从零开始使用扣子开发智能代码评审助手完整实战教程推荐
创建智能体并启用深度模型
首先,登录扣子平台(coze.cn)。点击左上角的⊕,选“AI创建”,然后在需求输入框里写清楚:“开发一个能分析完整代码文件、识别架构风险、检测安全漏洞并给出修复建议的Python/Ja va代码评审助手”。点生成。 系统会自动创建一个智能体。接着,进入右侧的“编排”页——右上角有个模型选择栏,务必切换为豆包 1.8 深度思考。记住,只有这个模型支持32K tokens的超长上下文,普通模型一遇到长文件就会截断,评审结果自然失准。 确认智能体名称设为“代码评审助手”。头像可以点那个星标图标,让AI帮你生成一个。配置人设与评审逻辑
在左侧“人设与回复逻辑”面板里,同样点击星标图标,输入:“你是一名资深SRE兼安全工程师,负责对用户上传的.py或.ja va文件做全量静态分析,必须基于实际代码内容回答,禁止虚构行号或函数名。” AI会生成一套基础提示词。但这还不够——你必须手动追加三段关键约束: 第一段:“若检测到SQL拼接、硬编码密钥、未校验反序列化入口,必须标注CVE编号(如CVE-2023-1234)并引用OWASP Top 10章节。” 第二段:“当发现类间循环依赖或模块耦合度大于0.7时,调用‘架构健康度评估’工作流(稍后创建)。” 第三段:“所有建议必须附带可直接粘贴执行的代码片段,禁用```python包裹,首行写# FIX:。” 这三句话,决定了助手是从“泛泛而谈”变成“精准打击”的关键转折点。搭建评审工作流
这里有两种搭建思路,推荐直接采用第二种。方法一:基础单文件评审流
进入“技能”→“工作流”→点击“+创建工作流”,命名为“code-review-core”。 在“开始”节点中,将输入变量类型设为【File → Python/Ja va】,变量名定为“src_file”。 接着添加“文件读取”插件节点,输入字段绑定“src_file”。 然后添加“大模型”节点,模型选“豆包 1.8 深度思考”,系统提示词填入以下内容(换行保留,很重要): “你正在执行代码静态分析任务。输入是完整源码,请严格按顺序输出:1.【高危问题】列表(含行号、漏洞类型、CVE编号、修复代码);2.【架构异味】描述(依赖环、上帝类、重复逻辑);3.【改进建议】(不超过3条,每条带优先级P0/P1);4.【无问题】仅当全部通过时返回此字段。禁止任何解释性文字。” 用户提示词设为“{{input}}”,输入来源选“文件读取”节点的“data”字段。 这只是基础版本。真正高效的,是下面这个方法。方法二:增强型多阶段评审流(推荐)
另建一个工作流,命名为“code-review-advanced”。在基础流的基础上,追加几个节点: → 添加“正则提取”节点,用规则pattern=r'(CVE-d{4}-d+)'提取所有CVE编号。
→ 连接“Web Search API”插件,对每个提取到的CVE编号发起搜索,来源限定为nvd.nist.gov。
→ 将搜索摘要注入下一个大模型节点,用于生成带官方缓解方案的报告。
重点来了:Web Search插件必须提前在工作流顶部开启“允许访问互联网”开关,否则请求会静默失败,排查起来很头疼。
接入知识库强化领域认知
在“技能”→“知识库”中,上传三类文档: 企业内部的《Ja va安全编码规范V3.2》PDF、公司微服务模块依赖图谱(Mermaid格式文本)、历史高危漏洞修复案例集(Markdown格式,每条包含问题代码+修复后代码+上线验证结果)。 上传后,点击“立即处理”,必须等到状态变为“已就绪”——在这之前,所有检索都会返回空,这个细节很容易被忽略。 知识库就绪后,返回“人设与回复逻辑”,在提示词末尾追加:“你已加载企业知识库,所有分析必须优先匹配知识库中的规范条款和历史案例,匹配成功时在对应条目后标注[KB#027]。” 这样一来,助手的每一个建议,都能追溯到企业自有规范,不再是“通用答案”。调试与发布
进入右侧“预览与调试”面板,上传一个含SQL注入漏洞的test.py文件。比如:query = "SELECT * FROM users WHERE id = " + user_id
运行后,检查响应是否同时包含:CVE-2023-29357编号、OWASP A1链接、修复代码query = "SELECT * FROM users WHERE id = ?",以及[KB#114]标记。
如果缺任何一项,就返回去修改对应工作流节点的输入绑定或提示词约束。这一步是“打磨”,也是“验证”。
确认无误后,点击右上角“发布”。渠道可选飞书机器人(适合内部协作)、微信公众号(对外技术布道)、或API接口(对接CI/CD流水线)——选择最贴合实际场景的那个。