Code Audit Pro

SKILL.md

---
name: "ai-code-audit"
description: "全方位AI代码审查：安全/性能/逻辑/风格/AI幻觉，支持PR审核、多语言规则、增量扫描"
metadata:
  openclaw:
    emoji: "🔍"
    version: "2.0.0"
    author: "墨鱼精@g1776933879"
    tags: ["code-review", "security", "performance", "ai"]
---

# 🔍 Code Audit Pro — 全方位AI代码审查

## 核心能力

融合 9 大审查维度 × 4 种使用模式，覆盖**传统代码审查** + **AI代码特有检查**。

### 9 大审查维度

| # | 维度 | 覆盖内容 | 典型严重度 |
|---|------|---------|-----------|
| 1 | 🧠 AI幻觉检测 | 不存在的API/函数/库、虚构参数、过时API | 🔴 |
| 2 | 🔄 死循环/无限递归 | 无break、缺base case、异步死循环、事件未注销 | 🔴 |
| 3 | 💥 空指针/类型错误 | null检查、越界、解构失败、await遗漏 | 🔴 |
| 4 | 🔐 安全漏洞 | SQL注入、命令注入、XSS、硬编码密钥、不安全反序列化 | 🔴 |
| 5 | ⚡ 性能问题 | N+1查询、重复计算、缓存缺失、内存泄漏 | 🟡 |
| 6 | 🧪 逻辑错误 | 条件反写、边界遗漏、浮点精度、竞态条件 | 🔴🟡 |
| 7 | 🏗️ 架构设计 | 函数过长、魔法数字、职责混淆、异常宽泛、日志缺失 | 🟡🔵 |
| 8 | 📦 依赖兼容 | 版本冲突、缺依赖声明、跨平台问题、编码假设 | 🟡 |
| 9 | 🤖 AI特有模式 | 虚构import、编造配置项、不可能条件、重复定义 | 🟡🔵 |

### 4 种使用模式

#### 模式一：完整审查（full）
全方位 9 维度扫描，输出完整报告

**触发**: `审查 [文件]` / `帮我review [代码]`

**输出模板**：
```markdown
## 🔍 Code Audit Pro 报告

**审查范围**: [文件名]
**语言**: [语言]
**使用模式**: 完整审查
**总体评级**: ⭐⭐⭐⭐ (4/5)
**发现问题**: N 个 (🔴 A / 🟡 B / 🔵 C)

### 🔴 致命问题
[列表，每个附带位置、说明、修复代码]

### 🟡 严重/警告
[列表]

### 🔵 建议
[列表]

### ✅ 做得好
[亮点]

### 总结
- 急需修复: N
- 代码健康度: ⭐⭐⭐⭐⭐
```

#### 模式二：PR/变更审查（pr）
分析 diff，逐文件审查变更

**触发**: `审查这个PR` / `review我的变更` / `检查提交`

**自动执行**:
1. 用户在工作目录 → 自动 `git diff` 获取变更
2. 按文件列出变更行数、风险等级
3. 对每个变更文件逐行审查
4. 输出 PR Review 报告 + 合并建议（✅ 可合并 / ⚠️ 修复后合并 / ❌ 拒绝）

#### 模式三：安全审查（security）
深度安全扫描，只关注安全维度

**触发**: `安全审查 [代码]`

**重点**：
- SQL注入 / XSS / CSRF
- 硬编码密钥 / 敏感信息泄露
- 命令注入 / 路径遍历
- 不安全反序列化
- 权限绕过 / 认证漏洞
- 依赖漏洞（CVE）

#### 模式四：快速审查（quick）
只输出 🔴 致命问题，适合提交前快速自查

**触发**: `快速检查 [代码]`

**输出**：
```
🔍 快速审查结果：✅ 通过 / ⚠️ N 个问题

[致命问题列表 + 修复建议]
```

### 语言特定规则

自动检测语言，加载对应审查规则：

| 语言 | 特定关注点 |
|------|-----------|
| Python | 类型安全、GIL陷阱、装饰器滥用、异步await遗漏 |
| JavaScript/TS | Promise错误处理、原型污染、async/await缺失、可选链 |
| Java | 空指针、资源泄漏、并发安全、Spring最佳实践 |
| Go | goroutine泄漏、error传播、channel死锁 |
| SQL | 注入、索引缺失、N+1查询、事务隔离 |
| Rust | 生命周期、unsafe块、内存安全 |
| C/C++ | 内存泄漏、缓冲区溢出、野指针 |

### AI代码特有检查（业内独家）

审查AI生成代码时自动启用：

- 检测**不存在的API/库**（AI最常见的幻觉）
- 检测**虚构的配置项/参数**
- 检测**不可能达成的条件**（if False, 永远为真的条件）
- 检测**重复函数定义**（AI分块生成时的常见问题）
- 检测**缺失的async/await**
- 检测**过时的npm包/API**

## 工作流程

1. 收集文件（目标文件 + 配置文件 + git diff）
2. 自动判断语言和使用模式
3. 按维度逐项检查，每个发现输出：
   ```
   [严重度] [维度] 标题
   → 位置: 文件:行号
   → 说明: 为什么是问题
   → 修复: 修复方案(含代码片段)
   ```
4. 生成结构化报告
5. 给出总体评级和修复建议优先级

## 严重度分级

| 级别 | 标签 | 处理要求 |
|------|------|---------|
| 🔴 致命 | CRITICAL | 必须修复：崩溃、数据丢失、安全漏洞 |
| 🟡 警告 | WARNING | 建议修复：逻辑错误、性能问题 |
| 🔵 建议 | INFO | 可选改进：风格、最佳实践 |

## 使用示例

```
用户: "审查一下这个 server.js"
助手: 自动执行 Code Audit Pro，输出完整报告

用户: "安全审查 app.py"
助手: 仅执行安全维度审查

用户: "快速检查我改的代码"
助手: git diff → 输出致命问题清单

用户: "检查这个PR"
助手: 分析diff → 输出PR Review报告
```

## 注意事项

- 必须读文件，不要跳步骤
- AI生成的代码要特别检查 API 调用是否真实存在
- 每个问题都要给出具体位置和修复方案
- 宁严勿松：不确定时标记为问题
- 安全相关一律标 🔴 致命