スキル code-review-ai-ai-review

📝

code-review-ai-ai-review

Name: code-review-ai-ai-review
Author: sickn33

安全

AI によるコードレビューの自動化

手動コードレビューを AI 支援の自動品質保証へと変革します。このスキルは、静的解析ツールと Claude および GPT モデルを組み合わせ、セキュリティの脆弱性、パフォーマンスの問題、アーキテクチャ上の問題を早期に発見します。

対応: Claude Codex Code(CC)

🥉 73 ブロンズ

スキルZIPをダウンロード

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

オンにして利用開始

テストする

「code-review-ai-ai-review」を使用しています。このセキュリティに敏感な認証モジュールをレビューする

期待される結果:

## セキュリティレビューの所見 **重大 - SQL インジェクション** - ファイル：`src/auth/login.ts:42` - ユーザー入力との文字列連結により SQL インジェクションが可能 - 修正：パラメータ化クエリを使用 **高 - 弱いパスワード保存** - ファイル：`src/auth/user.ts:15` - パスワードハッシュ化に MD5 を使用 - 修正：bcrypt または Argon2 を使用

「code-review-ai-ai-review」を使用しています。このデータベースクエリをパフォーマンス問題について分析する

期待される結果:

## パフォーマンス分析 **高 - N+1 クエリ検出** - ファイル：`src/api/users.js:28` - ループ内に 5 回のデータベース呼び出し - 影響：100 ユーザー = 500 クエリ - 修正：JOIN またはバッチロードを使用

「code-review-ai-ai-review」を使用しています。マイクロサービスアーキテクチャの変更をレビューする

期待される結果:

## アーキテクチャレビュー **警告 - 共有データベース** - サービス境界の違反 - 修正：サービスごとのデータベースパターンを実装 **情報 - サーキットブレーカーの欠如** - 外部 API 呼び出しに回復性がない - 推奨：サーキットブレーカーパターンの追加

セキュリティ監査

安全

v1 • 2/25/2026

All 53 static findings are false positives. The skill is a legitimate code review assistant that integrates security scanning tools (SonarQube, CodeQL, Semgrep, TruffleHog) with AI models. External commands, environment access, and network calls are all required for its core function of automated code analysis and GitHub integration.

スキャンされたファイル

453

解析された行数

検出結果

総監査数

低リスクの問題 (6)

SKILL.md:369 SKILL.md:372

External Command Execution

The skill contains examples of running static analysis tools (sonar-scanner, semgrep, codeql) via subprocess. These are hardcoded tool invocations required for code review functionality - not user input injection vectors.

SKILL.md:361 SKILL.md:362

Environment Variable Access

Accesses GITHUB_TOKEN and ANTHROPIC_API_KEY environment variables. These are required for authenticating with GitHub API to post review comments and Claude API for AI analysis.

SKILL.md:285

Network Request to External URL

Contains a reference URL to cwe.mitre.org for vulnerability documentation. This is a documentation link, not a data exfiltration endpoint.

SKILL.md:324

File System Operations

Reads review-comments.json file to post comments via GitHub API. Standard file I/O for workflow automation.

SKILL.md:190-197

Secret Detection Tools

Shows integration with TruffleHog for secret scanning. This is a defensive security tool to DETECT leaked secrets, not to exfiltrate them.

SKILL.md:3 SKILL.md:61

Weak Cryptographic Algorithm References

Mentions MD5 and SHA-1 in OWASP Top 10 context as vulnerabilities to DETECT (e.g., weak password hashing), not as algorithms the skill uses.

検出されたパターン

Code Execution + Network + Credentials Pattern

監査者: claude

品質スコア

アーキテクチャ

100

保守性

コンテンツ

コミュニティ

セキュリティ

仕様準拠

作れるもの

自動プルリクエストレビュー

CI/CD パイプラインと統合し、すべてのプルリクエストを自動的にレビューし、セキュリティ、パフォーマンス、アーキテクチャに関するフィードバックを含む構造化されたコメントを投稿します。

セキュリティ重視の監査

CodeQL と Semgrep を使用した包括的なセキュリティ解析を実行し、SQL インジェクション、XSS、認証バイパス、その他の重大な脆弱性を特定します。

パフォーマンス最適化

N+1 クエリ、データベースインデックスの欠如、制限のないコレクションなどの一般的なパフォーマンスのアンチパターンを、本番環境に到達する前に検出します。

これらのプロンプトを試す

基本コードレビュー

このプルリクエストをセキュリティ脆弱性とコード品質の問題についてレビューしてください:

PR 説明：{pr_description}

コード差分:
{diff}

焦点：セキュリティバグ、パフォーマンスの問題、保守性の懸念点。

包括的セキュリティスキャン

このコード変更の深いセキュリティ分析を実行してください。以下を確認します:
1. SQL インジェクションおよびコマンドインジェクションの脆弱性
2. 認証と認可の欠陥
3. 安全でない暗号化プラクティス
4. データ漏洩リスク

コード:
{code_snippet}

静的解析結果:
{static_results}

アーキテクチャレビュー

このコード変更をアーキテクチャ上の懸念点について分析してください:
- SOLID 原則に従っていますか？
- 依存関係は適切に管理されていますか？
- 関心の適切な分離がありますか？
- スケーラビリティの問題はありますか？

コード:
{code}

システムコンテキスト：{architecture_summary}

CI 統合によるフルスタックレビュー

静的解析結果と AI 分析を組み合わせた包括的なコードレビューを実施してください:

差分:
{diff}

SonarQube の問題：{sonarqube}
CodeQL アラート：{codeql}
Semgrep の所見：{semgrep}

優先順位付けされた所見と実用的な修正例を提供してください。

ベストプラクティス

AI 分析の前に静的解析ツール（CodeQL、Semgrep）を実行してコンテキストデータを提供する
一貫性のある決定論的なセキュリティレビューのために temperature=0.1-0.2 を使用する
重大な重要度の所見を含む PR をブロックする品質ゲートを設定する

回避

静的解析のコンテキストなしで AI のみに依存 - AI は既知の脆弱性パターンを見逃す可能性がある
temperature を高すぎる値（>0.5）に設定し、一貫性のないまたは捏造された所見につながる
誤検出率を無視 - 常に重要な所見を手動で確認する

よくある質問

このスキルはどの静的解析ツールを使用しますか？

このスキルは、包括的なセキュリティスキャンのために SonarQube、CodeQL、Semgrep、TruffleHog、GitGuardian と統合します。

コードレビューにはどの AI モデルが最適ですか？

詳細な分析には Claude 4.5 Sonnet と GPT-4o を推奨します。200 行未満のクイックレビューでは、Haiku または mini モデルで十分です。

このスキルを使用するには API キーが必要ですか？

はい、コメントを投稿するには GITHUB_TOKEN が、AI 分析には ANTHROPIC_API_KEY または OPENAI_API_KEY のいずれかが必要です。

このスキルはコード内のシークレットを検出できますか？

はい、リークした API キー、パスワード、その他の機密認証情報を検出するための TruffleHog 統合が含まれています。

CI/CD 統合はどのように機能しますか？

このスキルは、静的解析の実行、AI API の呼び出し、構造化されたレビューコメントの投稿を行う GitHub Actions ワークフローの例を提供します。

どの言語がサポートされていますか？

このスキルは、CodeQL と Semgrep の言語固有ルールを通じて 30 以上の言語をサポートしています。

開発者の詳細

作成者

sickn33

ライセンス

MIT

リポジトリ

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/code-review-ai-ai-review

参照

main

ファイル構成

📄 SKILL.md