Compétences code-review-ai-ai-review
📝

code-review-ai-ai-review

Sûr

Automatiza las Revisiones de Código con IA

Transforma la revisión manual de código en control de calidad automatizado con ayuda de IA. Esta habilidad combina herramientas de análisis estático con modelos Claude y GPT para detectar vulnerabilidades de seguridad, problemas de rendimiento y problemas de arquitectura desde el inicio.

Prend en charge: Claude Codex Code(CC)
🥉 73 Bronze
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "code-review-ai-ai-review". Revisa este módulo de autenticación sensible a la seguridad

Résultat attendu:

  • ## Hallazgos de Revisión de Seguridad **CRÍTICO - Inyección SQL** - Archivo: `src/auth/login.ts:42` - La concatenación de cadenas con entrada del usuario habilita la inyección SQL - Solución: Usa consultas parametrizadas **ALTO - Almacenamiento Débil de Contraseñas** - Archivo: `src/auth/user.ts:15` - Usando MD5 para el hasheo de contraseñas - Solución: Usa bcrypt o Argon2

Utilisation de "code-review-ai-ai-review". Analiza esta consulta de base de datos en busca de problemas de rendimiento

Résultat attendu:

  • ## Análisis de Rendimiento **ALTO - Consulta N+1 Detectada** - Archivo: `src/api/users.js:28` - El bucle contiene 5 llamadas a la base de datos - Impacto: 100 usuarios = 500 consultas - Solución: Usa JOIN o carga en lote

Utilisation de "code-review-ai-ai-review". Revisa los cambios de arquitectura de microservicios

Résultat attendu:

  • ## Revisión de Arquitectura **ADVERTENCIA - Base de Datos Compartida** - Límites de servicio violados - Solución: Implementa el patrón base-de-datos-por-servicio **INFO - Circuit Breaker Faltante** - Las llamadas a API externas carecen de resiliencia - Recomendación: Agrega el patrón circuit breaker

Audit de sécurité

Sûr
v1 • 2/25/2026

All 53 static findings are false positives. The skill is a legitimate code review assistant that integrates security scanning tools (SonarQube, CodeQL, Semgrep, TruffleHog) with AI models. External commands, environment access, and network calls are all required for its core function of automated code analysis and GitHub integration.

1
Fichiers analysés
453
Lignes analysées
6
résultats
1
Total des audits
Problèmes à risque faible (6)
SKILL.md:369SKILL.md:372
External Command Execution
The skill contains examples of running static analysis tools (sonar-scanner, semgrep, codeql) via subprocess. These are hardcoded tool invocations required for code review functionality - not user input injection vectors.
SKILL.md:361SKILL.md:362
Environment Variable Access
Accesses GITHUB_TOKEN and ANTHROPIC_API_KEY environment variables. These are required for authenticating with GitHub API to post review comments and Claude API for AI analysis.
SKILL.md:285
Network Request to External URL
Contains a reference URL to cwe.mitre.org for vulnerability documentation. This is a documentation link, not a data exfiltration endpoint.
SKILL.md:324
File System Operations
Reads review-comments.json file to post comments via GitHub API. Standard file I/O for workflow automation.
SKILL.md:190-197
Secret Detection Tools
Shows integration with TruffleHog for secret scanning. This is a defensive security tool to DETECT leaked secrets, not to exfiltrate them.
SKILL.md:3SKILL.md:61
Weak Cryptographic Algorithm References
Mentions MD5 and SHA-1 in OWASP Top 10 context as vulnerabilities to DETECT (e.g., weak password hashing), not as algorithms the skill uses.

Motifs détectés

Code Execution + Network + Credentials Pattern
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
93
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Revisiones Automatizadas de Pull Request

Se integra con pipelines CI/CD para revisar automáticamente cada pull request, publicando comentarios estructurados con retroalimentación sobre seguridad, rendimiento y arquitectura.

Auditorías Enfocadas en Seguridad

Realiza análisis de seguridad completos usando CodeQL y Semgrep para identificar inyecciones SQL, XSS, bypasses de autenticación y otras vulnerabilidades críticas.

Optimización de Rendimiento

Detecta anti-patrones de rendimiento comunes como consultas N+1, índices de base de datos faltantes y colecciones no limitadas antes de que lleguen a producción.

Essayez ces prompts

Revisión Básica de Código 
Revisa este pull request en busca de vulnerabilidades de seguridad y problemas de calidad de código:

PR Description: {pr_description}

Code Diff:
{diff}

Enfócate en: errores de seguridad, problemas de rendimiento y preocupaciones de mantenibilidad.
Escaneo de Seguridad Completo 
Realiza un análisis de seguridad profundo de este cambio de código. Verifica:
1. Vulnerabilidades de inyección SQL e inyección de comandos
2. Fallas de autenticación y autorización
3. Prácticas criptográficas inseguras
4. Riesgos de exposición de datos

Código:
{code_snippet}

Resultados de análisis estático:
{static_results}
Revisión de Arquitectura 
Analiza este cambio de código en busca de preocupaciones arquitectónicas:
- ¿Sigue los principios SOLID?
- ¿Están las dependencias gestionadas apropiadamente?
- ¿Existe una separación adecuada de responsabilidades?
- ¿Algún problema potencial de escalabilidad?

Código:
{code}

Contexto del sistema: {architecture_summary}
Revisión Full Stack con Integración CI 
Realiza una revisión de código completa combinando resultados de análisis estático con análisis de IA:

Diff:
{diff}

Problemas de SonarQube: {sonarqube}
Alertas de CodeQL: {codeql}
Hallazgos de Semgrep: {semgrep}

Proporciona hallazgos priorizados con ejemplos de corrección accionables.

Bonnes pratiques

  • Ejecuta herramientas de análisis estático (CodeQL, Semgrep) antes del análisis de IA para proporcionar datos contextuales
  • Usa temperature=0.1-0.2 para revisiones de seguridad consistentes y deterministas
  • Establece quality gates que bloqueen PRs con hallazgos de severidad CRÍTICA

Éviter

  • Depender únicamente de la IA sin contexto de análisis estático - la IA puede pasar por alto patrones de vulnerabilidad conocidos
  • Configurar la temperatura demasiado alta (>0.5) lo que lleva a hallazgos inconsistentes o fabricados
  • Ignorar las tasas de falsos positivos - siempre verifica los hallazgos críticos manualmente

Foire aux questions

¿Qué herramientas de análisis estático usa esta habilidad?
La habilidad se integra con SonarQube, CodeQL, Semgrep, TruffleHog y GitGuardian para un escaneo de seguridad completo.
¿Qué modelos de IA funcionan mejor para la revisión de código?
Se recomiendan Claude 4.5 Sonnet y GPT-4o para análisis detallados. Para revisiones rápidas de menos de 200 líneas, Haiku o modelos mini son suficientes.
¿Necesito claves de API para usar esta habilidad?
Sí, necesitas GITHUB_TOKEN para publicar comentarios y ANTHROPIC_API_KEY u OPENAI_API_KEY para el análisis de IA.
¿Puede esta habilidad detectar secretos en el código?
Sí, incluye integración con TruffleHog para detectar claves de API filtradas, contraseñas y otras credenciales sensibles.
¿Cómo funciona la integración CI/CD?
La habilidad proporciona ejemplos de flujos de trabajo de GitHub Actions que ejecutan análisis estático, llaman a APIs de IA y publican comentarios de revisión estructurados.
¿Qué idiomas están soportados?
La habilidad soporta más de 30 idiomas a través de reglas específicas de CodeQL y Semgrep para cada lenguaje.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/code-review-ai-ai-review

Réf

main

Structure de fichiers

📄 SKILL.md