`markdown
—
title: AlibabaのAIコードレビューCLIが無料公開——2年・1万人超が磨いた「open-code-review」を副業エンジニアが使い倒す
slug: open-code-review-alibaba-ai-code-review-cli
description: Alibabaが社内2年・1万人以上の開発者で磨いたAIコードレビューCLI「open-code-review」がOSS化。ClaudeやOpenAI互換LLMと組み合わせて個人開発・副業のコード品質を一段引き上げる方法を解説。
—

AlibabaのAIコードレビューCLIが無料公開——2年・1万人超が磨いた「open-code-review」を副業エンジニアが使い倒す

コードレビューがボトルネックになっていないか？
Open Code Reviewとは——「決定論的エンジニアリング × LLM」のハイブリッド
1. 決定論的パイプライン（精度保証の層）
2. LLMエージェント（動的判断の層）
インストールとLLM設定
基本的な使い方
内蔵ルールセット——「うっかりミス」を自動で塞ぐ
CI/CDへの組み込み——PRを出したら自動でレビューが来る世界
1. GitHub Actionsでの設定例
2. セルフホストRunnerをCIサーバーで動かしたい場合
じさくエンジニア・副業開発者向け活用アイデア
まとめ
よくある質問（Q&A）

コードレビューがボトルネックになっていないか？

副業で開発していると、こんなシーンが増える。

レビュアーは自分だけ。目が慣れてバグを見逃す。

「とりあえずコミットしてあとで直そう」が積み重なる。

本業の合間を縫って書いたコードの品質が心配で、デプロイを躊躇する。

一方で、大手テック企業では何十人ものエンジニアがPRをクロスレビューし、静的解析・セキュリティスキャン・LLMレビューを多段で通している。この差は埋まらないように見えた——2026年5月までは。

Alibabaが社内で2年間・1万人以上の開発者に使わせ、数百万の不具合を検出して磨き続けたAIコードレビューCLI「Open Code Review」がApache-2.0ライセンスでOSS化された。GitHubでは公開直後から急上昇し、現在スター数4,600超。これを個人開発・副業開発にそのまま持ち込める。

—

Open Code Reviewとは——「決定論的エンジニアリング × LLM」のハイブリッド

LLMにdiffを丸投げするツールとは根本的に異なる。内部は2層に分かれている。

決定論的パイプライン（精度保証の層）

LLMは確率的で、プロンプト次第で見落としが発生する。そこでAlibabaは人間が書いたルールで”絶対に見るべきポイント”を担保する仕組みを組み込んだ。

LLMエージェント（動的判断の層）

ルールでは拾えないコンテキスト依存の問題（設計の一貫性・命名の意図・ロジックの穴）はLLMが判断する。プロンプトはシナリオ最適化されており、OpenAI互換とAnthropicの両方に対応している。

この2層構造が「ルールベースの網羅性」と「LLMの柔軟性」を両立させている点が、社内1万人規模のプロダクションユースに耐えられた理由だ。

—

インストールとLLM設定

インストール

npmがあればワンライナーで入る。

`bash
npm install -g @alibaba-group/open-code-review

→ `ocr` コマンドが使えるようになる

バイナリ配布も用意されているので、Node.js環境がないサーバーでも動作する。

LLM設定（Claudeを使う場合）

ClaudeはAnthropicのAPIを直接叩けるモードがある。コスト感と品質のバランスが良いclaude-opus-4-6を指定する例：

`bash
ocr config set llm.url https://api.anthropic.com/v1/messages
ocr config set llm.auth_token YOUR_ANTHROPIC_API_KEY
ocr config set llm.model claude-opus-4-6
ocr config set llm.use_anthropic true
`

LLM設定（OpenAI互換エンドポイントを使う場合）

OpenAI・DeepSeek・Groqなどコスト重視の選択肢も使える。

`bash
ocr config set llm.url https://api.openai.com/v1/chat/completions
ocr config set llm.auth_token YOUR_OPENAI_API_KEY
ocr config set llm.model gpt-4o
`

> コスト節約のヒント: DeepSeekなどのOpenAI互換エンドポイントを使えばAPIコストを大幅に下げられる。ターミナルからAIコーディングエージェントを活用する方法については [DeepSeek-Reasonixでターミナルからコーディング](https://devsideup.com/deepseek-reasonix-terminal-ai-coding-agent/) も参考にしてほしい。

—

基本的な使い方

設定が済んだら、あとはコマンド一発。

`bash

現在のブランチのdiffをレビュー

ocr review

mainとの差分をレビュー

ocr review –base main

GitHub PR番号を指定してレビュー

ocr review –pr 123
`

出力はターミナルに直接表示されるほか、GitHubのPRコメントとして書き込む統合も可能（後述のCI/CD連携参照）。

実際の出力イメージは以下のようになる：

`
[HIGH] src/user/auth.go:42
Potential null pointer dereference: user may be nil before access
Suggestion: Add nil check before accessing user.ID

[MEDIUM] src/api/handler.go:87
SQL query constructed with string concatenation — possible injection vector
Suggestion: Use parameterized queries
`

行番号と重要度（HIGH/MEDIUM/LOW）が明示されるため、どこを直すべきかがすぐわかる。

—

内蔵ルールセット——「うっかりミス」を自動で塞ぐ

LLMに頼む前に決定論的ルールで引っかかるため、見落としが起きにくい。主要なルール：

NPE（NullPointerException）検出: nil/nullアクセスのパターンをコード構造から検出

スレッドセーフティ: 共有リソースへの非同期アクセスの危険パターン

XSS脆弱性: ユーザー入力がそのままHTMLに出力されるパス

SQLインジェクション: 文字列結合によるクエリ生成の検出

その他セキュリティ・品質ルール: ハードコードされた認証情報、エラーハンドリングの欠落など

副業・個人開発でセキュリティレビューに割ける時間が限られているときこそ、この自動スキャンが効く。

—

CI/CDへの組み込み——PRを出したら自動でレビューが来る世界

GitHub Actionsでの設定例

リポジトリに .github/workflows/code-review.yml を作成する：

`yaml
name: AI Code Review

on:
pull_request:
types: [opened, synchronize]

jobs:
review:
runs-on: ubuntu-latest
steps:
– uses: actions/checkout@v4
with:
fetch-depth: 0

– name: Setup Node.js
uses: actions/setup-node@v4
with:
node-version: ’20’

– name: Install open-code-review
run: npm install -g @alibaba-group/open-code-review

– name: Configure LLM
run: |
ocr config set llm.url https://api.anthropic.com/v1/messages
ocr config set llm.auth_token ${{ secrets.ANTHROPIC_API_KEY }}
ocr config set llm.model claude-opus-4-6
ocr config set llm.use_anthropic true

– name: Run Code Review
run: ocr review –pr ${{ github.event.pull_request.number }}
env:
GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
`

ANTHROPIC_API_KEY をリポジトリのSecretsに登録しておけば、PRを出した瞬間にAIレビューコメントが自動で付く。

セルフホストRunnerをCIサーバーで動かしたい場合

GitHub-hostedランナーでなく、自前のサーバーでRunnerを動かせばAPIコール以外のコストがほぼゼロになる。VPS1台あればRunner常駐＋独自のルールセット追加も自由にできる。用途に合わせてスペックを選べる ConoHa VPS はメモリ1GBプランから月額数百円で使えるため、個人のCIサーバーとして現実的な選択肢だ。

—

じさくエンジニア・副業開発者向け活用アイデア

1. コミット前の「セルフレビュー」として使う

PRを出す前に ocr review --base main をローカルで実行する習慣をつけると、初歩的なミスを事前に潰せる。git pre-push hookに仕込むのもアリ。

`bash

.git/hooks/pre-push に追記

ocr review –base main || exit 1
`

2. 過去コードの品質診断に使う

「あのコード、今見るとどうなんだろう」というときも有効。ブランチを切って変更範囲を絞り、ピンポイントで品質診断できる。

3. Claude Codeと組み合わせてレビュー→修正を一気通貫に

AIがレビューした指摘をそのままClaude Codeに渡して修正させると、レビュー→修正のループが爆速になる。Claude Codeのツール拡張については [agent-skillsでClaude Codeを強化](https://devsideup.com/agent-skills-claude-code-addy-osmani/) で詳しく解説しているので参照してほしい。

4. チーム開発のレビュー待ち時間をなくす

副業でチームメンバーと非同期で開発しているとき、レビュー待ちでブロックされることがある。AIに先にレビューさせて明らかな問題を潰してからレビュー依頼することで、人間レビューの質も上がる。

—

まとめ

Open Code Reviewは「LLMにdiffを投げる」だけのシンプルなツールではない。決定論的ルールエンジンとLLMを組み合わせたハイブリッドアーキテクチャによって、Alibabaの社内品質基準をOSSとして誰でも使えるかたちに落とし込んだものだ。

副業・個人開発でのメリットをまとめると：

インストール1コマンドで即使える

Claude・OpenAI・DeepSeekなど好みのLLMを使える

NPE・XSS・SQLiなどの内蔵ルールで網羅的なスキャンが走る

GitHub Actions連携でPR自動レビューが組める

Apache-2.0ライセンスで商用利用も含めて制限なし

「レビュアーが自分しかいない」という状況を、Alibabaが2年かけて磨いたシステムで補える時代になった。

—

よくある質問（Q&A）

Q1. APIコストはどのくらいかかりますか？

レビュー1回あたりのコストはdiffのサイズとLLMの選択による。Claude claude-opus-4-6で小〜中規模のPR（変更行数200行程度）なら数円〜十数円程度が目安。DeepSeekなどのOpenAI互換エンドポイントを使えばさらに下げられる。月に数十PRなら月数百円以内に収まるケースが多い。

Q2. Go以外の言語（TypeScript・Pythonなど）にも対応していますか？

対応している。ツール自体はGoで書かれているが、レビュー対象の言語はLLMが解釈するため、TypeScript・Python・Java・Ruby等幅広く動作する。内蔵ルールの一部は言語固有だが、LLM層での汎用的なレビューはほぼすべての言語で機能する。

Q3. プライベートリポジトリのコードをLLMに送ることへのセキュリティ上の懸念は？

コードはAPI経由でLLMプロバイダーに送信される。機密性の高いプロジェクトでは、セルフホストのLLM（OllamaやOpenAI互換のローカルモデル）をエンドポイントとして指定することで、コードを外部に送らない構成も取れる。ocr config set llm.url に自前のエンドポイントURLを設定するだけでよい。
`