阿里开源AI代码审查工具open-code-review深度评测

AI Code Review 这个话题，说实话已经不新鲜了。但如果你真去行业里转一圈，会发现一个尴尬的现实：真正能稳定落地到研发流程里的工具，其实没几个。

最近，阿里巴巴把内部打磨多年的 AI 代码审查能力给开源了，项目叫 Open Code Review（OCR）。据官方介绍，这套工具已经在内部服务了数万名开发者，发现过数百万个代码缺陷——这个体量绝非实验室环境能比的。最终，这些积累沉淀成了一个开源项目。

它采用的是一套「确定性工程 + LLM Agent」的混合架构。大白话就是：既要让大模型发挥语言理解能力，又要靠工程化手段牢牢兜住 Review 的稳定性和覆盖率。两碗水端平，才是落地的关键。

内置审查规则

相比自己去手写一堆 Prompt，OCR 已经内置了一套为代码审查专门优化的规则体系。这意味着你可以直接开箱检查：

• 空指针风险（NPE）
• SQL 注入
• XSS 漏洞
• 线程安全问题
• 参数校验缺失
• Mapper SQL 配置错误

当然，这些只是基础能力。它还支持项目级、用户级以及自定义规则覆盖。简单来说，不同业务团队完全可以制定专属的 Review 标准，最终实现统一的代码规范管理——这对大型团队尤其实用。

CLI 安装

NPM 安装（推荐）

最简单的办法是通过 NPM 全局安装：

# 如需使用袋里，可参考以下配置
# npm config set proxy http://127.0.0.1:7890
# npm config set https-proxy http://127.0.0.1:7890
npm install -g @alibaba-group/open-code-review

获取安装包

如果安装过程中遇到网络问题，获取对应的软件包后，直接解压到系统路径即可：

# Windows：将 ocr.exe 添加到 PATH 环境中
# macOS / Linux
chmod +x ocr && sudo mv ocr /usr/local/bin/ocr

快速开始

配置 LLM

使用前需要先配置大模型接口，支持交互式配置和环境变量两种方式：

# 方式 A：交互式配置
ocr config set llm.url https://api.anthropic.com/v1/messages
ocr config set llm.auth_token your-api-key-here
ocr config set llm.model claude-opus-4-6
ocr config set llm.use_anthropic true

# 方式 B：环境变量（优先级最高）
export OCR_LLM_URL=https://api.anthropic.com/v1/messages
export OCR_LLM_TOKEN=your-api-key-here
export OCR_LLM_MODEL=claude-opus-4-6
export OCR_USE_ANTHROPIC=true

代码审查

配置完成后，直接进入项目目录，就可以启动审查了。支持三种模式：

cd your-project

# 工作区模式 —— 审查所有暂存、未暂存和未跟踪的变更
ocr review

# 分支范围 —— 比较两个引用
ocr review --from main --to feature-branch

# 单个提交
ocr review --commit xxxx123

集成到 Agent

OCR 的价值不止于命令行。它还可以集成到 Claude Code、Codex 等 AI Agent 中，无缝嵌入日常开发流。

方式一：作为 Skill 安装

使用 npx 将 OCR skill 安装到项目中：

npx skills add alibaba/open-code-review --skill open-code-review

方式二：作为 Claude Code Plugin 安装

在 Claude Code 中安装命令插件：

/plugin marketplace add alibaba/open-code-review/plugin install open-code-review@open-code-review

安装完成后，注册 /open-code-review:review 斜杠命令，即可运行 OCR 并自动过滤和修复问题。

方式三：作为 Codex Plugin 安装

codex plugin marketplace add alibaba/open-code-review
codex/plugins

安装并启用插件后，在 Codex 会话中可以直接调用：

@Open Code Review review my current changes
@Open Code Review review this branch against main
@Open Code Review review and fix high-confidence issues

写在最后

如今，AI 写代码已经越来越成熟，而 AI 做 Code Review 同样正在成为研发流程的重要组成部分。

单纯依赖大模型自由发挥，效果往往不可控。而 Open Code Review 通过「确定性工程 + Agent」的混合架构，让 AI 审查变得更加精准、稳定、可控——这才是代码审查真正具备规模化落地的前提。