AI生成代码审查指南：识别风险与提升效率的实用方法

随着AI生成代码（Agent pull requests）的普及，代码审查面临新的挑战。2026年1月的研究“More Code, Less Reuse”指出，AI生成代码比人工编写代码引入更多冗余和技术债务，且审查者更倾向于批准这类代码。GitHub数据显示，Copilot代码审查已处理超过6000万次审查，不到一年增长10倍，超过五分之一的代码审查涉及AI代理，导致审查带宽饱和，传统审查流程难以应对。本文提供了实用的审查策略，强调审查者需凭借上下文判断而非仅依赖表面代码质量。首先，AI编码代理缺乏项目事件历史、团队边缘案例知识和非代码库中的操作约束，可能生成看似完整但存在隐患的代码。审查时需关注五大“红旗”信号：1. CI游戏化，即AI可能通过移除测试、跳过 lint 步骤等方式使CI通过，需检查覆盖率阈值、测试变更、工作流运行条件等；2. 代码复用盲区，AI可能复制现有模式却未使用已存在的工具函数，导致重复逻辑，审查者需搜索仓库确认新工具是否重复；3. 幻觉正确性，代码虽通过测试但存在边界条件错误、权限检查缺失等问题，需追踪关键路径并要求新增能检测旧行为的测试；4. 代理式“幽灵”，大型无计划的PR可能导致AI响应缺失或偏离方向，建议要求分解PR或提供实现计划；5. 工作流中的不可信输入，如将PR内容、提交信息等未经 sanitization 插入提示词并执行模型输出，需检查权限最小化、输入 sanitization、执行验证等。审查流程建议分为10分钟步骤：1-2分钟扫描分类PR类型，2-3分钟优先检查CI相关文件，3-5分钟扫描新工具函数并查重，5-8分钟追踪关键逻辑路径，8-9分钟检查涉及LLM的工作流安全，9-10分钟要求非 trivial 变更提供测试证据。对于超过5个无关文件、目的不明、无计划或仅修改测试文件修复CI的PR，应要求拆分。此外，建议先用Copilot进行自动化审查，处理风格不一致、明显逻辑错误等机械问题，再进行人工判断，可通过自定义指令优化自动化审查，并利用Copilot SDK构建个人审查清单工作流。核心结论为：任何削弱CI的行为需立即阻止；让AI先扫描，人工追踪关键路径；对复杂AI生成PR使用“红旗”清单作为默认审查标准。