如何用Kimi进行开源项目的代码审查_采用Checklist提示词

用Kimi对开源项目做代码审查，很多人图省事直接把大段代码扔进去，结果往往漏掉真正的关键缺陷。其实，想要让AI帮你准确排查安全、可维护性与规范性问题，必须用结构化的Checklist提示词来引导，逐项对照着查。

准备待审代码与Checklist框架

首先，把目标项目的仓库克隆下来，进入要审查的模块目录（比如 src/utils/），用 git diff HEAD~1 --name-only 确认本次变更的范围，只提取新增或修改的 .py 或 .js 文件内容。这样避免把整个项目一股脑喂给Kimi，能大幅提高审查效率。

接下来，新建一个纯文本文件 review_checklist.txt，按以下四类写明检查项，每类用空行隔开：

SQL注入点、硬编码密钥、不安全的反序列化调用
空值未判空、除零未捕获、第三方API超时未设限
函数超过30行、变量名含缩写无注释、魔法数字未提取为常量
未遵循 PEP8/ESLint 默认规则、缺少单元测试覆盖率声明

这一步可别跳过。Kimi不会主动识别“哪些地方该查”，你不给一份清楚的Checklist，它就只能开盲审，效果可想而知。

构造带上下文的提示词

这里有两种构造提示词的方法，效果都不错。

第一段交代角色：“你是一名资深开源项目安全审查员，专注Python/Ja vaScript项目”；
第二段限定输入：“我将提供一段代码及一份审查Checklist，仅基于这两者回答，不自行补充逻辑”；
第三段嵌入Checklist：“请严格对照以下四类检查项逐条分析：【安全性】……【健壮性】……”

在代码块前追加一行说明：“这是 ，处理用户登录后的权限校验，调用外部 OAuth2 接口，需特别关注 token 透传与错误降级逻辑”；
Checklist中对应项同步强化：“【安全性】检查 token 是否经 request.META 透传、是否被日志明文打印；【健壮性】检查 OAuth2 调用是否设置 5s 超时与 fallback 返回默认权限”。

需要注意的是，Kimi对“中间件”“OAuth2”这类术语理解比较准确，但对“fallback”这种词可能产生歧义。建议写成“fallback 返回默认权限”，而不是光写一个“fallback”。

向Kimi提交审查请求

打开Kimi网页版或App，选择「长文本」模式（别在普通聊天窗口里发），粘贴构造好的提示词，再粘贴精简后的代码（单次建议不超过800行），点击发送。

提交后要留意两点。第一，等待响应时观察左下角状态，如果显示“正在解析上下文”，说明你的角色定义和Checklist已经成功载入。第二，收到回复后立即核对输出结构——正确的响应一定包含四个小标题（【安全性】/【健壮性】/【可读性】/【规范性】），每个项目下面都有“发现位置+代码片段+风险等级+修复建议”。

重点检查【安全性】项是否真的点中了真实漏洞。比如它指出 cursor.execute(f"SELECT * FROM users WHERE id = {user_id}") 存在SQL注入，且标注为“高危”，那就算验证通过。如果它只是泛泛地来一句“避免拼接SQL”，说明你的提示词还需要补强，把具体的漏洞模式写得更清楚些。