Claude Code /review:让 AI 帮你做 Code Review
什么是 /review
Code Review 是开发流程中最重要的环节之一,但也是最容易被跳过的。
原因很现实:reviewer 忙、排期紧、PR 堆积。有些团队甚至形成了”互相点 Approve”的默契——review 变成了走过场。
/review 让 Claude Code 充当你的 Code Reviewer。 它会拉取 PR 的详情和 diff,然后像一个资深开发者一样,从代码质量、项目规范、性能、测试覆盖、安全性五个维度给出审查意见。
不是替代人类 reviewer,而是在人类 review 之前多一道 AI 把关。
怎么用 /review
审查指定 PR
/review 123Claude Code 会执行以下流程:
- 运行
gh pr view 123获取 PR 详情(标题、描述、作者等) - 运行
gh pr diff 123获取完整 diff - 分析变更,输出结构化的审查意见
查看待审 PR 列表
/review不带参数时,Claude Code 会运行 gh pr list 列出当前仓库的所有 open PR,你再选择要审查哪一个。
前提条件
/review 依赖 GitHub CLI(gh),使用前确保:
- 已安装
gh:brew install gh(macOS) - 已登录:
gh auth login - 当前目录在一个 Git 仓库中
/review 审查什么
/review 的审查涵盖五个维度:
| 维度 | 关注点 |
|---|---|
| 代码正确性 | 逻辑是否正确,边界条件是否处理,是否有潜在 bug |
| 项目规范 | 是否遵循项目的代码风格和约定 |
| 性能影响 | 是否引入性能问题,如 N+1 查询、不必要的循环 |
| 测试覆盖 | 改动是否有对应的测试,测试是否充分 |
| 安全考量 | 是否有注入、XSS、敏感数据泄露等安全风险 |
审查结果以清晰的分节和要点列表呈现,包括:
- PR 概览——这个 PR 做了什么
- 具体建议——哪些地方可以改进,怎么改
- 潜在风险——需要注意的问题
实际效果
以一个真实场景为例——你的同事提了一个 PR,添加了用户搜索功能:
/review 42Claude Code 可能输出类似这样的审查:
## PR 概览
PR #42 为用户管理页添加了搜索功能,包括前端搜索组件和后端 API 接口。
## 代码质量
- searchUsers 函数的 SQL 查询使用了字符串拼接,建议改用参数化查询防止 SQL 注入
- 搜索结果没有分页,大数据量下可能有性能问题
## 项目规范
- 新增的 API 路由命名风格与现有路由不一致(用了 camelCase 而非 kebab-case)
## 测试覆盖
- 缺少搜索边界条件的测试(空字符串、特殊字符、超长输入)
## 安全
- 搜索输入没有做长度限制和内容校验/review 的工作原理
从源码来看,/review 是一个 prompt 类型的命令——它本质上是向 Claude 注入了一段精心设计的 Code Review 提示词。
你是一个代码审查专家。按以下步骤操作:
1. 如果没有提供 PR 编号,运行 gh pr list 列出所有 open PR
2. 如果提供了 PR 编号,运行 gh pr view <number> 获取 PR 详情
3. 运行 gh pr diff <number> 获取 diff
4. 分析变更,提供全面的审查意见这意味着 /review 本身并不依赖什么特殊的内部机制——Claude 会用它常规的工具(Bash、Read、Grep 等)来完成审查。这也意味着你可以在审查过程中追问、让它解释某个建议、或者要求它关注特定方面。
三个审查命令对比
Claude Code 其实有三个审查相关的命令,适用于不同场景:
/review —— 通用 PR 审查
| 特性 | 说明 |
|---|---|
| 审查对象 | GitHub PR |
| 运行环境 | 本地 |
| 审查维度 | 代码质量、规范、性能、测试、安全 |
| 耗时 | 几分钟 |
| 费用 | 正常 Token 消耗 |
| 适用场景 | 日常 PR 审查 |
/ultrareview —— 深度 Bug 猎手
/ultrareview 123 # 审查指定 PR
/ultrareview # 审查当前分支| 特性 | 说明 |
|---|---|
| 审查对象 | PR 或当前分支(vs 主分支的 fork point) |
| 运行环境 | 云端(远程 Claude Code 会话) |
| 审查维度 | 专注于发现和验证 Bug |
| 耗时 | 10-20 分钟 |
| 费用 | 独立配额,Free/Pro 有免费次数,超出后按 Extra Usage 计费 |
| 适用场景 | 重要功能上线前的深度审查 |
/ultrareview 和 /review 完全不同——它会在云端启动一个”猎虫舰队”(bughunter fleet),由多个 AI Agent 并行分析你的代码,每个 Agent 专注于不同的角度。找到潜在 Bug 后还会进行验证,最终汇总结果返回给你。
这个命令由功能开关控制,可能不是所有用户都能看到。
/security-review —— 安全专项审查
/security-review| 特性 | 说明 |
|---|---|
| 审查对象 | 当前分支(vs origin/HEAD) |
| 运行环境 | 本地 |
| 审查维度 | 纯安全视角 |
| 耗时 | 几分钟 |
| 费用 | 正常 Token 消耗 |
| 适用场景 | 上线前的安全检查 |
/security-review 的审查维度非常聚焦,只看安全问题:
- 输入验证:SQL 注入、命令注入、XXE、模板注入、路径遍历
- 认证授权:认证绕过、权限提升、会话管理
- 密钥管理:硬编码密钥、弱加密、密钥泄露
- 代码执行:RCE、反序列化、eval 注入、XSS
- 数据泄露:敏感数据暴露、日志泄露
它有严格的误报过滤机制——只有置信度达到 8/10 以上的漏洞才会报告。每个漏洞都带有严重程度(HIGH/MEDIUM/LOW)、漏洞描述、利用场景和修复建议。
/security-review 不需要 gh CLI,它直接用 git diff 获取变更内容。
三个命令怎么选
日常 PR 审查 → /review 123
重要功能深度检查 → /ultrareview 123
上线前安全扫描 → /security-review它们不冲突,可以组合使用。比如一个重要功能上线前:
- 先用
/review做一轮通用审查 - 再用
/security-review专门扫安全 - 如果是核心功能,用
/ultrareview做深度 Bug 猎杀
实用技巧
技巧一:审查后追问
/review 的审查结果不是终点。你可以继续对话:
"第二点 SQL 注入的问题能展开说一下吗?给个修复示例"
"除了你提到的问题,这个 PR 的整体架构设计合理吗?"
"帮我把审查意见整理成 PR Comment 的格式"技巧二:聚焦审查
如果你只关心某个方面,可以在参数里说明:
/review 123 focus on performance
/review 123 只看安全相关的问题/review 会把你的额外说明附加到审查提示中。
技巧三:结合 /diff 使用
如果你还没提 PR,可以先用 /diff 看看当前会话的改动,然后手动让 Claude 审查:
帮我审查一下刚才这些改动,特别是安全方面技巧四:自动化审查流程
结合 /hooks,你可以在特定时机自动触发审查。比如在会话结束前提醒审查:
{
"hooks": {
"Stop": [
{
"hooks": [
{
"type": "command",
"command": "echo '{\"systemMessage\": \"提醒:如果本次会话有代码改动,建议运行 /review 或 /security-review 做一次审查\"}'"
}
]
}
]
}
}写在最后
Code Review 的价值毋庸置疑,但让人做 Review 的最大障碍是时间成本。
/review 把这个成本降到了接近零——几分钟就能得到一份覆盖五个维度的审查报告。它不完美,不能替代有领域经验的人类 reviewer 的判断,但它可以:
- 在人类 review 之前先过滤掉明显的问题
- 提醒你可能忽略的测试和安全隐患
- 在没人有空 review 时给你一个快速的反馈
把 AI 当作第一轮 reviewer,让人类 reviewer 专注于更高层次的架构和业务逻辑判断。这才是人机协作的正确姿势。
相关推荐
AI-first 创业公司,为什么只需要一种编程语言?
技术架构越简单 = AI Coding 效率越高。从 Java 的"防人"设计到 TypeScript 全栈通吃,聊聊 AI 时代创业公司的编程语言选择。
cc-ping:一行命令 Ping 所有 Claude Code 配置
用多个 Claude Code API Key 或中继?cc-ping 帮你管理配置、一键切换,还能并行 Ping 所有节点比速度。
震惊!程序员用这个工具,4分钟干完95分钟的活!效率暴涨24倍
躺床上发3条消息,4分钟搞定3个项目。传统方式需要95分钟,这就是冷兵器和热兵器的差距。
CCBot - 研发提效 24 倍
通过 IM 机器人控制 Claude Code,3 个项目 4 分钟全部搞定。传统编程需要 95 分钟,效率提升 24 倍。
Claude Code /add-dir:被低估的 Monorepo 神器
Claude Code 默认只能看到当前目录。/add-dir 打破这个限制——分享我每天跨 5 个仓库使用的经验。
Claude Code 省 Token 小技巧:感叹号的妙用
一个简单却容易被忽略的技巧——用感叹号直接执行命令,省 token、提速度、更可控。
我做了个机器人,让团队在飞书里用 Claude Code
CCBot 让你的团队在飞书群聊里直接用 Claude Code——不需要终端、不需要 SSH。开源、自部署、五分钟搞定。
Claude Code /btw 命令详解:不打扰主线的快问快答
详细介绍 Claude Code 的 /btw 命令——它是什么、怎么用、什么时候该用,以及它和子代理、/compact 的区别。
Claude Code /compact:释放上下文,不丢进度
任务做到一半上下文满了?/compact 帮你压缩对话继续干活——和 /clear、/rewind 的区别一次讲清。
Claude Code /config:一文搞懂所有可调设置
用 Claude Code 却从没打开过 /config?这篇带你逐项拆解——从权限模式到自动压缩,从主题切换到通知配置,帮你打造最顺手的 AI 编程环境。
Claude Code /context:你的上下文都被什么吃了?
对话到一半 Claude Code 说上下文不够了?/context 用一张可视化网格告诉你:上下文被什么占了、占了多少、怎么优化。
Claude Code /diff:这次对话改了什么,一目了然
Claude Code 帮你改了一堆文件,但你不确定到底改了什么?/diff 用交互式界面展示所有改动——既有 git 视角的全量 diff,也有按对话轮次拆分的逐步 diff。
Claude Code /fast:同样的 Opus,两倍速——值不值?
/fast 不会降级模型,还是 Opus,只是更快。什么时候该开、什么时候该关,以及实际体验差异。
Claude Code 引用外部知识的最佳实践:GitHub MCP + Context7
用 GitHub MCP 和 Context7 MCP 两个工具组合,解决 Claude Code 知识过时导致的代码错误问题。
Claude Code /hooks:让 AI 按你的规矩办事
想在 Claude Code 执行命令前自动检查?想在任务完成后自动通知?/hooks 让你用脚本、AI 甚至 HTTP 请求,在关键节点插入自定义逻辑。
Claude Code /init:10 秒自动生成 CLAUDE.md
别再手写 CLAUDE.md 了。看看 /init 自动生成的效果、怎么自定义输出,以及一个让 Claude Code 效率翻倍的小技巧。
Claude Code MCP:让 AI 连接 GitHub、数据库等一切工具
MCP 把 Claude Code 从代码阅读器升级为全栈 Agent。哪些 MCP 服务器值得装、配置怎么写,实测分享。
Claude Code /memory 详解:让 AI 真正记住你的项目
详细介绍 Claude Code 的 /memory 命令和记忆系统——CLAUDE.md 手动指令、Auto Memory 自动记忆、模块化规则,让 Claude 跨会话记住项目规范和个人偏好。
Claude Code /model:Opus、Sonnet、Haiku 怎么选?
不是每个任务都需要 Opus。怎么切换模型、哪个场景用哪个、怎么省 token 又不掉质量。
Claude Code /permissions:谁能干什么,你说了算
每次 Claude Code 要跑命令都弹窗问你?嫌烦又不敢全放开?/permissions 帮你精细控制每个工具的权限——该放的放,该拦的拦。
Claude Code /plan 详解:先想清楚再动手
详细介绍 Claude Code 的 /plan 命令和 Plan Mode——只读规划模式,让 Claude 先分析代码、制定方案,确认后再动手,避免复杂任务翻车。
Claude Code + Playwright MCP:AI 终于能"看见"页面了
一个 Modal 溢出的 bug,Claude Code 反复修了 5 次都没搞定。直到接入 Playwright MCP 让它真正看到页面,一次定位,一次修复。
Claude Code /resume 命令详解:别让对话白聊
详细介绍 Claude Code 的 /resume 命令——恢复历史对话、管理会话、实用技巧,让你的每一轮对话都不浪费。
Claude Code Skills 详解:打造你的专属命令库
详细介绍 Claude Code 的 Skills 功能——创建自定义斜杠命令、复用提示词模板、共享团队最佳实践,让 AI 编程更高效更一致。
Claude Code /stats:看看 AI 到底帮你写了多少代码
好奇 Claude Code 到底写了多少行代码?/stats 给你完整数据——token、编辑次数、工具调用,教你怎么看。
Claude Code /status 命令详解:一眼看清会话全貌
详细介绍 Claude Code 的 /status 命令——它是什么、怎么用、能看到哪些信息,以及它在日常工作流中的实际价值。
Claude Code /tasks 命令详解:后台任务尽在掌控
详细介绍 Claude Code 的 /tasks 命令——查看后台任务、管理并行 Agent、掌控长时间运行的进程,让多任务开发井井有条。
Claude Code /usage 命令详解:你的额度还剩多少
详细介绍 Claude Code 的 /usage 命令——查看用量、了解限额、避免突然被限速,让你对自己的额度心中有数。
Claude Code /vim:在 AI 编程助手里用 Vim 键位
习惯了 Vim 的操作方式?/vim 让你在 Claude Code 的输入框里用 hjkl 移动、dd 删行、ciw 替换单词——不用改变肌肉记忆。
Claude Code 使用指南:从安装到实战,一篇就够(2026)
用了半年 Claude Code 的经验总结——5 分钟安装配置、最常用的命令、CLAUDE.md 编写技巧,以及没人告诉你的实战心得。
Claude 全家桶:从聊天到写代码到自动办公,一文讲清楚
一篇文章带你了解 Anthropic 的 Claude 全家桶——Claude.ai、Claude Code、Claude Cowork,以及 Opus、Sonnet、Haiku 三大模型家族。
Claude Code /agents 详解:自定义 AI 子代理,各司其职
详细介绍 Claude Code 的 /agents 命令——查看、管理和创建自定义 Agent,让不同任务由专门的 AI 角色来执行,从代码探索到架构规划各司其职。
Claude Code /doctor 详解:一键诊断你的开发环境
详细介绍 Claude Code 的 /doctor 命令——自动检测安装状态、API 连接、MCP 配置、上下文用量等问题,帮你快速定位和修复环境故障。
Claude Code /effort 详解:控制 AI 思考的深度
详细介绍 Claude Code 的 /effort 命令——调节 Claude 的推理努力程度,在速度和质量之间找到最佳平衡点,让每一次对话都恰到好处。
Claude Code /cost 详解:你的 AI 编程到底花了多少钱
详细介绍 Claude Code 的 /cost 命令——实时查看会话 API 成本,了解各模型定价和 Token 消耗明细,让每一分钱都花得明明白白。
Claude Code /export 详解:把 AI 对话带走
详细介绍 Claude Code 的 /export 命令——将对话导出为文件或复制到剪贴板,方便分享、存档和复盘,让每一次有价值的对话都不浪费。
Claude Code /rewind 详解:AI 改错了?一键回退
详细介绍 Claude Code 的 /rewind 命令——将代码和对话回退到任意历史节点,支持只回退代码、只回退对话、或两者同时回退,是你和 AI 协作时的后悔药。
Claude Code /plugin 详解:给你的 AI 编程助手装插件
详细介绍 Claude Code 的 /plugin 命令——管理插件的安装、启用、禁用和更新,通过插件扩展 Claude Code 的命令、技能、Agent 和 Hook,打造你专属的 AI 编程工具链。
Claude Code /theme 详解:给你的终端换个好看的皮肤
详细介绍 Claude Code 的 /theme 命令——6 种预设主题 + 自动模式,支持深色/浅色、色盲友好、ANSI 兼容,60+ 色值覆盖终端全部 UI 元素。
Claude Code /insights 详解:用 AI 分析你自己用 AI 的方式
详细介绍 Claude Code 的 /insights 命令——五阶段数据分析流水线、七大洞察章节、多维度会话统计,用 Claude Opus 生成专属 HTML 使用报告。
Claude Code /rename 详解:给你的会话取个有意义的名字
详细介绍 Claude Code 的 /rename 命令——手动命名、AI 自动生成(Haiku 模型)、启动参数命名、Plan 模式自动命名,以及双标题系统与 Bridge 同步机制。
Claude Code settings.json 详解(一):配置文件在哪里、谁说了算
全面介绍 Claude Code 的配置文件体系——五个配置来源的路径、优先级规则、数组合并与单值覆盖的区别、企业管理设置的多种下发方式。
Claude Code settings.json 详解(二):permissions 权限系统全解析
深入解析 Claude Code 的 permissions 配置——allow/deny/ask 三类规则、通配符语法、MCP 工具权限、defaultMode 各模式含义,以及 additionalDirectories 的作用。
Claude Code settings.json 详解(三):hooks 钩子全解析
深入解析 Claude Code 的 hooks 配置——四种钩子类型、核心事件(PreToolUse/PostToolUse/Stop/Notification)、stdin/stdout 协议、exit code 语义,以及实用配置示例。
Claude Code settings.json 详解(四):env、模型、认证与其他实用字段
全面介绍 Claude Code settings.json 中的 env 环境变量注入、模型配置、身份认证辅助、Git 提交署名、会话清理、语言与界面、思考深度、自动更新、记忆系统等实用字段。
Claude Code Agent Loop:拆解 AI 编程助手的心脏
Claude Code 是怎么一步步理解你的需求、调用工具、自我修复的?从源码角度拆解 Agent Loop 的核心架构——流式响应、并行工具执行、自动压缩、错误恢复,一次讲透。