OpenCodeReview
混合架构的 AI 代码审查 CLI
它能做什么 & 适用场景
OpenCodeReview 是阿里巴巴开源的 AI 代码审查命令行工具,采用“确定性流程 + LLM Agent”的混合架构。它读取 Git diff 或整文件内容,结合代码库上下文生成精确到行的审查意见,并内置针对空指针、线程安全、XSS、SQL 注入等场景的规则。项目方称该工具已在阿里巴巴内部大规模使用两年,为数万开发者识别出数百万缺陷。按其公开基准,相比通用型 Agent,在相同底层模型下它有更高 Precision 和 F1、约 1/9 的 token 消耗,但 Recall 更低。
它主要用于代码审查而不是通用编程代理。ocr review 面向 diff 审查,支持工作区、分支区间、单个提交和可恢复会话;ocr scan 面向整仓或目录巡检,即使没有有意义的 Git diff 也能使用。工具可读取完整文件、搜索代码库、查看其他变更文件,并输出带分类与严重级别的结构化结果;同时支持接入 Claude Code、Codex、Cursor、GitHub Actions 以及 MCP 服务器。
- 在本地提交前审查当前工作区的 staged、unstaged 和 untracked 改动。
- 在 CI/CD 中对 PR 或 MR 的基线分支与提交 SHA 做自动审查,并消费 JSON 结果。
- 对陌生仓库或某个目录执行整文件扫描,做审计、迁移前排查或规则巡检。
- 把它作为 Claude Code、Codex 或 Cursor 中的技能/插件,直接在代理工作流里触发代码审查。
- 针对 Java、XML 等文件结合规则匹配,重点检查空指针、线程安全、SQL 注入或 XSS 风险。
优缺点一览
- 混合架构把文件选择、规则匹配、评论定位等关键步骤做成确定性流程,目标很明确:减少漏审、定位漂移和提示词波动。
- 输出支持精确到行的评论,并附带 `category` 与 `severity` 字段,便于 CI 集成和结果分组。
- 既能做 diff 审查,也能做整文件扫描,还提供会话恢复、Viewer、GitHub Action、Claude Code/Codex/Cursor 集成。
- 支持 OpenAI 与 Anthropic 协议,也允许自定义 provider 和额外请求头,适合私有网关或企业环境。
- 必须先配置外部 LLM 才能使用,效果、延迟和成本依赖所选模型与接口。
- 按项目自述基准,它为了提高 Precision 主动牺牲了一部分 Recall,不适合把“尽量多报问题”作为首要目标的场景。
- README 提到了 Skill 安装方式,但题目未提供 SKILL.md 内容,因此无法核实该 Skill 文件的具体行为或提示词设计。
- 公开材料没有给出完整的支持语言清单,只能确认基准覆盖了 10 种编程语言。
如何安装
可通过 NPM 安装:npm install -g @alibaba-group/open-code-review。也可用发布脚本安装:curl -fsSL https://raw.githubusercontent.com/alibaba/open-code-review/main/install.sh | sh。若要作为 Skill 安装,README 给出的命令是:npx skills add alibaba/open-code-review --skill open-code-review。
如何使用
先配置 LLM 提供商与模型,例如运行 ocr config provider 和 ocr config model,再用 ocr llm test 测试连通性。常见用法包括:ocr review 审查当前改动、ocr review --from main --to feature-branch 审查分支区间、ocr review --commit abc123 审查单个提交,以及 ocr scan 扫描整仓或目录。若用于自动化,可执行 ocr review --from "origin/main" --to "<commit_sha>" --format json。
对比同类
项目将自己与 Claude Code 这类通用型 Agent 对比,认为纯自然语言驱动的审查更容易出现覆盖不全、定位漂移和质量波动。按其公开 benchmark,OpenCodeReview 在相同底层模型下取得更高 Precision 与 F1,token 消耗约为 1/9、速度更快,但 Recall 更低,这是有意为之的取舍。