back
loading skill details...
全方位AI代码审查:安全/性能/逻辑/风格/AI幻觉,支持PR审核、多语言规则、增量扫描
---
name: "ai-code-audit"
description: "全方位AI代码审查:安全/性能/逻辑/风格/AI幻觉,支持PR审核、多语言规则、增量扫描"
metadata:
openclaw:
emoji: "🔍"
version: "2.0.0"
author: "墨鱼精@g1776933879"
tags: ["code-review", "security", "performance", "ai"]
---
# 🔍 Code Audit Pro — 全方位AI代码审查
## 核心能力
融合 9 大审查维度 × 4 种使用模式,覆盖**传统代码审查** + **AI代码特有检查**。
### 9 大审查维度
| # | 维度 | 覆盖内容 | 典型严重度 |
|---|------|---------|-----------|
| 1 | 🧠 AI幻觉检测 | 不存在的API/函数/库、虚构参数、过时API | 🔴 |
| 2 | 🔄 死循环/无限递归 | 无break、缺base case、异步死循环、事件未注销 | 🔴 |
| 3 | 💥 空指针/类型错误 | null检查、越界、解构失败、await遗漏 | 🔴 |
| 4 | 🔐 安全漏洞 | SQL注入、命令注入、XSS、硬编码密钥、不安全反序列化 | 🔴 |
| 5 | ⚡ 性能问题 | N+1查询、重复计算、缓存缺失、内存泄漏 | 🟡 |
| 6 | 🧪 逻辑错误 | 条件反写、边界遗漏、浮点精度、竞态条件 | 🔴🟡 |
| 7 | 🏗️ 架构设计 | 函数过长、魔法数字、职责混淆、异常宽泛、日志缺失 | 🟡🔵 |
| 8 | 📦 依赖兼容 | 版本冲突、缺依赖声明、跨平台问题、编码假设 | 🟡 |
| 9 | 🤖 AI特有模式 | 虚构import、编造配置项、不可能条件、重复定义 | 🟡🔵 |
### 4 种使用模式
#### 模式一:完整审查(full)
全方位 9 维度扫描,输出完整报告
**触发**: `审查 [文件]` / `帮我review [代码]`
**输出模板**:
```markdown
## 🔍 Code Audit Pro 报告
**审查范围**: [文件名]
**语言**: [语言]
**使用模式**: 完整审查
**总体评级**: ⭐⭐⭐⭐ (4/5)
**发现问题**: N 个 (🔴 A / 🟡 B / 🔵 C)
### 🔴 致命问题
[列表,每个附带位置、说明、修复代码]
### 🟡 严重/警告
[列表]
### 🔵 建议
[列表]
### ✅ 做得好
[亮点]
### 总结
- 急需修复: N
- 代码健康度: ⭐⭐⭐⭐⭐
```
#### 模式二:PR/变更审查(pr)
分析 diff,逐文件审查变更
**触发**: `审查这个PR` / `review我的变更` / `检查提交`
**自动执行**:
1. 用户在工作目录 → 自动 `git diff` 获取变更
2. 按文件列出变更行数、风险等级
3. 对每个变更文件逐行审查
4. 输出 PR Review 报告 + 合并建议(✅ 可合并 / ⚠️ 修复后合并 / ❌ 拒绝)
#### 模式三:安全审查(security)
深度安全扫描,只关注安全维度
**触发**: `安全审查 [代码]`
**重点**:
- SQL注入 / XSS / CSRF
- 硬编码密钥 / 敏感信息泄露
- 命令注入 / 路径遍历
- 不安全反序列化
- 权限绕过 / 认证漏洞
- 依赖漏洞(CVE)
#### 模式四:快速审查(quick)
只输出 🔴 致命问题,适合提交前快速自查
**触发**: `快速检查 [代码]`
**输出**:
```
🔍 快速审查结果:✅ 通过 / ⚠️ N 个问题
[致命问题列表 + 修复建议]
```
### 语言特定规则
自动检测语言,加载对应审查规则:
| 语言 | 特定关注点 |
|------|-----------|
| Python | 类型安全、GIL陷阱、装饰器滥用、异步await遗漏 |
| JavaScript/TS | Promise错误处理、原型污染、async/await缺失、可选链 |
| Java | 空指针、资源泄漏、并发安全、Spring最佳实践 |
| Go | goroutine泄漏、error传播、channel死锁 |
| SQL | 注入、索引缺失、N+1查询、事务隔离 |
| Rust | 生命周期、unsafe块、内存安全 |
| C/C++ | 内存泄漏、缓冲区溢出、野指针 |
### AI代码特有检查(业内独家)
审查AI生成代码时自动启用:
- 检测**不存在的API/库**(AI最常见的幻觉)
- 检测**虚构的配置项/参数**
- 检测**不可能达成的条件**(if False, 永远为真的条件)
- 检测**重复函数定义**(AI分块生成时的常见问题)
- 检测**缺失的async/await**
- 检测**过时的npm包/API**
## 工作流程
1. 收集文件(目标文件 + 配置文件 + git diff)
2. 自动判断语言和使用模式
3. 按维度逐项检查,每个发现输出:
```
[严重度] [维度] 标题
→ 位置: 文件:行号
→ 说明: 为什么是问题
→ 修复: 修复方案(含代码片段)
```
4. 生成结构化报告
5. 给出总体评级和修复建议优先级
## 严重度分级
| 级别 | 标签 | 处理要求 |
|------|------|---------|
| 🔴 致命 | CRITICAL | 必须修复:崩溃、数据丢失、安全漏洞 |
| 🟡 警告 | WARNING | 建议修复:逻辑错误、性能问题 |
| 🔵 建议 | INFO | 可选改进:风格、最佳实践 |
## 使用示例
```
用户: "审查一下这个 server.js"
助手: 自动执行 Code Audit Pro,输出完整报告
用户: "安全审查 app.py"
助手: 仅执行安全维度审查
用户: "快速检查我改的代码"
助手: git diff → 输出致命问题清单
用户: "检查这个PR"
助手: 分析diff → 输出PR Review报告
```
## 注意事项
- 必须读文件,不要跳步骤
- AI生成的代码要特别检查 API 调用是否真实存在
- 每个问题都要给出具体位置和修复方案
- 宁严勿松:不确定时标记为问题
- 安全相关一律标 🔴 致命
don't have the plugin yet? install it then click "run inline in claude" again.