阿里开源的 AI 代码审查工具 open-code-review 来了

简介: 阿里巴巴开源Open Code Review(OCR),融合确定性工程与LLM Agent,已服务数万开发者、发现百万级缺陷。内置NPE、SQL注入等安全规则,支持CLI、Agent集成及多平台部署,让AI代码审查更精准、稳定、可落地。(239字)

AI Code Review 已经不算新鲜,但真正能够稳定落地到研发流程的产品并不多。

最近,阿里巴巴开源了 Open Code Review(OCR),将内部经过大规模实践验证的 AI 代码审查开源给社区。据介绍,该工具已服务数万名开发者、发现数百万个代码缺陷,并最终沉淀为开源项目。采用「确定性工程 + LLM Agent」混合架构,在发挥大模型理解能力的同时,通过工程化手段保证 Review 的稳定性和覆盖率。

ChatGPT Image 2026年6月10日 16_26_37.png


内置审查规则

相比自己编写的 Prompt,OCR 已经内置了一套针对代码审查优化的规则体系。

例如你可以检查:

  • 空指针风险(NPE)
  • SQL 注入
  • XSS 漏洞
  • 线程安全问题
  • 参数校验缺失
  • Mapper SQL 配置错误

同时支持项目级、用户级、自定义规则覆盖,能够针对不同业务团队制定专属 Review 标准,实现统一的代码规范管理。

CLI 安装

NPM 安装(推荐)

友情提示:如果安装过程中遇到网络问题,可通过配置 npm 代理解决。

# 如需使用代理,可参考以下配置
# npm config set proxy http://127.0.0.1:7890
# npm config set https-proxy http://127.0.0.1:7890

npm install -g @alibaba-group/open-code-review

获取安装包

如果安装过程中遇到网络问题,可以通过公 zhong 号 BugShare 内发送 review 获取软件包

# Windows
将 ocr.exe 添加到 PATH 环境中

# macOS / Linux
chmod +x ocr && sudo mv ocr /usr/local/bin/ocr

快速开始

配置 LLM

配置文件位置:~/.opencodereview/config.json

# 方式 A:交互式配置
ocr config set llm.url https://api.anthropic.com/v1/messages
ocr config set llm.auth_token your-api-key-here
ocr config set llm.model claude-opus-4-6
ocr config set llm.use_anthropic true

# 方式 B:环境变量(优先级最高)
export OCR_LLM_URL=https://api.anthropic.com/v1/messages
export OCR_LLM_TOKEN=your-api-key-here
export OCR_LLM_MODEL=claude-opus-4-6
export OCR_USE_ANTHROPIC=true

代码审查

cd your-project

# 工作区模式 —— 审查所有暂存、未暂存和未跟踪的变更
ocr review

# 分支范围 —— 比较两个引用
ocr review --from main --to feature-branch

# 单个提交
ocr review --commit xxxx123

集成到 Agent

Open Code Review 不仅支持 CLI 使用,还可以集成到 Claude Code、Codex 等 AI Agent 中,无缝结合到日常开发中。

方式一:作为 Skill 安装

使用 npx 将 OCR skill 安装到项目中:

npx skills add alibaba/open-code-review --skill open-code-review

方式二:作为 Claude Code Plugin 安装

在 Claude Code 中通过以下命令安装命令插件:

/plugin marketplace add alibaba/open-code-review
/plugin install open-code-review@open-code-review

注册 /open-code-review:review 斜杠命令,运行 OCR 并自动过滤和修复问题。

方式三:作为 Codex Plugin 安装

codex plugin marketplace add alibaba/open-code-review
codex
/plugins

安装并启用插件后,可在新的 Codex 会话中直接通过 @Open Code Review 调用代码审查能力:

@Open Code Review review my current changes
@Open Code Review review this branch against main
@Open Code Review review and fix high-confidence issues

写在最后

AI 写代码已经越来越成熟,而 AI 做 Code Review 同样正在成为研发流程的重要组成部分。

相比单纯依赖大模型自由发挥,Open Code Review 通过「确定性工程 + Agent」的混合架构,让 AI 审查变得更加精准、稳定、可控,也让代码审查真正具备了规模化落地的可能。

目录
相关文章
|
4月前
|
人工智能 安全 Java
给“氛围编程”系上安全带:阿里集团 AI 代码评审实践与 Benchmark 开源
阿里集团历时一年半、经数万亿Token真实场景打磨,推出AI代码评审助手,实现人机协作新范式:AI接管基础评审,人类聚焦核心风险。联合南京大学开源业界首个支持10语言、具备仓库级上下文感知的CodeReview Benchmark(AACR-Bench),由80+资深工程师多轮交叉标注,显著提升隐性缺陷检出率。
给“氛围编程”系上安全带:阿里集团 AI 代码评审实践与 Benchmark 开源
|
21天前
|
人工智能 自然语言处理 监控
告别复杂接入流程:用 AI Agent Skill 驱动云监控可观测接入
对云原生与AI应用带来的接入复杂性,阿里云可观测团队将接入接口CLI化,并提供开箱即用的Skill,支持主流的APM和AI应用高效接入,用户仅需自然语言描述即可完成自动化接入,显著降低运维门槛。
226 15
|
21天前
|
人工智能 安全 机器人
【AI 尝鲜实验室】上新 | QwenPaw:本地优先的多渠道个人 AI 助手,让 AI 分身住进你的钉钉与飞书
QwenPaw 是 AgentScope 团队开源的本地优先个人 AI 助手(GitHub 17.4k+ Stars,Apache-2.0 协议),非普通 ChatBot,而是具备长期记忆、多渠道接入(钉钉/飞书/微信/Discord)、本地跑模型、多 Agent 协作能力的“AI 分身”。本实验通过阿里云计算巢一键云端部署,浏览器安全代理即可快速配置使用。
|
14天前
|
人工智能 移动开发 小程序
互联网医院系统开发搭建:AI 智能问诊模块落地与架构优化
在智慧医疗加速普及背景下,AI智能问诊已成为互联网医院核心刚需。依托医疗大模型、RAG知识库与智能分诊引擎,实现症状初筛、精准分科、健康指导,缓解人工拥堵、提升分诊效率、释放医护压力,助力医疗数字化转型升级。
|
21天前
|
SQL 人工智能 IDE
从个人生产力到组织能力:LoongSuite-Pilot×SLS 的 AI Coding 度量实践
本文介绍如何通过 LoongSuite-Pilot 采集异构 AI Coding Agent 事件流,结合 SLS 大盘的 SQL 分析能力,构建从个人使用行为到组织级度量的完整看板,帮助研发团队量化 AI 工具的实际落地效果。
|
Nacos
服务器部署 Nacos 获取不到配置浏览器可以访问
[Nacos Config] config[dataId=ruoyi-auth.yml,group=DEFAULT_GROUP] is empty、Nacos无法注册、gRPC、端口偏移
763 0
服务器部署 Nacos 获取不到配置浏览器可以访问
|
20天前
|
人工智能 IDE 安全
Qoder CN(原通义灵码)全解析:产品形态、版本划分与技术适配与选型建议
2026年阿里云旗下原通义灵码(Lingma)正式品牌升级为**Qoder CN**,并从单一IDE插件进化为覆盖编码、办公、终端、移动端的全场景AI智能体产品矩阵。此次升级不仅是名称变更,更是产品定位从“代码生成工具”向“全栈智能研发助手”的战略跃迁,核心能力、计费模式、适配生态全面迭代,同时延续本土化优化、数据安全合规的核心优势。本文将从产品形态、版本划分、技术适配、核心能力、计费规则、选型建议六大维度,结合2026年官方最新文档,全面拆解Qoder CN产品体系,帮助个人开发者、技术团队、企业用户清晰理解产品价值,快速完成部署与选型,全文兼具理论深度与实操指导,适配不同规模用户的需求。
795 0
|
JavaScript
VUE element-ui之上传身份证照片正反面详细代码
VUE element-ui之上传身份证照片正反面详细代码
1966 0
VUE element-ui之上传身份证照片正反面详细代码
|
11天前
|
Linux API 开发者
MarkText:一款被低估的开源 Markdown 编辑器
MarkText 是一款 **被严重低估** 的编辑器。它没有 Obsidian 的插件生态,也没有 Notion 的协作能力,但它做到了很多编辑器没做好的事:**把写 Markdown 这件事本身做到极致**。 干净的界面、流畅的实时预览、体贴的三种编辑模式、完整的规范支持,再加上 MIT 开源免费——如果你是一个纯粹的写作者,MarkText 就是你需要的那个工具。
349 3