夜雨聆风01 阿里开源了内部用了两年的 AI 代码审查工具
如果你用过 AI 做代码审查,大概率遇到过这些问题:改了个大一点的 PR,AI 只审了部分文件,漏掉了一半;报的 Bug 行号不对,定位到完全不相关的位置;每次审查质量忽高忽低,改改提示词效果就完全不一样。
这不是你配置的问题,是纯语言驱动架构的先天局限。
内测了两年、在阿里内部服务了数万开发者的代码审查工具,现在正式开源了。
02 它叫 Open Code Review
项目代号 OCR(不是文字识别那个),是用 Go 语言写的,Apache-2.0 协议,发布不到三周已经在 GitHub 上收获了 1400 多颗星。最新版本是 v1.1.18,6 月 4 号刚发布。
GitHub:github.com/alibaba/open-code-review
它的前身是阿里集团内部的官方 AI 代码审查助手,过去两年在内部识别了数百万个代码缺陷,覆盖了 NPE 空指针、线程安全、XSS 跨站脚本、SQL 注入等高危问题的审查规则。
03 和 Claude Code 审查有什么区别?
你可能会想,现在 Claude Code 也能做代码审查啊,为什么要单独用一个工具?
说个真实痛点。我用 Claude Code 审过 PR,变更文件一多,它就开始偷懒,挑了 3 个文件审完就说完成了,剩下 7 个文件压根没看,而且它报的问题行号经常飘,明明第 50 行的代码有问题,它给你报在第 80 行。你遇到过吗?
Open Code Review 的设计理念很有趣:确定性工程加 Agent 混合驱动。
说人话就是:能通过代码逻辑保证的,绝不让 AI 去做决定。
比如文件筛选,它用工程逻辑精确判断哪些文件需要审查、哪些应该过滤,保证一个不漏。关联的文件(比如成对的中英文配置文件)会自动打成包,每个包作为独立任务并发审查,你改 50 个文件,它能并发审完 50 个,不会偷懒。
04 内置了哪些审查规则?
这个工具不光靠 LLM 审查代码,它还内置了一套经过阿里内部大规模验证的规则引擎。包括但不限于:
第一,空指针异常检测。Java 程序员最头疼的 NullPointerException,在阿里的大规模实践中已经沉淀了一整套检测模式。
第二,线程安全问题。多线程环境下的竞态条件和死锁检测。
第三,XSS 和 SQL 注入。Web 安全场景的高频漏洞,规则引擎能精准命中。
第四,代码风格和最佳实践。根据团队自己的编码规范自定义规则。
而且这些规则是模板引擎驱动的,不是靠提示词硬写。相比每次让 LLM 重新理解规则,模板匹配的方式更稳定、结果更可预期。
05 怎么用?
安装很简单,一行命令就行:
npm install -g @alibaba-group/open-code-review安装完就能用 ocr 命令了。支持三种审查模式:
工作区模式。直接把当前工作目录的所有变更从头到尾审一遍。
分支对比模式,对比两个分支的差异。
ocr review --from main --to feature-branch单次提交模式,审某个特定提交。
ocr review --commit abc123LLM 配置也灵活,支持 Anthropic 和 OpenAI 兼容的 API,你甚至可以直接复用 Claude Code 的环境变量,不用重复配置。
06 最大的亮点:能和 AI 编程工具配合使用
这个是我觉得最实用的设计。Open Code Review 不仅能当独立 CLI 用,还能作为插件集成到 Claude Code 里。装完之后,在 Claude Code 里直接打斜杠命令
/open-code-review:review就能触发审查。
它甚至还提供了一个 Skills 包,用
npx skills add alibaba/open-code-review就能教会你的 AI 编程助手怎么调用 OCR 来审代码。
想象一下这个场景:你用 Claude Code 写完了代码,打一个斜杠命令,OCR 自动把你这次改的所有文件审查一遍,报出潜在问题,还能自动帮你修复,整个流程不需要离开编程环境。
07 适合谁用?
如果你是个人开发者,特别是有代码洁癖的那种,这个工具能帮你把 PR 质量拉高一个档次。提交之前先跑一遍 OCR,把低级问题都消灭在萌芽状态。
如果你是团队的技术负责人,这个工具可以作为 CI 流水线的一环,每次 PR 自动触发审查,AI 先过一遍,再分配给人工审查,既能保证覆盖率,又能减轻团队成员的压力。
如果你在用 AI 编程做项目,那就更香了。AI 写的代码让 AI 来审查,自己写自己查,形成闭环,你只需要在最终环节做决策。
最后
代码审查这件事,过去依赖老手的经验,新手容易漏,老手容易被琐碎问题淹没,阿里把这个内部打磨了两年的工具开源出来,对开发者社区是一件好事。
工具已经摆在这了,用不用就看你自己了 😊 花 5 分钟装上,可能会让你对代码质量有一个全新的感知。
你平时用什么工具做代码审查?欢迎留言聊聊。
