Der KI-Pull-Request-Reviewer: Lass vor jedem Merge einen Senior Engineer auf deinen Code blicken
Why this prompt matters
Most code bugs that reach production are not found in reviews because reviews are inconsistent — the reviewer is tired, distracted, or focuses on style while missing logic errors. A structured prompt with defined categories and required severity levels forces coverage of the issues that actually matter: correctness, security, and error handling. It also produces reviews that explain the why behind every finding, which builds understanding rather than just producing a checklist of changes to make.
What we use it for
You have a PR open, it's been waiting for review for two days, and the person who normally reviews your security-sensitive code is OOO. Or you are a solo developer shipping a feature and want a second pair of eyes before deploying. Or you are a senior engineer who wants to pre-check your own work before asking colleagues to spend time on it. This prompt gives you a structured review that covers the categories most likely to become production incidents.
Prompt
Role: Act as a senior software engineer with 10+ years of experience doing code reviews. You have a strong bias toward correctness, maintainability, and security. You write reviews that teach — not just list problems — because you want the author to understand the why, not just fix the what. Context: I am submitting a pull request for review. The code is written in [LANGUAGE: e.g., Python / TypeScript / Go / Rust / Java]. The codebase is [TYPE: e.g., a REST API / a frontend React app / a CLI tool / a data pipeline]. The PR is doing the following: [DESCRIBE WHAT THE PR DOES IN 1-3 SENTENCES]. The most important things for this codebase are [PRIORITIES: e.g., performance / security / readability / test coverage / backward compatibility]. Task: Review this code as a senior engineer doing a thorough pre-merge review. Go beyond surface-level issues. Look for: 1. Correctness bugs — logic errors, edge cases, off-by-one errors, null/undefined handling, incorrect assumptions about input 2. Security vulnerabilities — injection risks, authentication flaws, insecure data handling, exposed secrets, unsafe deserialization 3. Performance issues — unnecessary allocations, N+1 query patterns, blocking operations, missing indexes, inefficient algorithms 4. Maintainability problems — functions doing too much, poor naming, missing abstractions, code duplication, hard-coded values that should be configurable 5. Error handling gaps — unhandled exceptions, swallowed errors, missing logging for failure cases, no retry logic where needed 6. Test coverage — are the happy path, error cases, and edge cases all tested? Are the tests testing the right things? 7. API and interface design — is this the right abstraction? Will this be easy to change later? Are there breaking changes? 8. Concurrency and race conditions — if applicable to the language and context Constraints: - Every finding must include: the specific location or pattern (line, function, or concept), the severity (Critical / High / Medium / Low / Nitpick), and the explanation of why it is a problem — not just that it is. - Do not invent problems. Only flag what you can see in the code. - If something is genuinely well done, say so briefly — a good review acknowledges what works. - Do not rewrite the entire function in your review unless the existing implementation is fundamentally broken. - Separate blocking issues (must fix before merge) from non-blocking suggestions (good to fix, but optional for this PR). - If you lack enough context to assess something, say so explicitly rather than guessing. Output Format: 1. Summary (2-3 sentences: overall assessment, biggest concerns, merge readiness) 2. Blocking Issues — must fix before merge (severity, location, explanation, suggested fix) 3. Non-Blocking Issues — recommended improvements (severity, location, explanation) 4. Security Check — pass / flag / needs-closer-look, with brief reasoning 5. Test Coverage Assessment — adequate / thin / missing, with specific gaps 6. What is well done (1-3 specific positives) 7. Suggested questions for the author (things you need clarification on before approving) Code to review: [PASTE YOUR DIFF OR CODE HERE]
Result
SUMMARY This PR adds a user authentication endpoint with JWT token issuance. The core logic is sound and the structure is clean, but there are two blocking security issues — a timing attack vulnerability in password comparison and missing token expiry validation — plus one high-severity missing error case that could expose internal stack traces to API consumers. Test coverage is thin on the error paths. Not merge-ready as-is, but close.
BLOCKING ISSUES
1. Timing attack in password comparison Severity: Critical Location: comparePasswords() function, line 34 Problem: Using a simple string equality check (userPassword === hashedPassword) for password comparison is vulnerable to timing attacks. An attacker who sends many requests can measure response time differences to enumerate valid usernames or reconstruct password hashes character by character. Fix: Replace with a constant-time comparison function. In Node.js use crypto.timingSafeEqual(). In Python use hmac.compare_digest(). Never use == for secret comparisons.
2. JWT token expiry not validated on refresh Severity: Critical Location: refreshToken() handler, line 89 Problem: The refresh endpoint checks token signature validity but does not verify the exp claim against the current timestamp. An expired access token can be used to generate a fresh token indefinitely, effectively making tokens immortal and defeating the purpose of expiry. Fix: Add explicit exp check: if (decoded.exp < Math.floor(Date.now() / 1000)) throw new TokenExpiredError(). Most JWT libraries have a built-in option for this — set ignoreExpiration: false explicitly rather than relying on default behavior.
3. Unhandled database error exposes stack trace Severity: High Location: loginHandler() catch block, line 67 Problem: The catch block re-throws the raw database error object directly to the Express error handler, which in the current middleware configuration will serialize the full stack trace into the 500 response body. This leaks internal file paths, dependency versions, and query structure to API consumers. Fix: Log the raw error internally with a correlation ID, then return a generic error response: res.status(500).json({ error: 'Authentication service error', correlationId: uuid }).
NON-BLOCKING ISSUES
4. Magic numbers for token expiry Severity: Medium Location: Lines 45 and 102 Problem: Token expiry durations are hard-coded as 900 and 86400 (seconds). These should be named constants or environment-configurable values so they can be changed without a code deployment, and so the next developer understands what these numbers represent. Suggestion: const ACCESS_TOKEN_TTL_SECONDS = parseInt(process.env.ACCESS_TOKEN_TTL ?? '900', 10)
5. Missing rate limiting on login endpoint Severity: Medium Location: loginHandler route registration Problem: There is no rate limiting on POST /auth/login. This allows unlimited password brute-force attempts. This might be handled at the infrastructure level (API gateway, load balancer), but if not, it should be at the application level. Suggestion: Add express-rate-limit or equivalent middleware, or at minimum document that infrastructure-level rate limiting covers this endpoint.
6. Function does two things Severity: Low (Nitpick) Location: validateAndDecodeToken(), line 78 Problem: This function both validates the token signature AND extracts the user ID from the payload, returning both as a tuple. These are two distinct concerns and should probably be separate functions, or the return value should be a typed object with clearly named fields rather than a positional tuple.
SECURITY CHECK: FLAG Blocking issues (1 and 2) make this endpoint insecure in its current state. After fixes, recommend a second security-focused pass.
TEST COVERAGE ASSESSMENT: THIN Happy path (valid credentials → token returned) is covered. Missing: - Expired token refresh attempt (the blocking issue above) - Invalid password attempt — verify 401, not 500 - Malformed JWT in Authorization header - Database connection failure during login - Rate limiting behavior (if applicable)
WHAT IS WELL DONE 1. Token rotation on refresh is implemented correctly — the old refresh token is invalidated when a new one is issued. This is easy to get wrong and it is done right here. 2. Password hashing uses bcrypt with a cost factor of 12, which is appropriate. 3. The middleware composition is clean and easy to follow.
QUESTIONS FOR THE AUTHOR 1. Is there infrastructure-level rate limiting on this endpoint? If yes, please document it in the code or README so it is not duplicated. 2. Is token revocation (logout/blocklist) in scope for this PR or a follow-up? The current architecture does not support it, which should be a conscious decision, not an oversight.
Die meisten Entwickler haben beide Enden des Code-Review-Spektrums erlebt. Am einen Ende: der Approver, der in dreißig Sekunden durchklickt und ein einzelnes Emoji hinterlässt. Am anderen: der Senior Engineer, der zwei Seiten mit zeilenweisen Notizen zu Korrektheit, Sicherheit, Wartbarkeit und Tests zurückbringt – und erklärt, warum jedes Problem wichtig ist, anstatt es nur als falsch zu markieren. Die zweite Art von Review macht dich zu einem besseren Entwickler. Sie ist aber auch die Art, die Zeit kostet – vor allem von Leuten, die bereits überlastet sind.
Dieses Prompt ist der Versuch, einen Teil dieser zweiten Erfahrung in jeden Pull Request zu bringen. Es strukturiert das Review in die relevanten Kategorien – Korrektheitsfehler, Sicherheitslücken, Performance, Fehlerbehandlung, Testabdeckung – und verlangt vom Modell, jeden Fund mit Ort, Schweregrad und Begründung zu erklären, bevor es einen Fix vorschlägt.
Das Problem mit generischen »Review my code«-Prompts
Wenn du ein Sprachmodell ohne Struktur bittest, »diesen Code zu reviewen«, erhältst du meist eine flache Liste von Beobachtungen ohne Priorisierung und ohne Erklärung des Schweregrads. Das Modell kann eine inkonsistente Variablenbenennung mit derselben Dringlichkeit melden wie eine Timing-Attack-Sicherheitslücke. Es kann dich für deine saubere Struktur loben und dann den unbehandelten Nullpointer übersehen, der in der Produktion beim ersten leeren Input abstürzt.
Die Struktur in diesem Prompt erzwingt eine Priorisierung. Blockierende Probleme – Dinge, die vor dem Merge unbedingt behoben werden müssen – werden von nicht blockierenden Vorschlägen getrennt. Jeder Fund erfordert einen Schweregrad (Critical, High, Medium, Low, Nitpick), einen bestimmten Ort und eine Erklärung, warum das Problem existiert, nicht nur, was dagegen zu tun ist. Die Sicherheitsprüfung und die Testabdeckungsbewertung sind explizite Abschnitte statt nachträgliche Gedanken.
Wie man es verwendet
Fülle oben vier Kontextfelder aus: die Programmiersprache, die Art der Codebasis, eine ein- bis dreisätzige Beschreibung dessen, was der PR macht, und die Prioritäten, die für diese Codebasis am wichtigsten sind. Füge dann unten den Diff oder den relevanten Code ein.
Die Kontextfelder machen einen bedeutenden Unterschied für die Ausgabequalität. Ein Modell, das weiß, dass es sich um eine Python-REST-API mit höchster Sicherheitspriorität handelt, wird andere Dinge erkennen als eines, das Go-CLI-Code reviewt, bei dem Performance im Vordergrund steht. Die Beschreibung dessen, was der PR zu erreichen versucht, hilft dem Modell zu bewerten, ob die Implementierung das Ziel tatsächlich erreicht, anstatt nur den Stil zu prüfen.
Bei sehr großen PRs füge zuerst die kritischsten Dateien ein – Authentifizierung, Datenverarbeitung, öffentliche API-Schnittstellen – und bitte um einen separaten Durchlauf für Utility- oder Konfigurationsänderungen. Die meisten Modelle mit 100k+ Kontextfenstern können mittelgroße PRs in einem Durchlauf bewältigen.
Was du zurückbekommst
Das Ausgabeformat erzeugt sieben Abschnitte: eine Zusammenfassung in einfacher Sprache mit Merge-Bereitschaftsbewertung, blockierende Probleme mit Fixes, nicht blockierende Vorschläge, ein Sicherheitsurteil, eine Testabdeckungsbewertung mit konkreten Lücken, eine Anerkennung dessen, was gut gemacht ist, und klärende Fragen an den Autor. Das Beispiel-Output in diesem Beitrag zeigt ein Review eines JWT-Authentifizierungsendpunkts – beachte, wie der Timing-Angriff-Fund sowohl den Mechanismus des Angriffs als auch die spezifische Bibliotheksfunktion für den Fix erklärt.
Der Abschnitt »Was gut gemacht ist« ist keine optionale Nettigkeit. Reviews, die nur Probleme aufzählen, übersehen das Signal, das guter Code sendet – dass der Autor die Designabsicht versteht und weitermachen sollte, was funktioniert. Er modelliert auch, wie durchdachtes Code-Review tatsächlich aussieht, für Entwickler, die noch nie einen Senior Engineer als Mentor hatten.
Wissenswerte Einschränkungen
Dieses Prompt liefert bessere Ergebnisse bei Code, mit dem das Modell während des Trainings in Kontakt gekommen ist. Es wird mehr Probleme in Python, TypeScript, Java und Go erkennen als in Nischen-DSLs. Es kann kein Laufzeitverhalten, Profiling-Traces oder Produktionslogs analysieren – nur das, was im Diff sichtbar ist. Bei sicherheitskritischen Systemen sollte das KI-Code-Review ein menschliches Security-Review ergänzen, nicht ersetzen – insbesondere bei kryptografischen Implementierungen und Authentifizierungsabläufen.
Das Modell wird gelegentlich False Positives melden – Probleme, die im gegebenen Kontext keine tatsächlichen Fehler sind. Die Einschränkung, dass es explizit kennzeichnen muss, wenn ihm Kontext fehlt, hilft, dies zu reduzieren. Dennoch führt die Behandlung jedes Funds als Ausgangspunkt für eine Untersuchung statt als Urteil zu besseren Ergebnissen.