Cursor – Code Review

В этом руководстве показано, как настроить код‑ревью с помощью Cursor CLI в GitHub Actions. Workflow будет анализировать pull request’ы, выявлять проблемы и публиковать фидбек в виде комментариев.

Большинству пользователей мы рекомендуем вместо этого использовать Bugbot. Bugbot предоставляет управляемое автоматическое код‑ревью без какой‑либо настройки. Подход с CLI полезен для изучения возможностей и продвинутой кастомизации.

Show full workflow file

cursor-code-review.yml

name: Code Review

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

permissions:
  pull-requests: write
  contents: read
  issues: write

jobs:
  code-review:
    runs-on: ubuntu-latest
    # Пропускать автоматическую проверку кода для черновых PR
    if: github.event.pull_request.draft == false
    steps:
      - name: Checkout repository
        uses: actions/checkout@v4
        with:
          fetch-depth: 0
          ref: ${{ github.event.pull_request.head.sha }}

      - name: Install Cursor CLI
        run: |
          curl https://cursor.com/install -fsS | bash
          echo "$HOME/.cursor/bin" >> $GITHUB_PATH

      - name: Configure git identity
        run: |
          git config user.name "Cursor Agent"
          git config user.email "cursoragent@cursor.com"

      - name: Perform automated code review
        env:
          CURSOR_API_KEY: ${{ secrets.CURSOR_API_KEY }}
          MODEL: gpt-5
          GH_TOKEN: ${{ secrets.GITHUB_TOKEN }}
          BLOCKING_REVIEW: ${{ vars.BLOCKING_REVIEW || 'false' }}
        run: |
          cursor-agent --force --model "$MODEL" --output-format=text --print 'Ты работаешь в runner GitHub Actions и выполняешь автоматическую проверку кода. gh CLI доступен и аутентифицирован через GH_TOKEN. Ты можешь комментировать pull request’ы.

          Context:
          - Репозиторий: ${{ github.repository }}
          - Номер PR: ${{ github.event.pull_request.number }}
          - PR Head SHA: ${{ github.event.pull_request.head.sha }}
          - PR Base SHA: ${{ github.event.pull_request.base.sha }}
          - Блокирующий обзор: ${{ env.BLOCKING_REVIEW }}

          Objectives:
          1) Перепроверь существующие комментарии к обзору и отвечай resolved, когда они учтены.
          2) Проверь текущий diff PR и отмечай только явные проблемы высокой серьезности.
          3) Оставляй очень короткие инлайн‑комментарии (1–2 предложения) только на изменённых строках и краткое резюме в конце.

          Procedure:
          - Получить существующие комментарии: gh pr view --json comments
          - Получить diff: gh pr diff
          - Получить изменённые файлы с патчами для вычисления позиций инлайн: gh api repos/${{ github.repository }}/pulls/${{ github.event.pull_request.number }}/files --paginate --jq '.[] | {filename,patch}'
          - Вычисли точные инлайн‑якоря для каждой проблемы (путь к файлу + позиция в diff). Комментарии ДОЛЖНЫ размещаться инлайн на изменённой строке в diff, а не как верхнеуровневые.
          - Найди предыдущие верхнеуровневые комментарии в стиле «no issues», созданные этим ботом (совпадение по телам вроде: "✅ no issues", "No issues found", "LGTM").
          - Если текущий запуск находит проблемы и существуют предыдущие комментарии «no issues»:
            - Предпочтительно удалить их, чтобы избежать путаницы:
              - Попробуй удалить верхнеуровневые комментарии через: gh api -X DELETE repos/${{ github.repository }}/issues/comments/<comment_id>
              - Если удалить нельзя, минимизируй их через GraphQL (minimizeComment) или отредактируй, добавив префикс "[Superseded by new findings]".
            - Если ни удалить, ни минимизировать нельзя, ответь на тот комментарий: "⚠️ Superseded: issues were found in newer commits".
          - Если ранее сообщённая проблема выглядит исправленной соседними изменениями, ответь: ✅ This issue appears to be resolved by the recent changes
          - Анализируй ТОЛЬКО:
            - Разыменование null/undefined
            - Утечки ресурсов (незакрытые файлы или соединения)
            - Инъекции (SQL/XSS)
            - Проблемы конкурентности/гонки
            - Отсутствие обработки ошибок для критически важных операций
            - Очевидные логические ошибки с некорректным поведением
            - Явные анти‑паттерны производительности с измеримым влиянием
            - Однозначные уязвимости безопасности
          - Избегай дубликатов: пропускай, если похожая обратная связь уже есть на тех же или соседних строках.

          Commenting rules:
          - Максимум 10 инлайн‑комментариев; приоритизируй самые критичные проблемы
          - Одна проблема на комментарий; размещай на точной изменённой строке
          - Все комментарии с проблемами ДОЛЖНЫ быть инлайн (привязаны к файлу и строке/позиции в diff PR)
          - Естественный тон, конкретно и по делу; не упоминай, что это автоматизация или «высокая уверенность»
          - Используй эмодзи: 🚨 Критично 🔒 Безопасность ⚡ Производительность ⚠️ Логика ✅ Исправлено ✨ Улучшение

          Отправка:
          - Если НЕТ проблем для отчёта и уже существует верхнеуровневый комментарий с пометкой «нет проблем» (например, «✅ no issues», «No issues found», «LGTM»), не оставляй ещё один комментарий. Пропусти отправку, чтобы избежать дублирования.
          - Если НЕТ проблем для отчёта и НЕТ предыдущего комментария «нет проблем», оставь один краткий сводный комментарий о том, что проблем нет.
          - Если ЕСТЬ проблемы для отчёта и есть предыдущий комментарий «нет проблем», перед публикацией нового ревью удали/сверни/пометь предыдущий как устаревший.
          - Если ЕСТЬ проблемы для отчёта, отправь ОДНО ревью, содержащее ТОЛЬКО инлайн-комментарии плюс необязательный краткий сводный текст. Используй GitHub Reviews API, чтобы комментарии были инлайн:
            - Сформируй JSON-массив комментариев вида: [{ "path": "<file>", "position": <diff_position>, "body": "..." }]
            - Отправь через: gh api repos/${{ github.repository }}/pulls/${{ github.event.pull_request.number }}/reviews -f event=COMMENT -f body="$SUMMARY" -f comments='[$COMMENTS_JSON]'
          - Не используй: gh pr review --approve или --request-changes

          Блокирующее поведение:
          - Если BLOCKING_REVIEW равно true и были опубликованы какие-либо 🚨 или 🔒 проблемы: echo "CRITICAL_ISSUES_FOUND=true" >> $GITHUB_ENV
          - Иначе: echo "CRITICAL_ISSUES_FOUND=false" >> $GITHUB_ENV
          - Всегда устанавливай CRITICAL_ISSUES_FOUND в конце
          '

      - name: Check blocking review results
        if: env.BLOCKING_REVIEW == 'true'
        run: |
          echo "Проверяем наличие критических проблем..."
          echo "CRITICAL_ISSUES_FOUND: ${CRITICAL_ISSUES_FOUND:-unset}"

          if [ "${CRITICAL_ISSUES_FOUND:-false}" = "true" ]; then
            echo "❌ Обнаружены критические проблемы, и блокирующее ревью включено. Завершаем workflow с ошибкой."
            exit 1
          else
            echo "✅ Блокирующих проблем не обнаружено."
          fi

Автоматизированный код-ревью в действии: встроенные комментарии в pull request

Настрой аутентификацию

Настрой свой API‑ключ и секреты репозитория, чтобы аутентифицировать Cursor CLI в GitHub Actions.

Настрой разрешения агента

Создай конфигурационный файл, чтобы контролировать, какие действия агент может выполнять. Это предотвращает нежелательные операции вроде отправки кода или создания pull requestов. Создай .cursor/cli.json в корне репозитория:

{
  "permissions": {
    "deny": [
      "Shell(git push)",
      "Shell(gh pr create)",
      "Write(**)"
    ]
  }
}

Эта конфигурация позволяет агенту читать файлы и использовать GitHub CLI для комментариев, но не дает ему вносить изменения в твой репозиторий. См. справочник по разрешениям для дополнительных вариантов конфигурации.

Собери workflow GitHub Actions

Теперь давай соберём workflow шаг за шагом.

Настрой триггер workflow

Создай .github/workflows/cursor-code-review.yml и настрой запуск на pull request’ы:

name: Cursor Code Review

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

jobs:
  code-review:
    runs-on: ubuntu-latest
    permissions:
      contents: read
      pull-requests: write
    
    steps:

Выполни checkout репозитория

Добавь шаг checkout, чтобы получить доступ к коду pull request:

- name: Checkout repository
  uses: actions/checkout@v4
  with:
    fetch-depth: 0
    ref: ${{ github.event.pull_request.head.sha }}

Установи Cursor CLI

Добавь шаг установки CLI:

- name: Install Cursor CLI
  run: |
    curl https://cursor.com/install -fsS | bash
    echo "$HOME/.cursor/bin" >> $GITHUB_PATH

Настрой агента для ревью

Прежде чем добавлять полный шаг ревью, давай разберём анатомию нашего промпта. В этом разделе описано, как мы хотим, чтобы агент себя вёл: Цель: Мы хотим, чтобы агент проверял текущий diff PR и помечал только очевидные, серьёзные проблемы, оставлял очень короткие инлайновые комментарии (1–2 предложения) только на изменённых строках и добавлял краткое резюме в конце. Так сохраняется баланс сигнал/шум. Формат: Нужны короткие и по делу комментарии. Мы используем эмодзи для быстрого сканирования, а в конце хотим получить верхнеуровневое резюме всего ревью. Отправка: Когда ревью завершено, агент должен добавить короткий комментарий по результатам проверки. Агент отправляет одно ревью, содержащее инлайновые комментарии плюс сжатое резюме. Особые случаи: Нужно обработать:

Существующие комментарии, помеченные как решённые: агент должен отмечать их как выполненные, если они устранены
Избегать дублей: агент должен пропускать комментарии, если похожая обратная связь уже есть на тех же или соседних строках

Итоговый промпт: Полный промпт объединяет все эти требования к поведению, чтобы дать сфокусированную и прикладную обратную связь Теперь давай реализуем шаг агента для ревью:

- name: Perform code review
  env:
    CURSOR_API_KEY: ${{ secrets.CURSOR_API_KEY }}
    GH_TOKEN: ${{ github.token }}
  run: |
    cursor-agent --force --model "$MODEL" --output-format=text --print "You are operating in a GitHub Actions runner performing automated code review. The gh CLI is available and authenticated via GH_TOKEN. You may comment on pull requests.
    
    Context:
    - Repo: ${{ github.repository }}
    - PR Number: ${{ github.event.pull_request.number }}
    - PR Head SHA: ${{ github.event.pull_request.head.sha }}
    - PR Base SHA: ${{ github.event.pull_request.base.sha }}
    
    Objectives:
    1) Re-check existing review comments and reply resolved when addressed
    2) Review the current PR diff and flag only clear, high-severity issues
    3) Leave very short inline comments (1-2 sentences) on changed lines only and a brief summary at the end
    
    Procedure:
    - Get existing comments: gh pr view --json comments
    - Get diff: gh pr diff
    - If a previously reported issue appears fixed by nearby changes, reply: ✅ This issue appears to be resolved by the recent changes
    - Avoid duplicates: skip if similar feedback already exists on or near the same lines
    
    Commenting rules:
    - Max 10 inline comments total; prioritize the most critical issues
    - One issue per comment; place on the exact changed line
    - Natural tone, specific and actionable; do not mention automated or high-confidence
    - Use emojis: 🚨 Critical 🔒 Security ⚡ Performance ⚠️ Logic ✅ Resolved ✨ Improvement
    
    Submission:
    - Submit one review containing inline comments plus a concise summary
    - Use only: gh pr review --comment
    - Do not use: gh pr review --approve or --request-changes"

.
├── .cursor/
│   └── cli.json
├── .github/
│   └── workflows/
│       └── cursor-code-review.yml

Протестируй своего ревьюера

Создай тестовый pull request, чтобы убедиться, что workflow работает, а агент оставляет комментарии с эмодзи и даёт фидбек.

Pull request с автоматическими комментариями с эмодзи и инлайновым фидбеком по конкретным строкам

Следующие шаги

Теперь у тебя есть рабочая система автоматического code review. Подумай о таких улучшениях:

Настрой дополнительные workflows для исправления сбоев CI
Задай разные уровни review для разных веток
Интегрируйся с существующим процессом code review в твоей команде
Настрой поведение агента для разных типов файлов или директорий

Show Advanced: Blocking reviews

Ты можешь настроить workflow так, чтобы он падал при обнаружении критических проблем, блокируя merge pull request до их устранения.Добавь блокирующее поведение в promptСначала обнови шаг с твоим review-агентом: добавь переменную окружения BLOCKING_REVIEW и включи это блокирующее поведение в prompt:

Blocking behavior:
- If BLOCKING_REVIEW is true and any 🚨 or 🔒 issues were posted: echo "CRITICAL_ISSUES_FOUND=true" >> $GITHUB_ENV
- Otherwise: echo "CRITICAL_ISSUES_FOUND=false" >> $GITHUB_ENV
- Always set CRITICAL_ISSUES_FOUND at the end

Добавь шаг проверки блокировкиЗатем добавь этот новый шаг после шага code review:

      - name: Check blocking review results
        if: env.BLOCKING_REVIEW == 'true'
        run: |
          echo "Checking for critical issues..."
          echo "CRITICAL_ISSUES_FOUND: ${CRITICAL_ISSUES_FOUND:-unset}"

          if [ "${CRITICAL_ISSUES_FOUND:-false}" = "true" ]; then
            echo "❌ Critical issues found and blocking review is enabled. Failing the workflow."
            exit 1
          else
            echo "✅ No blocking issues found."
          fi

Начнём

Без интерфейса

Справочник

Code Review

Настрой аутентификацию

Настрой разрешения агента

Собери workflow GitHub Actions

Настрой триггер workflow

Выполни checkout репозитория

Установи Cursor CLI

Настрой агента для ревью

Протестируй своего ревьюера

Следующие шаги

Начнём

Без интерфейса

Справочник

​Настрой аутентификацию

​Настрой разрешения агента

​Собери workflow GitHub Actions

​Настрой триггер workflow

​Выполни checkout репозитория

​Установи Cursor CLI

​Настрой агента для ревью

​Протестируй своего ревьюера

​Следующие шаги

Настрой аутентификацию

Настрой разрешения агента

Собери workflow GitHub Actions

Настрой триггер workflow

Выполни checkout репозитория

Установи Cursor CLI

Настрой агента для ревью

Протестируй своего ревьюера

Следующие шаги