CLI 工作流
用 CLI 审查 GitHub PR
收集 PR 元数据并在本地检查补丁,先报告 blocker,不自动评论或合并。
代码协作只读
开始前准备好工具、认证与证据
先安装推荐工具,确认最小权限,再区分兼容性和真实执行记录。
复制或下载本工作流 Skill
Skill 包含输入输出合同、推荐工具、审批点、回滚和证据边界;保存前仍应按当前环境审查。
review-github-prs-SKILL.md
---
name: review-github-prs-workflow
description: "收集 PR 元数据并在本地检查补丁,先报告 blocker,不自动评论或合并。"
---
# 审查 GitHub Pull Request
## 适用目标
输出有证据的审查结果,并把发现与仓库写操作分开。
## 证据边界
- 工具状态分别标注 `docs-verified` 与真实独立执行;二者不能互换。
- 当前注册表没有记录某次工具执行具体由哪个 Agent 完成,因此不能把“兼容 Agent”称为“已测试 Agent”。
- 执行前重新核对目标账户、环境、版本与官方文档。
- 不自动执行 R2、R3 或任何标记为需要确认的步骤;必须在执行前获得明确批准。
## 推荐工具、安装与认证
- **GitHub CLI**(证据:`verified`,文档检查:`2026-07-10`,已记录独立测试版本 2.86.0)
- 安装:`brew install gh`
- 认证:OAuth, personal access token, GitHub Actions token
- 最小权限:使用只读或细粒度 Token,并仅授权任务所需仓库。
- **ripgrep**(证据:`verified`,文档检查:`2026-07-10`,已记录独立测试版本 15.1.0)
- 安装:`brew install ripgrep`
- 认证:基础操作无需认证
- 最小权限:无需服务凭据;仍应把文件系统和网络访问限制在任务范围内。
- **jq**(证据:`verified`,文档检查:`2026-07-10`,已记录独立测试版本 jq-1.7.1-apple)
- 安装:`brew install jq`
- 认证:基础操作无需认证
- 最小权限:无需服务凭据;仍应把文件系统和网络访问限制在任务范围内。
## 输入合同
- 仓库名
- PR 编号
- 本地 checkout 或 patch
- 只读 GitHub 身份
## 输出合同
- PR 摘要
- 检查状态
- 可执行问题
- 建议下一步
## 安全工作流
1. **读取 PR 状态** — 以 JSON 获取标题、作者、文件、review 和检查。
- 输入: 仓库和 PR 编号
- 输出: 可解析 PR 上下文
- 风险: `read-only`
- 命令: `gh pr view 123 --json number,title,author,files,reviews,statusCheckRollup,url`
2. **检查补丁** — 读取 diff,并搜索受影响代码的调用方和假设。
- 输入: PR diff 和仓库
- 输出: 精确到行的审查记录
- 风险: `read-only`
- 命令: `gh pr diff 123 && rg "affectedSymbol" src`
3. **写操作前先报告** — 汇总 blocker、可信度和检查;把评论、批准和合并作为独立建议。
- 输入: 审查记录和 CI 状态
- 输出: 审查报告与可选写命令
- 风险: `read-only`
## 必须先确认
- 发布 review 评论
- 提交 approve 或 request-changes
- 合并或关闭 PR
## 回滚
- 权限允许时编辑或删除错误评论
- 用新提交 revert 合并,不改写共享历史
- 保留审查报告用于追溯
## 官方来源
- [GitHub CLI manual](https://cli.github.com/manual/) — 用于核对当前命令、认证、输出和操作边界。
- [GitHub REST API documentation](https://docs.github.com/en/rest) — 用于核对当前命令、认证、输出和操作边界。
目标、输入与输出
在 Agent 选择命令前,先明确要交付的结果和证据。
用 CLI 审查 GitHub PR:安全执行步骤
每一步都要在已声明的边界内执行,验证输出后再继续。
审批点与回滚
在列出的决策点停下,并让恢复方法始终紧跟操作。
选 CLI、MCP 还是 API?
根据执行位置、身份、输出合同与权限边界选接口。
建议方案
用 GitHub CLI 只读审查,任何公开评论或合并都单独确认。
官方证据与参考
执行前使用这些官方或上游来源确认当前命令行为。