// 审查当前 git 变更、PR、提交范围、技能定义文件、架构调整或安全敏感代码时使用。覆盖正确性、安全、架构、SOLID、可删除代码、性能、异常处理与测试风险;默认只输出 review,不直接修改代码。用户提到 review、code review、PR 审查、deep review、code review expert、senior review、security audit、merge ready、SOLID、架构审查时都应触发。
| name | code-reviewer |
| description | 审查当前 git 变更、PR、提交范围、技能定义文件、架构调整或安全敏感代码时使用。覆盖正确性、安全、架构、SOLID、可删除代码、性能、异常处理与测试风险;默认只输出 review,不直接修改代码。用户提到 review、code review、PR 审查、deep review、code review expert、senior review、security audit、merge ready、SOLID、架构审查时都应触发。 |
铁律:先给 findings,再给总结。不要因为测试通过、代码能跑或改动量小,就跳过正确性、安全和架构审查。
## Code Review Summary
**Files reviewed**: X files
**Overall assessment**: [APPROVE / REQUEST_CHANGES / COMMENT]
## Findings
### P0 - Critical
1. [file:line] 问题标题
- 风险说明
- 修复建议
### P1 - High
...
## Removal / Follow-up Plan
## Residual Risks
当改动涉及技能体系时,额外检查:
当用户要求 deep review、code review expert 或 senior review 时:
自动处理 GitHub security alerts 的依赖修复工作流。用户提到 auto fix security alerts、Dependabot alerts、code scanning、pnpm audit、frozen-lockfile、修复依赖漏洞、升级有安全告警的包、按 severity 过滤或优先处理 critical/high 告警时使用。支持从 GITHUB_TOKEN 读取 GitHub alerts,或在无 token 时回退到 pnpm audit;会先检查 Git 仓库是否干净、拉取远端更新、按严重级别和可修复性排序,再逐个依赖升级、修复 frozen-lockfile、执行 lint/test/build 并汇报未解决的 high+ 风险。用户显式要求时,也可启用更严格的过时 pnpm overrides 清理流程。
迁移 pnpm 大版本(major)及其项目配置时使用。适用于用户提到 upgrade pnpm major、pnpm v10 to v11、pnpm migration、迁移 pnpm 版本、lockfile 升级、pnpm-workspace.yaml 迁移、.npmrc 配置迁移、GitHub Actions pnpm 版本对齐。当前优先覆盖 v10 到 v11,并保留后续 v12+ 的可扩展流程。
通用网页搜索、爬取、交叉验证与研究报告生成。用户说 search、搜索、查一下、帮我搜、调研、collect information、find sources、verify facts、交叉比对、验证真实性、收集资料、整理信息、查证某个说法、看看网上怎么说、有没有证据支持、信息可信度如何时触发。自动搜索多源内容,抓取并缓存,分析内容质量(评分仅作参考,低质直接舍弃),交叉比对事实一致性,对高严谨度内容(医学、法律、金融等)自动触发对抗性审查。最终输出结构化研究报告到指定目录。≠ hv-analysis(那是深度产品/公司分析框架)。
创建、翻译、重构、评审、封装、评测和优化技能时使用。只要用户提到 create skill、build skill、new skill、write SKILL.md、improve skill、refactor skill、package skill、benchmark skill、trigger tuning、description optimization、run skill evals、skill workflow 或要把现有经验沉淀为技能,都应优先使用本技能。它同时负责技能设计流程、长文本拆分策略、评测工具链与触发优化。
创建、重构、审计和治理本项目自定义 agent 时使用。用户提到 create agent、new agent、build agent、write .agent.md、custom agent、agent mode、agent workflow、agent governance、判断应该做成 skill 还是 agent、审计 agent 安全与准入标准时都应触发。它负责先判断该需求应由 skill 还是 agent 承载,再在需要时创建或更新 agent,并审计重叠、规范与安全。
设计或实现后端 API、服务层、数据库读写、鉴权权限控制、输入校验、事务处理与错误处理时使用。用户提到 API、route、handler、server、auth、permission、drizzle、database、zod、Hono、Nuxt server routes、backend bug 修复时都应触发。