OpenClaw PR Reviewer 技能指南
自动化的 Pull Request 代码审查。
最后更新: 2026-03-11
快速安装
$ npx clawhub@latest install pr-reviewer核心功能
OpenClaw PR Reviewer 技能概述
PR Reviewer 技能将 OpenClaw 变成你的 Pull Request 自动化代码审查助手。你不再需要等待数小时让队友审查你的 PR,可以立即获得 AI 驱动的代码质量、潜在 Bug、安全问题和风格一致性反馈。
该技能读取 Pull Request 差异并提供结构化、可操作的反馈——类似于高级开发者在代码审查中会指出的问题。它默认以只读模式运行,意味着它只会评论和建议,绝不会在没有你明确指令的情况下合并、批准或修改代码。
OpenClaw PR Reviewer 技能旨在补充人工审查者,而非替代他们。它捕获机械性问题(拼写错误、未使用的导入、缺失的错误处理),让你的团队专注于架构、逻辑和设计决策。
典型工作流:
- 在 GitHub 上打开一个 Pull Request。
- 让 OpenClaw 审查该 PR。
- 代理获取差异,分析每个变更文件,并返回带有行内建议的结构化审查——随时可以采取行动。
PR Reviewer 技能安装前的准备
在安装 PR Reviewer 技能之前,请确保你已具备:
- OpenClaw 已安装并运行(v1.0+)
- GitHub CLI (gh) 已安装并认证 — 安装指南
- 对包含 Pull Request 的仓库有访问权限
- clawhub CLI 已安装,用于技能管理
验证你的环境:
# 检查 OpenClaw 版本 openclaw --version # 检查 GitHub CLI 版本 gh --version # 验证 GitHub 认证状态 gh auth status
PR Reviewer 技能与 GitHub 技能 搭配使用效果最佳,后者提供底层的 GitHub API 访问。
如何安装 PR Reviewer 技能
使用一条命令安装 PR Reviewer 技能:
npx clawhub@latest install pr-reviewer
验证安装:
clawhub list
你应该能在已安装技能列表中看到 pr-reviewer。安装完成后即可立即使用。
PR Reviewer 技能配置指南
PR Reviewer 技能开箱即用,拥有合理的默认配置。它使用你现有的 GitHub 认证(通过 gh auth)来访问 Pull Request 数据。
审查范围
默认情况下,该技能审查以下方面:
| 方面 | 检查内容 | |------|---------| | 代码质量 | 未使用的变量、死代码、不必要的复杂性 | | Bug 检测 | 空指针风险、差一错误、竞态条件 | | 安全性 | 硬编码的密钥、SQL 注入、XSS 漏洞 | | 风格 | 命名规范、格式不一致 | | 测试 | 新逻辑缺少测试覆盖 | | 文档 | 过时的注释、缺失的 JSDoc/文档字符串 |
环境配置
# 确保 GitHub CLI 已认证 gh auth login # 或设置具有 repo 范围的个人访问令牌 export GITHUB_TOKEN=ghp_your_token_here
重要提示: PR Reviewer 技能只需要仓库内容和 Pull Request 的读取权限。除非你明确希望代理代你发布评论,否则不要授予写入或管理员权限。
PR Reviewer 技能使用示例
1. 审查特定的 Pull Request
你:"审查我们主仓库的 PR #42。"
代理使用 gh pr diff 42 获取 PR #42 的差异,然后分析每个变更文件并返回结构化审查:
- 摘要: 3 个文件变更,127 行新增,45 行删除。添加了一个新的支付处理模块。
- 发现的问题: 2 个 Bug、1 个安全隐患、3 个风格建议。
- 每个问题包含文件名、行号、严重程度和建议的修复方案。
2. 只关注安全问题
你:"检查 PR #128 的安全漏洞。"
代理执行以安全为重点的审查,扫描以下内容:
- 硬编码的 API 密钥或密钥
- SQL 注入或 NoSQL 注入模式
- 跨站脚本(XSS)攻击向量
- 不安全的反序列化
- 缺失的输入验证
它只返回与安全相关的发现,并在适用时附上 OWASP 参考。
3. 为大型 PR 总结变更
你:"给我总结一下 PR #256 的变更。这是一个大 PR。"
代理通读整个差异并生成简洁的摘要:
- PR 实现了什么的高级描述
- 按模块或功能分组的变更文件列表
- 关键的架构决策或权衡
- 在人工审查中需要额外关注的潜在风险或领域
4. 与编码标准进行对比
你:"按照我们团队的 TypeScript 编码标准审查 PR #99。"
代理将你团队的约定应用到审查中,检查:
interface和type的一致使用- 正确的错误处理模式
- 导入排序和桶导出
- 组件命名规范(React 组件使用 PascalCase)
安全与最佳实践
PR Reviewer 技能默认为只读——它获取差异并生成反馈,但不会发布评论、批准 PR 或合并代码,除非明确指示。
遵循以下指南确保安全:
- 保持只读。 默认配置只读取 PR 数据。如果你启用了评论发布功能,在每条评论上线之前先审查。
- 使用最小权限。 如果使用 PAT,只授予
repo:read范围。该技能的核心审查功能不需要写入权限。 - 审查审查结果。 AI 生成的反馈并非万无一失。在采取建议之前始终运用你自己的判断,特别是对安全敏感的代码。
- 不要跳过人工审查。 该技能加速了审查流程,但不应成为唯一的审查者。将其用作捕获机械性问题的第一道关卡。
- 保护敏感仓库。 对于包含专有算法或商业机密的仓库,确保你的组织政策允许 AI 辅助代码审查。
常见错误与故障排除
"Could not fetch PR diff"
GitHub CLI 无法访问 Pull Request。常见原因:
# 重新认证 GitHub gh auth login # 检查你是否有仓库访问权限 gh repo view owner/repo # 验证 PR 编号是否存在 gh pr view 42
"PR diff is too large to analyze"
非常大的 PR(1000+ 行变更)可能超出上下文限制。尝试:
你:"只审查 PR #200 中
src/api/目录的变更。"
将范围缩小到特定目录或文件有助于代理提供更聚焦、更高质量的反馈。
"No issues found"
这可能意味着代码很干净,或者差异太小无法产生有意义的反馈。即使没有检测到问题,代理仍会提供变更摘要。
常见问题
安全。该技能使用你现有的 GitHub 认证,只访问你已有权限查看的仓库。它通过 OpenClaw 在本地处理差异,不会将代码发送到第三方服务。为了额外的安全性,你可以配置它以完全离线模式工作,将差异作为本地输入提供。更多详情请查看[安全检查清单](/skills#safety)。
PR Reviewer 技能更轻量、更具对话性。CodeRabbit 等专用工具提供仪表板 UI、CI 集成和团队分析。OpenClaw PR Reviewer 擅长按需的自然语言审查,你可以提出后续问题、请求对特定文件进行更深入的分析,或实时调整审查重点。许多团队同时使用两者——自动化 CI 工具用于基线检查,[OpenClaw PR Reviewer](/skills/pr-reviewer) 用于更深入的、上下文感知的分析。
该技能支持发布评论,但出于安全考虑默认禁用。启用后,代理将使用 `gh api` 在 PR 上发布行内评论。每条评论在发布前都会显示给你批准。将此与 [GitHub 技能](/skills/github) 结合使用可实现完整的 PR 管理,同时使用 [Conventional Commits](/skills/conventional-commits) 确保你的提交信息也格式良好。