如何使用 AI 进行差异化安全代码审查（Differential Review）

解决通用代码审查中容易忽略安全隐患的问题：通过风险优先的分析方法，引导 AI 在 PR 或 Commit Diff 中精准捕捉鉴权失效、加密漏洞及高危逻辑变更。

为什么需要这个技能

传统的代码审查（General Code Review）往往关注代码风格、可读性和基本逻辑，而容易忽略潜藏的安全漏洞。例如，仅仅两行代码的修改可能导致类似 Heartbleed 的严重漏洞。

本技能通过建立一套“风险优先”的分析框架，强制 AI 在审查时跳出“代码量大小”的思维陷阱，重点分析鉴权（Auth）、加密（Crypto）、外部调用及资金转移等高危区域，并要求每一个发现必须基于具体代码证据和攻击场景，而非模糊的推测。

适用场景

• 高风险模块变更：当 PR 涉及权限控制、加密算法、外部 API 调用或价值转移逻辑时。
• 关键漏洞回溯：需要分析特定 Commit 范围，检查是否引入了安全退化（Regression）。
• 正式审计报告生成：不仅需要 AI 给出建议，还需要一份包含攻击场景和证据的结构化 Markdown 报告。

核心工作流

1. 风险分级（Triage）：根据变更内容将文件分为 HIGH（鉴权、加密、验证删除）、MEDIUM（业务逻辑、新 API）和 LOW（注释、UI、日志）。
2. 规模自适应策略：
   • 小型库（<20文件）：深度分析，阅读所有依赖，执行全量 git blame。
   • 中型库（20-200文件）：聚焦分析，审查 1 层依赖及优先级文件。
   • 大型库（200+文件）：外科手术式分析，仅追踪关键路径。
3. 多阶段审计：
   • Pre-Analysis 代码分析 测试覆盖检查 影响范围（Blast Radius）计算 对抗性建模（攻击场景模拟） 生成报告。
4. 证据闭环：每一个漏洞点必须标注：具体行号 相关 Commit 潜在攻击路径 影响等级。

下载和安装

下载 differential-review 中文版 Skill ZIP

解压后将目录放入你的 AI 工具 skills 文件夹，重启工具后即可使用。具体路径参考内附的 USAGE.zh.md。

你可能还需要

暂无推荐