概要代码审查Code Review简称CR是保障软件质量的重要一环但在实际研发中它往往是最耗时、最容易流于形式的环节。资深开发的精力被大量琐碎问题占据真正的逻辑漏洞反而被遗漏。本文将分享一套基于 Claude 大模型的轻量级自动代码审查助手的完整搭建方案从整体架构、核心提示词设计到落地调优全程实操可复现。在动手之前我在AI 模型聚合平台库拉leadhi.cn上对比了多家主流大模型的代码理解能力、指令遵循度以及 API 调用成本。这类聚合平台的好处在于无需在多个厂商之间反复切换账号和密钥一个入口就能横向测试 Claude、GPT 系列等多个模型的实际表现。对比下来Claude 在处理复杂逻辑推理和结构化输出上确实更稳定因此最终选定它作为本方案的核心引擎。整体架构流程这套助手的设计原则是轻——不部署额外的微服务直接挂载在团队现有的持续集成CI/CD流程上即可运行。整个工作流可以拆解为四个环节事件触发层开发者在代码托管平台如 GitHub、GitLab提交 Pull RequestPR或 Merge RequestMR。差异提取层CI 工具如 GitHub Actions监听到提交事件自动拉取当前分支与目标分支之间的代码差异Git Diff。模型推理层一段脚本将 Git Diff 嵌入预设的系统提示词调用 Claude 的 API 进行审查。Claude 返回结构化的 JSON 审查结果。结果回贴层脚本解析 JSON 结果调用代码平台的 API将具体的修改建议以行内评论的形式贴回对应的代码行下方。整个链路的关键设计在于只发送变动的代码片段Diff而非整个项目文件。这一点既保证了模型注意力的聚焦又把单次调用的 Token 消耗压到了极低水平。技术名词解释为方便不同基础的读者理解先统一几个核心概念Code ReviewCR代码审查指在代码合并到主干之前由人工或工具对代码质量、逻辑、安全性进行检查的过程。Git Diff版本控制系统中用于展示两个版本之间代码差异的机制只显示新增、删除和修改的行。System Prompt系统提示词发送给大模型的角色设定和行为指令决定了模型回答问题的身份、风格和边界。Prompt Caching提示词缓存大模型厂商提供的一项优化技术。当多次请求中包含相同的提示词前缀时该部分内容可直接命中缓存无需重复计算从而降低费用、提升响应速度。Severity严重等级用于标记问题的危害程度本方案中分为 CRITICAL致命和 WARNING警告两级。Auto-Fix自动修复AI Agent 自主生成修复代码并验证的能力代表了代码审查工具的进化方向。技术细节一、核心提示词设计整套方案最关键的部分不是代码而是提示词。实践中最大的痛点是大模型太爱唠叨——它会对每一行都评头论足从变量命名挑到注释格式产生大量噪音最终让开发者直接无视所有评论。要治这个毛病必须在 System Prompt 中给它划清边界。以下是目前运行效果最稳定的版本markdown# 角色你是一个挑剔且严谨的资深软件架构师负责审查用户提交的 git diff 代码。 # 审查原则1. 忽略所有代码风格、缩进和命名问题这些交给格式化工具处理。2. 只盯硬伤资源未关闭、并发安全隐患、未捕获的严重异常、边界条件遗漏、潜在安全漏洞。3. 如果代码没有上述问题直接返回空数组 []不要输出任何多余的解释。 # 输出格式必须返回标准 JSON 数组[ { file: 文件路径, line: 行号, severity: CRITICAL | WARNING, comment: 漏洞说明和修改建议 }]加上这层约束后Claude 的表现明显克制代码没问题时它保持沉默一旦开口必定是关键问题。二、API 调用与支持模型调用本身并不复杂核心是把 Git Diff 拼接进消息体发起一次标准的 Chat 请求。这里有几个务实的调优点控制上下文边界提取差异时使用git diff -U3参数只保留变动行上下各 3 行的上下文。这足以让模型理解局部逻辑又能避免 Token 暴涨。善用提示词缓存高频提交场景下系统提示词是固定不变的。开启 Prompt Caching 后这部分内容直接命中缓存费用能砍掉一大半响应延迟也显著下降。模型选择灵活切换得益于聚合平台的统一接口如果某天想测试其他模型在特定语言如 Rust、Go上的审查表现只需切换模型标识符即可无需改动整个脚本结构。三、CI 拦截门禁不要无条件信任 AI 的判断。我们根据返回的 severity 字段做了分流处理判定为 CRITICAL 时CI 流程直接报错并拦截合并强制人工介入确认判定为 WARNING 时仅贴行内评论提醒不阻塞合并流程。这样既保证了关键问题不漏网又避免了 AI 偶发误判拖累整个研发节奏。四、自建与商业插件的取舍很多人会问市面上现成的 AI 审查插件不少为什么还要自己搭核心原因有三其一是规则适配度自建方案能随时把团队的私有框架规约写进提示词而通用插件很难理解自研代码的特殊用法其二是数据安全企业 API 调用的数据不参与模型训练核心资产更有保障其三是成本配合缓存技术自建方案每天跑上百次 CR 的开销微乎其微而商业插件多按人头按月收费是一笔刚性支出。小结从零搭建一套基于 Claude 的代码审查助手技术门槛其实并不高真正的难点在于提示词的精细打磨和工作流的合理裁剪。放在 2026 年的当下来看AI 在研发流程中的角色正在发生质变。它已经从最初只动嘴的监理逐步演进为能独立闭环的自主 Agent。我们团队目前正在测试二期方案当 Claude 发现漏洞后不再只是留言而是直接拉取临时分支、写好修复代码、在云端跑通单元测试最后以建议提交的形式推送到 PR 页面开发者点一下确认即可完成修复。从提意见到自动修复这一步带来的体验提升是质变级别的。如果你也想动手尝试建议先在库拉这类聚合平台上把几个候选模型横向跑一遍找到性价比和效果的最佳平衡点再着手编写脚本。整套方案半天即可跑通对于深受 CR 效率困扰的团队来说回报相当可观。欢迎在评论区交流你在自动化研发流程中遇到的问题看到都会回复。