行/ultrareview-local。比 ECC 代理组合更接近/ultrareview的并行架构但仍在本地运行受限于本地模型的验证能力。三档 DeepSeek 等效对照Anthropic 用户DeepSeek 用户深度差距/review/review无ECC code-reviewerECC code-reviewer无/ultrareviewECC code-reviewer security-reviewer 并联缺少独立验证、缺少 5 代理并行六、跨平台审查GitHub PR Code ReviewTeam/Enterprise除了 CLI 内的审查命令Claude Code 还提供了一套 GitHub 集成的自动审查服务——在 GitHub PR 上自动运行结果直接显示为行内评论。DeepSeek 兼容性❌ 不可用。这是 Anthropic 托管服务仅限 Team/Enterprise 计划。6.1 工作流程PR 创建/推送 → GitHub App 检测 → 多代理并行分析 diff 完整代码库上下文 → 验证过滤误报 → 去重排序 → 行内评论 摘要评论 Check Run。6.2 三种触发模式模式行为成本PR 创建时一次PR 打开或标记 ready 时运行一次最低每次推送每次推送到 PR 分支都运行自动解决已修复问题的评论线程最高推送次数 × 单价手动仅当有人评论claude review时运行可控手动模式下评论claude review once只运行一次且不订阅后续推送适合长周期 PR 的按需审查。6.3 自定义审查行为CLAUDE.mdCode Review 会读取仓库中的CLAUDE.md。新引入的违反CLAUDE.md规则的问题会被标记为 nit 级别。双向生效——如果 PR 修改了CLAUDE.md覆盖的代码但没有更新CLAUDE.md本身也会被标记。REVIEW.md仓库根目录自动发现注入到每个审查代理的系统提示作为最高优先级。示例# REVIEW.md - Any SQL without parameterization → Important - Missing TypeScript type on public export → Nit - New /api routes MUST have integration test - Any new env var MUST be in .env.example - DB migrations MUST include rollback script6.4 严重性标记标记含义 Important应在合并前修复的 bug Nit小问题值得修复但不阻塞 Pre-existing代码库中已存在的问题非本 PR 引入6.5 内部数据参考指标数据PR 反馈率引入前→后16% → 54%大 PR1000行发现率84%平均 7.5 个问题小 PR50行发现率31%平均 0.5 个问题误报率1%平均耗时/费用~20 分钟 / $15-25数据来源Anthropic 官方博客2026-03自报数据。七、审查意见分级与工作流整合7.1 统一的严重性分级标准不管用哪档审查工具建议团队统一使用以下分级标准级别标签含义合并条件Blocker会导致生产事故数据丢失、安全漏洞、服务崩溃必须修复后才能合并Major可能导致异常行为逻辑错误、边界条件遗漏、性能严重退化必须修复或明确记录豁免理由Minor代码质量问题命名不当、缺失注释、可读性差建议修复不阻塞合并Nit⚪风格偏好空格、引号风格、import 排序可选修复7.2 推荐工作流三阶段审查阶段 1日常开发每次 commit 前 git add → /review → 修复 → git commit 成本零额外费用计入正常用量 阶段 2PR 提交前本地深度审查 /code-review /security-scan → 修复 → git push 成本零额外费用计入正常用量 阶段 3合并前云端最终验证 /ultrareview → 修复 → 合并 成本$5-20/次 或者Team/Enterprise 开 PR → 等待自动审查完成 → 审查发现 → 合并 成本$15-25/次7.3 Git Hook 集成在.claude/settings.local.json中配置 pre-commit Hook 实现自动审查适合质量要求高的项目注意每次 commit 的等待时间和 Token 消耗{hooks:{pre-commit:[{matcher:*.{ts,tsx,js,jsx,py,go},command:claude --print \/review staged changes. Exit 1 if BLOCKER found.\,blocking:true}]}}八、Debug #1 —/review不识别 diff返回No changes to review报错日志 /review No changes to review.根因/review依赖git diff收集改动。三种情况会导致认为没有改动(1) 刚提交完所有改动已进入 HEAD(2) 在子目录运行仓库在上级目录(3) 文件被.gitignore忽略。代码修复git status# 检查状态gitdiffHEAD~1|claude--printReview this diff# 若已提交cd $(git rev-parse--show-toplevel)# 回到仓库根目录git check-ignore-v src/generated/config.ts# 检查是否被忽略验证gitdiff--stat# 应列出改动文件/review# 应正常输出审查结果九、Debug #2 —/ultrareview拒绝运行提示Authentication required报错日志 /ultrareview Error: Ultrareview requires authentication with a Claude.ai account. You are currently signed in with an API key only. Run /login to authenticate with Claude.ai first.根因/ultrareview在 Anthropic 云端基础设施上运行需要 Claude.ai 账号认证。API Key 只授权模型调用不授权云端计算资源——多代理沙箱编排在 Anthropic 托管服务上架构上就与 API Key 的纯模型调用模式不同。代码修复/login# 浏览器 OAuth 授权/extra-usage# Team/Enterprise 需先开通额外用量/ultrareview# 重新运行验证# 确认认证状态/login# 应显示Logged in as 你的账号 (Pro/Max/Team/Enterprise)# 运行确认/ultrareview# 应显示确认对话框包含审查范围和剩余运行次数十、Debug #3 —/ultrareview对小于 50 行的 PR 不触发或耗时过长报错日志 /ultrareview Starting ultrareview... Review completed in 22 minutes. 0 findings.或者 /ultrareview 42 Error: This PR has fewer than 10 lines changed. Consider using /review instead.根因/ultrareview为大改动设计。改动 50 行时性价比急剧下降——5 个代理的成本不变$5-20但发现概率从 84%大 PR降到 31%小 PR。代码修复# 50行 → /review# 50-500行 → /code-review /security-scan# 500行或涉及 auth/支付/迁移 → /ultrareview在 CLAUDE.md 中加入自动建议规则参考 第七节 的工作流建议。十一、Debug #4 —/security-review报错fatal: ambiguous argument报错日志 /security-review fatal: ambiguous argument origin/HEAD...: unknown revision or path not in the working tree.根因/security-review内部运行git diff origin/HEAD...确定审查范围。origin/HEAD悬空的两大原因(1) clone 后未 fetch(2) 远程默认分支改名如master→main。代码修复gitfetch origingitremote set-head origin--autogitbranch-r|grepHEAD# 应输出origin/HEAD - origin/main验证gitremote show origin|grepHEAD branch# 应输出HEAD branch: main/security-review# 应正常开始审查十二、Debug #5 — ECC code-reviewer 审查结果过于冗长淹没关键问题报错日志不是真正的报错而是输出质量问题 /code-review # 输出了 47 条发现其中 4 条是真正的 bug # 28 条是建议把 const 改成 let级别的 nit # 15 条是函数名可以考虑更语义化的建议 # 真正的 blocker 被淹没在噪声中根因ECC code-reviewer 默认全面审查不区分严重性风格建议nit与真正的 bugblocker混在同一输出流。缺少验证环节误报率高时会导致狼来了效应。代码修复在 CLAUDE.md 中添加审查指令过滤低信号输出## Code Review Configuration When running code review via ECC code-reviewer or /review: ### Priority — only flag HIGH SIGNAL issues - The code will fail to compile (syntax errors, type errors, missing imports) - The code will produce wrong results regardless of inputs (clear logic errors) - Security vulnerabilities (injection, auth bypass, exposed secrets) ### Do NOT flag - Code style or formatting preferences - Variable naming suggestions unless misleading - Consider refactoring without a concrete bug - Issues that depend on specific runtime state to verify - Subjective improvements ### Output format - Group by severity: BLOCKER → MAJOR → MINOR - File:line citation for every finding - Skip the looks good overall pleasantries - If no BLOCKER or MAJOR findings: output PASS — no blocking issues验证# 修改配置后重新运行/code-review# 应输出# - 5-10 条发现# - 按严重性分组# - 每条有文件:行号# - 没有风格建议和可以考虑的模糊建议十三、速查卡13.1 审查工具选型矩阵场景工具命令耗时成本DeepSeek提交前快速扫/review/review秒级正常用量✅安全专项扫/security-review/security-review秒级正常用量✅中等 PR 质量审查ECC code-reviewer/code-review1-3 分钟正常用量✅安全漏洞审计ECC security-reviewer/security-scan1-3 分钟正常用量✅大 PR 深度审查/ultrareview/ultrareview [PR]5-20 分钟$5-20❌团队自动审查GitHub PR Code Review自动/claude review~20 分钟$15-25❌CI 非交互审查claude ultrareviewclaude ultrareview5-20 分钟$5-20❌13.2 关键配置路径配置路径用途自定义/review行为.claude/commands/review.md覆盖内置/review的审查维度ECC code-reviewer 配置.claude/agents/code-reviewer.md自定义审查清单和严重性标准GitHub PR 审查规则仓库根目录REVIEW.md定义 PR Code Review 的审查规则项目级审查指令仓库根目录CLAUDE.md所有审查工具共享的项目规范Git Hook 审查.claude/settings.local.jsonpre-commit 自动审查13.3 常见报错 → 解决方案报错特征解决详情“No changes to review”确认有未提交改动在仓库根目录运行Debug #1“Authentication required”/login登录 Claude.ai 账号Debug #2/ultrareview对小 PR 返回 0 findings改用/review或/code-reviewDebug #3“fatal: ambiguous argument”git remote set-head origin --autoDebug #4审查输出太长淹没关键问题配置 CLAUDE.md 中的审查指令过滤 nitDebug #5/ultrareview提示extra usage not enabled/extra-usage开通或联系管理员Debug #2GitHub PR 审查不触发确认安装了 GitHub App 仓库已选择检查 claude.com/settings十四、扩展阅读本系列相关文章高手进阶一Claude Code 五端完整指南 — IDE 中的审查工作流和权限配置高手进阶二Routines 云端自动化 — 可以配置 Routine 定时运行代码审查新手上路四MCP 协议实战 — GitHub MCP Server 是 PR 审查的基础设施参考文献Find bugs with ultrareview — Claude Code Docs —/ultrareview官方文档定价、用法、与/review的对比Code Review — Claude Code Docs — GitHub PR Code Review 设置指南触发模式、REVIEW.md 自定义Bringing Code Review to Claude Code — Anthropic 官方博客内部使用数据54% PR 反馈率、1% 误报率Set up Code Review for Claude Code — 管理员配置指南计费与配额说明Automated Security Reviews in Claude Code —/security-review官方文档Claude Code /ultrareview: Cloud Bug-Hunting Fleet — 第三方深入分析多代理架构和定价对比Everything Claude Code (ECC) — ECC 插件系统code-reviewer 和 security-reviewer 代理定义Claude Code Slash Commands: Complete Guide (2026) — Claude Code 内置命令全指南