Cursor – Code Review

Este tutorial mostra como configurar code review usando o Cursor CLI no GitHub Actions. O workflow vai analisar pull requests, identificar problemas e publicar feedback como comentários.

Pra maioria das pessoas, a gente recomenda usar o Bugbot. O Bugbot oferece code review automatizado gerenciado, sem precisar de configuração. Essa abordagem via CLI é útil pra explorar capacidades e fazer customizações avançadas.

Show full workflow file

cursor-code-review.yml

name: Revisão de Código

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

permissions:
  pull-requests: write
  contents: read
  issues: write

jobs:
  code-review:
    runs-on: ubuntu-latest
    # Pular a revisão de código automatizada para PRs em rascunho
    if: github.event.pull_request.draft == false
    steps:
      - name: Fazer checkout do repositório
        uses: actions/checkout@v4
        with:
          fetch-depth: 0
          ref: ${{ github.event.pull_request.head.sha }}

      - name: Instalar o Cursor CLI
        run: |
          curl https://cursor.com/install -fsS | bash
          echo "$HOME/.cursor/bin" >> $GITHUB_PATH

      - name: Configurar identidade do Git
        run: |
          git config user.name "Cursor Agent"
          git config user.email "cursoragent@cursor.com"

      - name: Executar revisão de código automatizada
        env:
          CURSOR_API_KEY: ${{ secrets.CURSOR_API_KEY }}
          MODEL: gpt-5
          GH_TOKEN: ${{ secrets.GITHUB_TOKEN }}
          BLOCKING_REVIEW: ${{ vars.BLOCKING_REVIEW || 'false' }}
        run: |
          cursor-agent --force --model "$MODEL" --output-format=text --print 'Você está operando em um runner do GitHub Actions realizando revisão de código automatizada. A CLI do gh está disponível e autenticada via GH_TOKEN. Você pode comentar em pull requests.

          Contexto:
          - Repo: ${{ github.repository }}
          - PR Number: ${{ github.event.pull_request.number }}
          - PR Head SHA: ${{ github.event.pull_request.head.sha }}
          - PR Base SHA: ${{ github.event.pull_request.base.sha }}
          - Blocking Review: ${{ env.BLOCKING_REVIEW }}

          Objetivos:
          1) Conferir novamente os comentários de revisão existentes e responder como resolvido quando tiverem sido endereçados.
          2) Revisar o diff atual do PR e sinalizar apenas problemas claros e de alta gravidade.
          3) Deixar comentários inline bem curtos (1–2 frases) apenas nas linhas alteradas e um breve resumo no final.

          Procedimento:
          - Obter comentários existentes: gh pr view --json comments
          - Obter diff: gh pr diff
          - Obter arquivos alterados com patches para calcular posições inline: gh api repos/${{ github.repository }}/pulls/${{ github.event.pull_request.number }}/files --paginate --jq '.[] | {filename,patch}'
          - Calcular âncoras inline exatas para cada problema (caminho do arquivo + posição no diff). Os comentários DEVEM ser colocados inline na linha alterada no diff, não como comentários de nível superior.
          - Detectar comentários anteriores de nível superior no estilo "sem problemas" feitos por este bot (corpos como: "✅ no issues", "No issues found", "LGTM").
          - Se a execução ATUAL encontrar problemas e existirem comentários "sem problemas" anteriores:
            - Preferir removê-los para evitar confusão:
              - Tentar excluir comentários de nível superior via: gh api -X DELETE repos/${{ github.repository }}/issues/comments/<comment_id>
              - Se a exclusão não for possível, minimizar via GraphQL (minimizeComment) ou editar para prefixar "[Substituído por novas descobertas]".
            - Se nem excluir nem minimizar for possível, responder a esse comentário: "⚠️ Substituído: foram encontrados problemas em commits mais recentes".
          - Se um problema relatado anteriormente parecer resolvido por mudanças próximas, responder: ✅ Este problema parece ter sido resolvido pelas mudanças recentes
          - Analisar APENAS:
            - Desreferências de null/undefined
            - Vazamentos de recursos (arquivos ou conexões não fechados)
            - Injeção (SQL/XSS)
            - Concorrência/condições de corrida
            - Falta de tratamento de erros em operações críticas
            - Erros lógicos óbvios com comportamento incorreto
            - Antipadrões claros de performance com impacto mensurável
            - Vulnerabilidades de segurança definitivas
          - Evitar duplicatas: pular se feedback semelhante já existir nas mesmas linhas ou próximas.

          Regras de comentários:
          - Máximo de 10 comentários inline no total; priorizar os problemas mais críticos
          - Um problema por comentário; colocar na linha alterada exata
          - Todos os comentários de problemas DEVEM ser inline (ancorados a um arquivo e à linha/posição no diff do PR)
          - Tom natural, específico e acionável; não mencionar automação ou alta confiança
          - Usar emojis: 🚨 Crítico 🔒 Segurança ⚡ Performance ⚠️ Lógica ✅ Resolvido ✨ Melhoria

          Envio:
          - Se NÃO houver problemas a relatar e já existir um comentário de nível superior indicando "sem problemas" (por exemplo, "✅ sem problemas", "Nenhum problema encontrado", "LGTM"), NÃO envie outro comentário. Pule o envio para evitar redundância.
          - Se NÃO houver problemas a relatar e NÃO existir um comentário anterior de "sem problemas", envia um breve comentário de resumo informando que não há problemas.
          - Se HOUVER problemas a relatar e existir um comentário anterior de "sem problemas", garante que o comentário anterior seja excluído/minimizado/marcado como substituído antes de enviar a nova revisão.
          - Se HOUVER problemas a relatar, envia UMA revisão contendo APENAS comentários inline, além de um corpo de resumo conciso opcional. Usa a GitHub Reviews API para garantir que os comentários sejam inline:
            - Constrói um array JSON de comentários assim: [{ "path": "<file>", "position": <diff_position>, "body": "..." }]
            - Envia via: gh api repos/${{ github.repository }}/pulls/${{ github.event.pull_request.number }}/reviews -f event=COMMENT -f body="$SUMMARY" -f comments='[$COMMENTS_JSON]'
          - NÃO usa: gh pr review --approve ou --request-changes

          Comportamento de bloqueio:
          - Se BLOCKING_REVIEW for true e quaisquer problemas 🚨 ou 🔒 tiverem sido publicados: echo "CRITICAL_ISSUES_FOUND=true" >> $GITHUB_ENV
          - Caso contrário: echo "CRITICAL_ISSUES_FOUND=false" >> $GITHUB_ENV
          - Sempre define CRITICAL_ISSUES_FOUND no final
          '

      - name: Check blocking review results
        if: env.BLOCKING_REVIEW == 'true'
        run: |
          echo "Verificando problemas críticos..."
          echo "CRITICAL_ISSUES_FOUND: ${CRITICAL_ISSUES_FOUND:-unset}"

          if [ "${CRITICAL_ISSUES_FOUND:-false}" = "true" ]; then
            echo "❌ Problemas críticos encontrados e a revisão de bloqueio está habilitada. Falhando o workflow."
            exit 1
          else
            echo "✅ Nenhum problema de bloqueio encontrado."
          fi

Revisão de código automatizada em ação, mostrando comentários em linha em um pull request

Configurar a autenticação

Configura tua chave de API e os segredos do repositório para autenticar o Cursor CLI no GitHub Actions.

Configurar permissões do agente

Cria um arquivo de configuração para controlar quais ações o agente pode executar. Isso evita operações não intencionais, como fazer push de código ou criar pull requests. Cria .cursor/cli.json na raiz do teu repositório:

{
  "permissions": {
    "deny": [
      "Shell(git push)",
      "Shell(gh pr create)",
      "Write(**)"
    ]
  }
}

Essa configuração permite que o agente leia arquivos e use o GitHub CLI para comentários, mas impede que ele faça alterações no teu repositório. Vê a referência de permissões para mais opções de configuração.

Criar o workflow do GitHub Actions

Agora vamos criar o workflow passo a passo.

Configurar o gatilho do workflow

Cria .github/workflows/cursor-code-review.yml e configura para rodar em pull requests:

name: Cursor Code Review

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

jobs:
  code-review:
    runs-on: ubuntu-latest
    permissions:
      contents: read
      pull-requests: write
    
    steps:

Fazer checkout do repositório

Adiciona o passo de checkout para acessar o código do pull request:

- name: Checkout repository
  uses: actions/checkout@v4
  with:
    fetch-depth: 0
    ref: ${{ github.event.pull_request.head.sha }}

Instalar o Cursor CLI

Adiciona o passo de instalação do CLI:

- name: Install Cursor CLI
  run: |
    curl https://cursor.com/install -fsS | bash
    echo "$HOME/.cursor/bin" >> $GITHUB_PATH

Configurar o agente de review

Antes de implementar o passo completo de review, vamos entender a anatomia do nosso prompt de review. Esta seção descreve como queremos que o agente se comporte: Objetivo: Queremos que o agente revise o diff atual do PR e sinalize apenas problemas claros e de alta severidade; depois, deixe comentários inline bem curtos (1–2 frases) somente nas linhas alteradas, com um resumo breve no final. Isso mantém um bom equilíbrio entre sinal e ruído. Formato: Queremos comentários curtos e diretos. Usamos emojis para facilitar a leitura rápida dos comentários e queremos um resumo de alto nível do review completo no final. Envio: Quando o review terminar, queremos que o agente inclua um comentário curto com base no que foi encontrado durante o review. O agente deve enviar um único review contendo comentários inline mais um resumo conciso. Casos extremos: Precisamos lidar com:

Comentários existentes sendo resolvidos: o agente deve marcá-los como concluídos quando forem endereçados
Evitar duplicatas: o agente deve pular comentários se um feedback semelhante já existir na mesma linha ou em linhas próximas

Prompt final: O prompt completo combina todos esses requisitos de comportamento para gerar feedback focado e acionável Agora vamos implementar o passo do agente de review:

- name: Perform code review
  env:
    CURSOR_API_KEY: ${{ secrets.CURSOR_API_KEY }}
    GH_TOKEN: ${{ github.token }}
  run: |
    cursor-agent --force --model "$MODEL" --output-format=text --print "You are operating in a GitHub Actions runner performing automated code review. The gh CLI is available and authenticated via GH_TOKEN. You may comment on pull requests.
    
    Context:
    - Repo: ${{ github.repository }}
    - PR Number: ${{ github.event.pull_request.number }}
    - PR Head SHA: ${{ github.event.pull_request.head.sha }}
    - PR Base SHA: ${{ github.event.pull_request.base.sha }}
    
    Objectives:
    1) Re-check existing review comments and reply resolved when addressed
    2) Review the current PR diff and flag only clear, high-severity issues
    3) Leave very short inline comments (1-2 sentences) on changed lines only and a brief summary at the end
    
    Procedure:
    - Get existing comments: gh pr view --json comments
    - Get diff: gh pr diff
    - If a previously reported issue appears fixed by nearby changes, reply: ✅ This issue appears to be resolved by the recent changes
    - Avoid duplicates: skip if similar feedback already exists on or near the same lines
    
    Commenting rules:
    - Max 10 inline comments total; prioritize the most critical issues
    - One issue per comment; place on the exact changed line
    - Natural tone, specific and actionable; do not mention automated or high-confidence
    - Use emojis: 🚨 Critical 🔒 Security ⚡ Performance ⚠️ Logic ✅ Resolved ✨ Improvement
    
    Submission:
    - Submit one review containing inline comments plus a concise summary
    - Use only: gh pr review --comment
    - Do not use: gh pr review --approve or --request-changes"

.
├── .cursor/
│   └── cli.json
├── .github/
│   └── workflows/
│       └── cursor-code-review.yml

Testa teu revisor

Cria um pull request de teste pra verificar que o workflow funciona e que o agente publica comentários de revisão com feedback em emoji.

Pull request mostrando comentários de revisão automatizados com emojis e feedback inline em linhas específicas

Próximos passos

Agora você tem um sistema de revisão de código automatizada funcionando. Considera estas melhorias:

Configura workflows adicionais para corrigir falhas de CI
Configura níveis de revisão diferentes para branches diferentes
Integra com o processo de code review existente do teu time
Personaliza o comportamento do agente para diferentes tipos de arquivo ou diretórios

Show Avançado: Revisões bloqueadoras

Você pode configurar o workflow para falhar se problemas críticos forem encontrados, impedindo o pull request de ser mesclado até que sejam resolvidos.Adicionar comportamento de bloqueio ao promptPrimeiro, atualiza a etapa do teu agente de revisão para incluir a variável de ambiente BLOCKING_REVIEW e adiciona esse comportamento de bloqueio ao prompt:

Comportamento de bloqueio:
- Se BLOCKING_REVIEW for true e quaisquer issues 🚨 ou 🔒 tiverem sido postadas: echo "CRITICAL_ISSUES_FOUND=true" >> $GITHUB_ENV
- Caso contrário: echo "CRITICAL_ISSUES_FOUND=false" >> $GITHUB_ENV
- Sempre definir CRITICAL_ISSUES_FOUND ao final

Adicionar a etapa de verificação de bloqueioEm seguida, adiciona esta nova etapa após a tua etapa de code review:

      - name: Check blocking review results
        if: env.BLOCKING_REVIEW == 'true'
        run: |
          echo "Checking for critical issues..."
          echo "CRITICAL_ISSUES_FOUND: ${CRITICAL_ISSUES_FOUND:-unset}"

          if [ "${CRITICAL_ISSUES_FOUND:-false}" = "true" ]; then
            echo "❌ Critical issues found and blocking review is enabled. Failing the workflow."
            exit 1
          else
            echo "✅ No blocking issues found."
          fi

Começar

Headless

Referência

Code Review

Configurar a autenticação

Configurar permissões do agente

Criar o workflow do GitHub Actions

Configurar o gatilho do workflow

Fazer checkout do repositório

Instalar o Cursor CLI

Configurar o agente de review

Testa teu revisor

Próximos passos

Começar

Headless

Referência

​Configurar a autenticação

​Configurar permissões do agente

​Criar o workflow do GitHub Actions

​Configurar o gatilho do workflow

​Fazer checkout do repositório

​Instalar o Cursor CLI

​Configurar o agente de review

​Testa teu revisor

​Próximos passos

Configurar a autenticação

Configurar permissões do agente

Criar o workflow do GitHub Actions

Configurar o gatilho do workflow

Fazer checkout do repositório

Instalar o Cursor CLI

Configurar o agente de review

Testa teu revisor

Próximos passos