AI Code Review 已经不算新鲜,但真正能够稳定落地到研发流程的产品并不多。
最近,阿里巴巴开源了 Open Code Review(OCR),将内部经过大规模实践验证的 AI 代码审查开源给社区。据介绍,该工具已服务数万名开发者、发现数百万个代码缺陷,并最终沉淀为开源项目。采用「确定性工程 + LLM Agent」混合架构,在发挥大模型理解能力的同时,通过工程化手段保证 Review 的稳定性和覆盖率。
内置审查规则
相比自己编写的 Prompt,OCR 已经内置了一套针对代码审查优化的规则体系。
例如你可以检查:
- 空指针风险(NPE)
- SQL 注入
- XSS 漏洞
- 线程安全问题
- 参数校验缺失
- Mapper SQL 配置错误
同时支持项目级、用户级、自定义规则覆盖,能够针对不同业务团队制定专属 Review 标准,实现统一的代码规范管理。
CLI 安装
NPM 安装(推荐)
友情提示:如果安装过程中遇到网络问题,可通过配置 npm 代理解决。
# 如需使用代理,可参考以下配置
# npm config set proxy http://127.0.0.1:7890
# npm config set https-proxy http://127.0.0.1:7890
npm install -g @alibaba-group/open-code-review
获取安装包
如果安装过程中遇到网络问题,可以通过公 zhong 号 BugShare 内发送 review 获取软件包
# Windows
将 ocr.exe 添加到 PATH 环境中
# macOS / Linux
chmod +x ocr && sudo mv ocr /usr/local/bin/ocr
快速开始
配置 LLM
配置文件位置:~/.opencodereview/config.json
# 方式 A:交互式配置
ocr config set llm.url https://api.anthropic.com/v1/messages
ocr config set llm.auth_token your-api-key-here
ocr config set llm.model claude-opus-4-6
ocr config set llm.use_anthropic true
# 方式 B:环境变量(优先级最高)
export OCR_LLM_URL=https://api.anthropic.com/v1/messages
export OCR_LLM_TOKEN=your-api-key-here
export OCR_LLM_MODEL=claude-opus-4-6
export OCR_USE_ANTHROPIC=true
代码审查
cd your-project
# 工作区模式 —— 审查所有暂存、未暂存和未跟踪的变更
ocr review
# 分支范围 —— 比较两个引用
ocr review --from main --to feature-branch
# 单个提交
ocr review --commit xxxx123
集成到 Agent
Open Code Review 不仅支持 CLI 使用,还可以集成到 Claude Code、Codex 等 AI Agent 中,无缝结合到日常开发中。
方式一:作为 Skill 安装
使用 npx 将 OCR skill 安装到项目中:
npx skills add alibaba/open-code-review --skill open-code-review
方式二:作为 Claude Code Plugin 安装
在 Claude Code 中通过以下命令安装命令插件:
/plugin marketplace add alibaba/open-code-review
/plugin install open-code-review@open-code-review
注册 /open-code-review:review 斜杠命令,运行 OCR 并自动过滤和修复问题。
方式三:作为 Codex Plugin 安装
codex plugin marketplace add alibaba/open-code-review
codex
/plugins
安装并启用插件后,可在新的 Codex 会话中直接通过 @Open Code Review 调用代码审查能力:
@Open Code Review review my current changes
@Open Code Review review this branch against main
@Open Code Review review and fix high-confidence issues
写在最后
AI 写代码已经越来越成熟,而 AI 做 Code Review 同样正在成为研发流程的重要组成部分。
相比单纯依赖大模型自由发挥,Open Code Review 通过「确定性工程 + Agent」的混合架构,让 AI 审查变得更加精准、稳定、可控,也让代码审查真正具备了规模化落地的可能。
