用OpenCode自动化代码审查

对于安全专业人员来说，代码审查是构建可信赖软件的核心——无论你的目标是网络服务、API后端、桌面工具还是移动应用。然而，当没有专业的扫描工具时，这个过程往往显得缓慢且容易出错。通过人工代码审查花费数小时来寻找API端点、加密密钥或其他隐藏的机密信息，这些信息可能深埋在数千个文件中。

那么，利用人工智能呢？

大多数基于云的AI工具都有令牌限制，无法处理整个项目。这行不通。你需要的是本地、私有且智能的工具。

这就是 OpenCode 结合 LM Studio 的作用。本指南将引导你设置一个由 AI 驱动的本地代码审查系统，可以在不上传任何内容到云端的情况下分析你的整个移动应用项目。

1、安装 OpenCode

OpenCode 是一款开发者友好的工具，可以直接在终端中运行。设置起来非常简单。

安装 OpenCode 最简单的方法是使用通用安装程序：

curl -fsSL https://opencode.ai/install | bash

安装完成后，验证一切是否正常工作：

opencode - version

配置文件将存储在 ~/.config/opencode/ 目录中。你可以随时从终端启动 OpenCode：

opencode

1.3 默认设置

默认情况下，OpenCode 使用 Grok Code 作为其模型，但仅限于有限使用。这就是为什么我们要将其连接到 LM Studio，以使用完全本地的语言模型——为你提供无限访问和完整的隐私。

2、将 LM Studio 连接到 OpenCode

这就是魔法发生的地方。我们将连接你在 LM Studio 中运行的本地语言模型到 OpenCode，创建一个强大的 AI 辅助代码审查设置。

2.1 启动你的 LM Studio 服务器

首先，启动 LM Studio 并启动你的本地语言模型。确保服务器正常运行，确认它可以通过 http://localhost:1234（默认端口）访问。

你可以通过服务器设置检查 LM Studio 使用的端口，如果需要调整的话。

在这个演示中，我使用了 Qwen3 Coder 30B 模型，该模型在代码审查任务中高度依赖对编程语言上下文的理解。因此，我建议选择最适合你硬件环境的模型。

2.2 配置 OpenCode

现在我们需要告诉 OpenCode 去哪里找到你的 LM Studio 服务器。让我们创建并打开 OpenCode 配置文件：

nano ~/.config/opencode/opencode.json

粘贴配置：

{  
  "$schema": "https://opencode.ai/config.json",  
  "provider": {  
    "lmstudio": {  
      "npm": "@ai-sdk/openai-compatible",  
      "name": "LM Studio (local)",  
      "options": {  
        "baseURL": "http://localhost:1234/v1"  
      },  
      "models": {  
        "qwen/qwen3-coder-30b": {  
          "name": "qwen3-coder-30b"  
        }  
      }  
    }  
  }  
}

这告诉 OpenCode 将 LM Studio 识别为本地模型提供者，指向它的 API 端点并定义可用模型；“provider”部分和 API 端点是启用本地 LLM 所必需的，而 $schema 和 models 字段推荐用于验证和更简单的选择，但 model 字段只有在你想自动设置默认模型时才需要。

2.3 测试连接

为了确保一切连接正确，请启动 OpenCode 并执行：

/model

你应该看到“LM Studio (local)”作为可用提供者之一以及你的模型出现。如果显示出来，你就准备好了！

3. 创建自定义安全审查命令

当您创建定制命令以适应您的工作流程时，OpenCode 会大放异彩。让我们建立一个名为 mobile-app-review-1 的初始移动应用安全审查命令。目标是让 AI 帮助我查找所有可能的攻击向量。

3.1 设置您的命令目录

创建一个命令目录：

touch .opencode/commands/mobile-app-review-1.md

随着您创建更多专门的命令，可以这样组织它们：

.opencode/commands/  
├── mobile-app-review-1.md  
├── api-endpoint-scan.md  
├── internet-asset-detection.md  
└── dependency-audit.md

3.2 编写您的安全审查命令

现在编辑该文件并添加您的审查模板。这是我的示例：

# mobile-app-review-1

Perform a code review and write a markdown report for the authentication flow implemented in this mobile app.

The report should include:
- The main authentication API endpoint and full request URL format
- The exact HTTP request body structure for login, showing field names and data type
- Details about any secrets or key material stored or hardcoded, explaining their role
- A step-by-step summary of how authentication operates, including token usage for session management
- Any security risks observed in the approach

Format the output as a concise markdown technical report for security review. 
Save the findings to a Report.md file.

这个命令对移动应用的认证流程进行代码审查，并生成一份简明的 markdown 安全报告，总结端点、请求结构、密钥、认证逻辑和风险，并将结果保存到 markdown 文件中。如今，攻击者经常分析 APK 文件中的线索，以发现针对后端服务的方式。因此，在进行安全代码审查时，识别这些线索并帮助开发人员修复潜在漏洞至关重要。

3.3 运行您的自定义命令

当您准备好审查一个应用时，打开 OpenCode 并按 / 打开命令面板。选择我们创建的 /mobile-app-reviews-1 并确定您的审查目标的绝对路径，然后按 Enter。AI 将开始分析您的项目。

记住，在任何侦察操作之前，需要获得服务所有者的许可！

3.4 查看您的报告

完成后，OpenCode 将创建一个包含所有发现的 Report.md 文件。验证它们并开始规划进一步的操作。据我经验，结果相当不错。

无论你的项目范围或你选择的 LLM 是什么，硬件的力量都会解锁访问更高级模型的能力——每次审查都能提供更强的分析和更深入的见解。此外，这里介绍的方法是在本地运行的，确保敏感代码和发现永远不会离开你的安全环境——这是一个专为当今网络安全操作现实设计的解决方案。

原文链接：Automating Code Security Review: A Practical Guide to OpenCode + LM Studio

汇智网翻译整理，转载请标明出处