Cursor – Code Review

Este tutorial mostra como configurar code review usando o Cursor CLI no GitHub Actions. O workflow vai analisar pull requests, identificar problemas e publicar feedback como comentários.

Pra maioria das pessoas, a gente recomenda usar o Bugbot. O Bugbot oferece code review automatizado gerenciado, sem precisar de configuração. Essa abordagem com CLI é útil pra explorar capacidades e pra customizações avançadas.

Show arquivo completo de workflow

cursor-code-review.yml

name: Revisão de Código

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

permissions:
  pull-requests: write
  contents: read
  issues: write

jobs:
  code-review:
    runs-on: ubuntu-latest
    # Pular revisão de código automatizada para PRs em rascunho
    if: github.event.pull_request.draft == false
    steps:
      - name: Fazer checkout do repositório
        uses: actions/checkout@v4
        with:
          fetch-depth: 0
          ref: ${{ github.event.pull_request.head.sha }}

      - name: Instalar a CLI do Cursor
        run: |
          curl https://cursor.com/install -fsS | bash
          echo "$HOME/.cursor/bin" >> $GITHUB_PATH

      - name: Configurar identidade do Git
        run: |
          git config user.name "Cursor Agent"
          git config user.email "cursoragent@cursor.com"

      - name: Executar revisão de código automatizada
        env:
          CURSOR_API_KEY: ${{ secrets.CURSOR_API_KEY }}
          MODEL: gpt-5
          GH_TOKEN: ${{ secrets.GITHUB_TOKEN }}
          BLOCKING_REVIEW: ${{ vars.BLOCKING_REVIEW || 'false' }}
        run: |
          cursor-agent --force --model "$MODEL" --output-format=text --print 'Você está operando em um runner do GitHub Actions realizando revisão de código automatizada. A CLI do gh está disponível e autenticada via GH_TOKEN. Você pode comentar em pull requests.

          Contexto:
          - Repo: ${{ github.repository }}
          - PR Number: ${{ github.event.pull_request.number }}
          - PR Head SHA: ${{ github.event.pull_request.head.sha }}
          - PR Base SHA: ${{ github.event.pull_request.base.sha }}
          - Blocking Review: ${{ env.BLOCKING_REVIEW }}

          Objetivos:
          1) Reavaliar comentários de revisão existentes e responder "resolvido" quando estiverem endereçados.
          2) Revisar o diff atual do PR e sinalizar apenas problemas claros e de alta gravidade.
          3) Deixar comentários inline bem curtos (1–2 frases) apenas nas linhas alteradas e um breve resumo ao final.

          Procedimento:
          - Obter comentários existentes: gh pr view --json comments
          - Obter diff: gh pr diff
          - Obter arquivos alterados com patches para calcular posições inline: gh api repos/${{ github.repository }}/pulls/${{ github.event.pull_request.number }}/files --paginate --jq '.[] | {filename,patch}'
          - Calcular âncoras inline exatas para cada problema (caminho do arquivo + posição no diff). Os comentários DEVEM ser colocados inline na linha alterada do diff, não como comentários de nível superior.
          - Detectar comentários anteriores de nível superior no estilo "sem problemas" feitos por este bot (corpos que correspondam a: "✅ no issues", "No issues found", "LGTM").
          - Se a execução ATUAL encontrar problemas e existir qualquer comentário anterior de "sem problemas":
            - Preferir removê-los para evitar confusão:
              - Tentar excluir comentários de nível superior via: gh api -X DELETE repos/${{ github.repository }}/issues/comments/<comment_id>
              - Se a exclusão não for possível, minimizar via GraphQL (minimizeComment) ou editar para prefixar "[Substituído por novas descobertas]".
            - Se não for possível excluir nem minimizar, responder a esse comentário: "⚠️ Substituído: problemas foram encontrados em commits mais recentes".
          - Se um problema reportado anteriormente parecer corrigido por mudanças recentes, responder: ✅ Este problema parece ter sido resolvido pelas alterações recentes
          - Analisar APENAS:
            - Desreferenciamentos de null/undefined
            - Vazamentos de recursos (arquivos ou conexões não fechados)
            - Injeção (SQL/XSS)
            - Concorrência/condições de corrida
            - Falta de tratamento de erros para operações críticas
            - Erros lógicos óbvios com comportamento incorreto
            - Antipadrões de desempenho claros com impacto mensurável
            - Vulnerabilidades de segurança inequívocas
          - Evitar duplicidade: pular se um feedback semelhante já existir na mesma linha ou próximo.

          Regras de comentários:
          - Máx. 10 comentários inline no total; priorizar os problemas mais críticos
          - Um problema por comentário; colocar na linha alterada exata
          - Todos os comentários de problema DEVEM ser inline (ancorados a um arquivo e à linha/posição no diff do PR)
          - Tom natural, específico e acionável; não mencionar que é automatizado ou de alta confiança
          - Usar emojis: 🚨 Crítico 🔒 Segurança ⚡ Desempenho ⚠️ Lógica ✅ Resolvido ✨ Melhoria

          Envio:
          - Se NÃO houver problemas a relatar e já existir um comentário de nível superior indicando "sem problemas" (por exemplo, "✅ no issues", "No issues found", "LGTM"), NÃO enviar outro comentário. Pular o envio para evitar redundância.
          - Se NÃO houver problemas a relatar e NÃO existir comentário prévio de "sem problemas", enviar um breve comentário-resumo informando ausência de problemas.
          - Se HOUVER problemas a relatar e existir comentário prévio de "sem problemas", garantir que o comentário anterior seja excluído/minimizado/marcado como substituído antes de enviar a nova revisão.
          - Se HOUVER problemas a relatar, enviar UMA revisão contendo APENAS comentários inline, além de um corpo de resumo conciso opcional. Usar a API de Reviews do GitHub para garantir comentários inline:
            - Build a JSON array of comments like: [{ "path": "<file>", "position": <diff_position>, "body": "..." }]
            - Submit via: gh api repos/${{ github.repository }}/pulls/${{ github.event.pull_request.number }}/reviews -f event=COMMENT -f body="$SUMMARY" -f comments='[$COMMENTS_JSON]'
          - NÃO usar: gh pr review --approve ou --request-changes

          Comportamento de bloqueio:
          - If BLOCKING_REVIEW is true and any 🚨 or 🔒 issues were posted: echo "CRITICAL_ISSUES_FOUND=true" >> $GITHUB_ENV
          - Otherwise: echo "CRITICAL_ISSUES_FOUND=false" >> $GITHUB_ENV
          - Always set CRITICAL_ISSUES_FOUND at the end
          '

      - name: Verificar resultados da revisão bloqueante
        if: env.BLOCKING_REVIEW == 'true'
        run: |
          echo "Verificando se há problemas críticos..."
          echo "CRITICAL_ISSUES_FOUND: ${CRITICAL_ISSUES_FOUND:-unset}"

          if [ "${CRITICAL_ISSUES_FOUND:-false}" = "true" ]; then
            echo "❌ Problemas críticos encontrados e a revisão bloqueante está habilitada. Falhando o workflow."
            exit 1
          else
            echo "✅ Nenhum problema bloqueante encontrado."
          fi

Revisão de código automatizada em ação, com comentários inline em um pull request

Configurar autenticação

Configura tua chave de API e os segredos do repositório pra autenticar o Cursor CLI no GitHub Actions.

Configurar permissões do agente

Cria um arquivo de configuração pra controlar quais ações o agente pode executar. Isso evita operações não intencionais, como fazer push de código ou criar pull requests. Cria .cursor/cli.json na raiz do teu repositório:

{
  "permissions": {
    "deny": [
      "Shell(git push)",
      "Shell(gh pr create)",
      "Write(**)"
    ]
  }
}

Essa configuração permite que o agente leia arquivos e use o GitHub CLI para comentários, mas impede que ele faça alterações no teu repositório. Confere a referência de permissões para mais opções de configuração.

Criar o workflow do GitHub Actions

Agora vamos construir o workflow passo a passo.

Configurar o acionador do workflow

Cria .github/workflows/cursor-code-review.yml e configura pra executar em pull requests:

name: Revisão de Código do Cursor

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

jobs:
  code-review:
    runs-on: ubuntu-latest
    permissions:
      contents: read
      pull-requests: write
    
    steps:

Faça checkout do repositório

Adiciona a etapa de checkout pra acessar o código do pull request:

- name: Checkout do repositório
  uses: actions/checkout@v4
  with:
    fetch-depth: 0
    ref: ${{ github.event.pull_request.head.sha }}

Instalar o Cursor CLI

Adiciona a etapa de instalação do CLI:

- name: Instalar o Cursor CLI
  run: |
    curl https://cursor.com/install -fsS | bash
    echo "$HOME/.cursor/bin" >> $GITHUB_PATH

Configurar o agente de revisão

Antes de implementar a etapa completa de revisão, bora entender a anatomia do nosso prompt de revisão. Esta seção descreve como queremos que o agente se comporte: Objetivo: Queremos que o agente revise o diff do PR atual e sinalize apenas problemas claros e de alta gravidade, depois deixe comentários inline bem curtos (1–2 frases) só nas linhas alteradas, com um breve resumo no final. Isso mantém uma boa relação sinal-ruído. Formato: Queremos comentários curtos e diretos ao ponto. Usamos emojis para facilitar a varredura dos comentários e queremos um resumo de alto nível da revisão completa no final. Envio: Quando a revisão terminar, queremos que o agente inclua um comentário curto com base no que foi encontrado durante a revisão. O agente deve enviar uma única revisão contendo comentários inline mais um resumo conciso. Casos de borda: Precisamos lidar com:

Comentários existentes sendo resolvidos: o agente deve marcá-los como concluídos quando forem endereçados
Evitar duplicidade: o agente deve pular o comentário se já existir feedback semelhante nas mesmas linhas ou próximas

Prompt final: O prompt completo combina todos esses requisitos de comportamento para gerar feedback focado e acionável Agora bora implementar a etapa do agente de revisão:

- name: Realizar revisão de código
  env:
    CURSOR_API_KEY: ${{ secrets.CURSOR_API_KEY }}
    GH_TOKEN: ${{ github.token }}
  run: |
    cursor-agent --force --model "$MODEL" --output-format=text --print "Você está operando em um runner do GitHub Actions realizando revisão de código automatizada. A CLI gh está disponível e autenticada via GH_TOKEN. Você pode comentar em pull requests.
    
    Contexto:
    - Repo: ${{ github.repository }}
    - PR Number: ${{ github.event.pull_request.number }}
    - PR Head SHA: ${{ github.event.pull_request.head.sha }}
    - PR Base SHA: ${{ github.event.pull_request.base.sha }}
    
    Objetivos:
    1) Reavaliar os comentários de revisão existentes e responder resolvido quando forem endereçados
    2) Revisar o diff atual do PR e sinalizar apenas problemas claros e de alta gravidade
    3) Deixar comentários em linha bem curtos (1-2 frases) apenas nas linhas alteradas e um breve resumo ao final
    
    Procedimento:
    - Obter comentários existentes: gh pr view --json comments
    - Obter diff: gh pr diff
    - Se um problema relatado anteriormente parecer resolvido por mudanças próximas, responder: ✅ Este problema parece ter sido resolvido pelas mudanças recentes
    - Evitar duplicidades: pular se já houver feedback similar nas mesmas linhas ou próximo a elas
    
    Regras de comentários:
    - No máximo 10 comentários em linha no total; priorizar os problemas mais críticos
    - Um problema por comentário; posicionar exatamente na linha alterada
    - Tom natural, específico e acionável; não mencionar automação ou alta confiança
    - Usar emojis: 🚨 Crítico 🔒 Segurança ⚡ Desempenho ⚠️ Lógica ✅ Resolvido ✨ Melhoria
    
    Envio:
    - Enviar uma única revisão contendo comentários em linha mais um resumo conciso
    - Usar apenas: gh pr review --comment
    - Não usar: gh pr review --approve ou --request-changes"

.
├── .cursor/
│   └── cli.json
├── .github/
│   └── workflows/
│       └── cursor-code-review.yml

Testa teu revisor

Cria um pull request de teste pra verificar se o workflow funciona e se o agente posta comentários de revisão com feedback em emoji.

Pull request mostrando comentários de revisão automatizados com emojis e feedback inline em linhas específicas

Próximos passos

Agora tu tens um sistema de revisão de código automatizado funcionando. Considera estes aprimoramentos:

Configura workflows adicionais para corrigir falhas de CI
Configura níveis de revisão diferentes para diferentes branches
Integra com o processo de code review que teu time já usa
Personaliza o comportamento do agente para diferentes tipos de arquivo ou diretórios

Show Avançado: Revisões bloqueadoras

Tu podes configurar o workflow para falhar se problemas críticos forem encontrados, impedindo o pull request de ser mesclado até que sejam resolvidos.Adiciona comportamento de bloqueio ao promptPrimeiro, atualiza a etapa do teu agente de revisão para incluir a variável de ambiente BLOCKING_REVIEW e adiciona esse comportamento de bloqueio ao prompt:

Blocking behavior:
- If BLOCKING_REVIEW is true and any 🚨 or 🔒 issues were posted: echo "CRITICAL_ISSUES_FOUND=true" >> $GITHUB_ENV
- Otherwise: echo "CRITICAL_ISSUES_FOUND=false" >> $GITHUB_ENV
- Always set CRITICAL_ISSUES_FOUND at the end

Adiciona a etapa de verificação de bloqueioDepois, adiciona esta nova etapa após a tua etapa de revisão de código:

      - name: Check blocking review results
        if: env.BLOCKING_REVIEW == 'true'
        run: |
          echo "Checking for critical issues..."
          echo "CRITICAL_ISSUES_FOUND: ${CRITICAL_ISSUES_FOUND:-unset}"

          if [ "${CRITICAL_ISSUES_FOUND:-false}" = "true" ]; then
            echo "❌ Critical issues found and blocking review is enabled. Failing the workflow."
            exit 1
          else
            echo "✅ No blocking issues found."
          fi

Primeiros passos

Headless

Referência

Code Review

Configurar autenticação

Configurar permissões do agente

Criar o workflow do GitHub Actions

Configurar o acionador do workflow

Faça checkout do repositório

Instalar o Cursor CLI

Configurar o agente de revisão

Testa teu revisor

Próximos passos

Primeiros passos

Headless

Referência

​Configurar autenticação

​Configurar permissões do agente

​Criar o workflow do GitHub Actions

​Configurar o acionador do workflow

​Faça checkout do repositório

​Instalar o Cursor CLI

​Configurar o agente de revisão

​Testa teu revisor

​Próximos passos

Configurar autenticação

Configurar permissões do agente

Criar o workflow do GitHub Actions

Configurar o acionador do workflow

Faça checkout do repositório

Instalar o Cursor CLI

Configurar o agente de revisão

Testa teu revisor

Próximos passos