OpenClaw PR Reviewer スキルガイド

OpenClaw PR Reviewer スキル概要

PR Reviewerスキルは、OpenClawをPull Requestの自動コードレビューアシスタントに変えます。チームメイトのレビューを何時間も待つ代わりに、コード品質、潜在的なバグ、セキュリティ問題、スタイルの一貫性について即座にAI駆動のフィードバックを得ることができます。

このスキルはPull Requestの差分を読み取り、構造化された実行可能なフィードバックを提供します — シニアデベロッパーがコードレビューで指摘するような内容です。デフォルトでは読み取り専用モードで動作し、コメントと提案のみを行い、明示的な指示なしにマージ、承認、コード変更を行うことはありません。

OpenClaw PR Reviewerスキルは、人間のレビュアーを補完するように設計されており、置き換えるものではありません。機械的な問題（タイプミス、未使用のインポート、エラーハンドリングの欠落）をキャッチし、チームがアーキテクチャ、ロジック、設計の判断に集中できるようにします。

典型的なワークフロー：

1. GitHubでPull Requestを開く。
2. OpenClawにPRのレビューを依頼する。
3. エージェントが差分を取得し、変更されたすべてのファイルを分析し、インライン提案付きの構造化レビューを返します。

PR Reviewer スキルの前提条件

PR Reviewerスキルをインストールする前に、以下を確認してください：

• OpenClaw がインストールされ実行中（v1.0+）
• GitHub CLI (gh) がインストールされ認証済み — インストールガイド
• Pull Requestが含まれるリポジトリへのアクセス権
• clawhub CLI がインストール済み

環境を確認：

# OpenClaw バージョンを確認
openclaw --version

# GitHub CLI バージョンを確認
gh --version

# GitHub 認証状態を確認
gh auth status

PR Reviewerスキルは、基盤となるGitHub APIアクセスを提供する GitHub スキル と組み合わせると最も効果的です。

PR Reviewer スキルのインストール方法

1つのコマンドでPR Reviewerスキルをインストール：

npx clawhub@latest install pr-reviewer

インストールを確認：

clawhub list

インストール済みスキルリストに pr-reviewer が表示されるはずです。インストール直後から使用可能です。

PR Reviewer スキルの設定

PR Reviewerスキルは合理的なデフォルト設定ですぐに動作します。既存のGitHub認証（gh auth経由）を使用してPull Requestデータにアクセスします。

レビュー範囲

デフォルトで、スキルは以下をレビューします：

| 観点 | チェック内容 | |------|------------| | コード品質 | 未使用の変数、デッドコード、不必要な複雑さ | | バグ検出 | ヌルポインタリスク、オフバイワンエラー、競合状態 | | セキュリティ | ハードコードされたシークレット、SQLインジェクション、XSS脆弱性 | | スタイル | 命名規則、フォーマットの不一致 | | テスト | 新しいロジックのテストカバレッジ不足 | | ドキュメント | 古くなったコメント、欠落したJSDoc/docstring |

環境設定

# GitHub CLI が認証済みであることを確認
gh auth login

# または repo スコープのパーソナルアクセストークンを設定
export GITHUB_TOKEN=ghp_your_token_here

重要： PR ReviewerスキルはリポジトリコンテンツとPull Requestの読み取りアクセスのみ必要です。エージェントにコメントを代理投稿させたい場合を除き、書き込みや管理者スコープを付与しないでください。

PR Reviewer スキルの使用例

1. 特定のPull Requestをレビュー

あなた：「メインリポジトリのPR #42をレビューして。」

エージェントは gh pr diff 42 でPR #42の差分を取得し、各変更ファイルを分析して構造化レビューを返します：

• 要約： 3ファイル変更、127行追加、45行削除。新しい決済処理モジュールを追加。
• 発見された問題： バグ2件、セキュリティ懸念1件、スタイル提案3件。
• 各問題にはファイル名、行番号、重要度、推奨される修正が含まれます。

2. セキュリティ問題のみに焦点

あなた：「PR #128のセキュリティ脆弱性をチェックして。」

エージェントはセキュリティに焦点を当てたレビューを実行し、以下をスキャンします：

• ハードコードされたAPIキーやシークレット
• SQLインジェクションまたはNoSQLインジェクションパターン
• クロスサイトスクリプティング（XSS）ベクター
• 安全でないデシリアライゼーション
• 欠落した入力バリデーション

セキュリティ関連の発見のみを返し、該当する場合はOWASP参照を付記します。

3. 大規模PRの変更を要約

あなた：「PR #256の変更を要約して。大きなPRなんだ。」

エージェントは差分全体を読み通し、簡潔な要約を作成します：

• PRが達成することの高レベルな説明
• モジュールや機能ごとにグループ化された変更ファイルリスト
• 主要なアーキテクチャ上の決定やトレードオフ
• 人間のレビューで特に注意が必要な潜在リスクや領域

4. コーディング標準との比較

あなた：「チームのTypeScriptコーディング標準に照らしてPR #99をレビューして。」

エージェントはチームの規約をレビューに適用し、以下をチェックします：

• interface と type の一貫した使用
• 適切なエラーハンドリングパターン
• インポートの順序とバレルエクスポート
• コンポーネントの命名規則（Reactコンポーネントは PascalCase）

セキュリティとベストプラクティス

PR Reviewerスキルはデフォルトで読み取り専用です — 差分を取得してフィードバックを生成しますが、明示的に指示されない限りコメントの投稿、PRの承認、コードのマージは行いません。

以下のガイドラインに従って安全に使用してください：

• 読み取り専用を維持。 デフォルト設定はPRデータの読み取りのみです。コメント投稿を有効にした場合、各コメントが公開される前に確認してください。
• 最小権限を使用。 PATを使用する場合は repo:read スコープのみを付与してください。コアレビュー機能に書き込みアクセスは不要です。
• レビュー結果をレビュー。 AI生成のフィードバックは完璧ではありません。提案に従う前に、特にセキュリティに敏感なコードについては、常に自分の判断を適用してください。
• 人間のレビューをスキップしない。 このスキルはレビュープロセスを加速しますが、唯一のレビュアーにすべきではありません。機械的な問題をキャッチするファーストパスとして使用してください。
• 機密リポジトリを保護。 独自のアルゴリズムや企業秘密を含むリポジトリでは、組織のポリシーがAI支援コードレビューを許可していることを確認してください。

よくあるエラーのトラブルシューティング

"Could not fetch PR diff"

GitHub CLIがPull Requestにアクセスできません。一般的な原因：

# GitHub に再認証
gh auth login

# リポジトリへのアクセス権を確認
gh repo view owner/repo

# PR番号が存在するか確認
gh pr view 42

"PR diff is too large to analyze"

非常に大きなPR（1000行以上の変更）はコンテキスト制限に達する可能性があります。試してみてください：

あなた：「PR #200の src/api/ ディレクトリの変更だけレビューして。」

範囲を特定のディレクトリやファイルに絞ることで、エージェントがより焦点の合った高品質なフィードバックを提供できます。

"No issues found"

コードがクリーンであるか、差分が小さすぎて意味のあるフィードバックが生成できない可能性があります。問題が検出されなくても、エージェントは変更の要約を提供します。