Cursor BugBot 使用教程：三步搞定AI自动代码审查

李博！我昨天发现Cursor又搞了个新东西，叫BugBot，你用了没？ 哈哈，你消息还挺灵的。用了，前两天刚给我们组的项目接上。 感觉怎么样？我看了下介绍说是AI自动代码审查，就在GitHub PR里面跑的。 嗯，简单说就是你提PR的时候，它自动帮你过一遍代码，找Bug找安全漏洞。我觉得这个时间点推出来特别对。 为啥说时间点对？ 你想啊，现在大家都在用AI写代码，Copilot、Cursor本身，代码产出速度是快了，但质量呢？斯坦福去年有个研究特别有意思—— 用AI编程助手的开发者，写出来的代码安全漏洞反而更多。而且这些人对自己代码的信心还更强。 等等，真的假的？！用了AI反而漏洞更多？ 对，就是过度自信效应。你觉得AI帮你写的嘛，应该没问题，结果review的时候就不仔细看了。GitHub自己的数据说Copilot生成的代码大概40%有潜在安全漏洞。 四成……这个数字也太吓人了吧。那确实需要一个东西来兜底。 所以BugBot的定位就是这个——AI写的代码，再用AI来审。形成闭环。 好，那我最关心的问题来了，接入麻烦吗？我们组那些后端同学最怕折腾配置。 三步，真的就三步。第一步在Cursor设置里连接GitHub，走OAuth授权。第二步选你要开启的仓库。第三步可选，调一些配置项。完事儿。 就这？不用装什么GitHub Action之类的？ 不用。它是通过GitHub App加Webhook实现的。你授权之后，PR一创建，GitHub就自动给BugBot发通知，它拉取diff内容，过模型，再把结果写回PR评论区。 哦我懂了，就像你给仓库装了一个永远不会累的reviewer。 对！而且这个点很关键——人工code review有个经典问题，一次超过400行代码，reviewer的缺陷发现率就断崖式下降。 这个我太有体会了，我们组有人提PR一千多行，reviewer基本就是走个形式…… 哈哈对吧，人会累AI不会。 那它具体能发现什么级别的问题？是像ESLint那种格式问题，还是能找到逻辑Bug？ 这是它跟传统静态分析工具最大的区别。ESLint、SonarQube这些是基于规则匹配的，BugBot是基于大语言模型的，它能理解代码意图。 比如你把一个关键文件的代码全注释掉了，静态分析工具可能不报错，但BugBot会告诉你：哥们这个文件被你废了，你确定？ 哈哈哈哈，还会叫哥们吗？ 那倒不会，但意思差不多。它会在PR评论里标出来问题在哪，贴上代码片段。 然后呢？发现问题之后呢？ 这就是我觉得最爽的地方——一键修复。点一下按钮，直接在Cursor里开一个对话，引导你把问题修了。修完重新提交，BugBot再跑一遍确认。 等会儿，这不就是从写代码到审查到修复全在一个生态里闭环了吗？ Bingo！这就是它跟CodeRabbit、GitHub Copilot Code Review这些竞品的差异化。别人只管审，它管审还管修。 从产品角度看这个闭环确实漂亮。那你觉得它能替代人工review吗？ 替代不了，也不应该替代。 哦？你倒是挺克制的。 哈哈，你们产品经理不是最喜欢说分层嘛。BugBot适合当第一道防线，快速过滤明显问题。但架构合不合理、业务逻辑对不对，这些还得人来判断。 嗯，有道理。就像自动化测试不能替代QA的思考一样。 对。我建议的工作流是：功能分支开发完，提PR，BugBot先过一遍，你根据它的反馈修，修完再让团队成员看更高层次的东西。效率能提升不少。 那审查一次大概要多久？ 一分钟左右。提交多的话会久一点，但基本不影响工作节奏。 行，我回去就给我们组接上试试。7天免费是吧？ 对，先试试。我觉得尤其是你们这种快速迭代的产品团队，AI写代码多，更需要这么一道安全网兜着。 确实。AI帮你跑得快，但也得有人帮你看看路对不对。好，今天这个聊得我还挺有收获的。 嗯，接上之后有啥问题随时找我。回头看看它在你们项目上能揪出多少Bug，哈哈。