マージ前に AI 生成コードをレビューする方法
Cursor、Claude Code、Codex、Copilot、Windsurf、ChatGPT、Lovable、Bolt、Replit Agent の変更を確認する実務フロー。
AI 生成コードは信頼ではなくワークフローで確認します。Cursor、Claude Code、Codex、Copilot、Windsurf、ChatGPT、Lovable、Bolt、Replit Agent の変更でも、まず scope、behavior、risk、verification gate を見ます。
ローカルの review note には AI Code Review Checklist を使えます。全体の出荷フローは AI Coding Workflow Checklist から始めます。
変更ファイルから始める
行単位で読む前に確認します。
- AI に何を依頼したか
- どのファイルが変わったか
- 予想外のファイルはどれか
Agent は近くのファイルも編集しがちです。便利な場合もありますが、無関係な refactor、config 変更、test rewrite が隠れることもあります。
Style より behavior
まず既存動作を確認します。
- 以前の flow はまだ動くか
- redirect、filter、form、empty state は変わったか
- ChatGPT の snippet が error handling を抜かしていないか
- vibe coding builder が happy path だけを作っていないか
テストがあれば実行します。なければ route、account、browser、command、expected result を手動 gate として書きます。
Risk area を明示的に見る
| Area | Check |
|---|---|
| Auth | anonymous、user、admin、expired session |
| Data | migration、default、delete/update script |
| Payments | test/live key、webhook URL、duplicate event |
| API | request、response、status code、CORS |
| SEO | title、description、canonical、sitemap、robots |
| Mobile | 360px layout、fixed button、keyboard、overflow |
これは developer にも vibe coder にも重要です。生成された app は完成に見えても secret 漏えい、error state 欠落、deploy 失敗を含むことがあります。
AI に具体的に聞く
- 元の scope 外のファイルはどれで、なぜ必要か
- 既存 flow のどこを壊す可能性があるか
- 必要な env var と client に出せる var は何か
- どの command / manual step で確認するか
- 次の agent が触るべきでない場所はどこか
回答は PR、issue、handoff note に残します。bug が見つかったら Bug Report Packet Builder に切り替えます。