AI 代码审查实战:我把 Claude、ChatGPT、Gemini 塞进 Code Review,结果出乎意料

浩风祭月
6 阅读5分钟

人工 Code Review 耗时且难以保持一致性,2026 年的 AI 模型能否担起审查重任?本文在一个 3 万行的 TypeScript 项目中,让 Claude Opus 4.6、GPT-5.5 和 Gemini 3.1 Pro 分别审查同一批 PR,记录它们在发现逻辑漏洞、安全隐患、风格问题上的表现差异,并给出可落地的 AI + 人工混合审查流程。

一、为什么尝试 AI 做 Code Review

我所在的团队过去一直纯人工 Review,三个问题越来越突出:

  • 资深开发者的时间被大量“缩进不对”“命名不规范”的评论消耗掉。
  • 周五下午提交的 PR 往往要等到周一才有反馈。
  • 疲劳审查下,对复杂业务逻辑的漏洞检出率不稳定。

2026 年初几个头部模型的推理能力有了质的飞跃,我决定做一次严格对照实验。

二、实验设计

测试项目:一个中等规模的 NestJS + Prisma 后端服务,约 3 万行 TS 代码,近期 15 个真实 PR 作为样本(涵盖 CRUD、权限重构、支付回调修复、数据库迁移)。

三位“AI 审查员”

  • Claude Opus 4.6(通过 API,System Prompt 设定为“资深后端审查工程师”)
  • ChatGPT(GPT-5.5,同样 System Prompt,且开启 Projects 上下文)
  • Gemini 3.1 Pro(同等条件下)

评判维度

  1. 逻辑漏洞检出率(以实际线上问题和后续发现为基准)
  2. 安全隐患识别(OWASP Top 10 相关)
  3. 风格/最佳实践建议的可用性
  4. 误报率(标记为问题但实际无需修改)

每个 PR 同时交给三位 AI 审查,另有一位人类高级工程师独立审查作为对照组。

三、核心发现

1. 逻辑漏洞:Claude 胜出,但无人能完全替代人

Claude 在 15 个 PR 中发现了 9 个真实逻辑问题(人类发现了 11 个),漏掉了 2 个涉及跨服务时序依赖的深层 bug——这类问题需要理解三个以上微服务之间的调用契约,AI 仅在当前仓库上下文中无法推断。

ChatGPT 发现了 7 个逻辑问题,但在一个权限重构的 PR 中给出了错误判断,将正确的逻辑标记为“潜在越权风险”,原因是它误解了项目中自定义装饰器的实现机制。

Gemini 发现了 6 个逻辑问题,漏判率最高,但它的长上下文优势让它在一个涉及 12 个文件的大型 PR 中表现尚可——这是 Claude 和 ChatGPT 因上下文限制不得不分批审查的同一个 PR。

2. 安全隐患:AI 远超人类审查者的检出速度

三个模型在硬编码密钥、SQL 注入风险、缺失的输入校验这三个类别上,检出率 100%,且速度远快于人类。但 ChatGPT 在一个涉及文件上传的 PR 中,没有将“未限制文件类型”标记为安全风险,直到人类审查者指出。

关键教训:AI 对已知安全模式的识别很强,但遇到项目特有的安全策略(如自定义的文件处理管道),需要事先在 System Prompt 中明确告知规则。

3. 风格建议:ChatGPT 最“务实”,Claude 最“严格”

ChatGPT 的风格评论数量适中,且大多数建议都附带了 ESLint 规则引用或团队配置的联动建议,实用性最高。Claude 偏向严格遵循它被训练时期的最佳实践,有时会建议修改项目中已经在使用但不在它“知识库当前时间点”内的新模式。Gemini 的风格建议偏少,有时会漏掉明显的代码重复。

4. 误报率:需要专门调校

  • Claude:误报率约 18%(多数发生在对项目自定义装饰器、业务约定的不理解)
  • ChatGPT:误报率约 22%(集中在过度标记类型安全问题)
  • Gemini:误报率约 25%(部分建议本身正确但不适用于当前技术栈)

四、落地后的混合审查流程

基于以上数据,我们设定了这样的新流程:

text

PR 提交 
  → AI 自动审查(Claude 为主,夜间批量执行,评论前标注 [AI-Review])
  → 人类审查者关注 AI 标记的问题,忽略 AI 未标记的风格类建议
  → 高风险 PR(支付、权限、数据迁移)必须由人确认 AI 的安全标记
  → 统计 AI 遗漏,定期更新 System Prompt 中的项目规则

实施一个月后的数据:

  • 人类 Review 时间减少约 40%(AI 过滤掉了大量可自动化的建议)。
  • 逻辑问题总检出率提升至 95%(AI + 人工互补)。
  • 风格类问题的人工讨论时长趋近于零。

五、给想落地 AI Review 的团队几点忠告

  1. 必须维护项目级别的审查规则文件:不加规则直接用,误报会把团队逼疯。
  2. AI 的结论是参考,不是判决:审查责任仍然在提交者和审查者,AI 只是一个加速器。
  3. 不要用 AI 审查 AI 生成的代码:如果是 Cursor / Copilot 写的代码再交给同模型审查,容易出现“盲区”——模型对自身生成的模式警惕性降低。

关于主流模型在代码审查场景下的更多团队落地经验和对比数据,gpt108.com 上有来自开发者的持续更新和实测汇总,可供参考。

你们团队在 Code Review 上最大的痛点是什么?有没有试过用 AI 辅助?欢迎评论区聊聊。

avatar
文章
阅读
粉丝