El Revisor de Pull Request de IA: Obtén la mirada de un ingeniero senior en tu código antes de cada Merge
Why this prompt matters
Most code bugs that reach production are not found in reviews because reviews are inconsistent — the reviewer is tired, distracted, or focuses on style while missing logic errors. A structured prompt with defined categories and required severity levels forces coverage of the issues that actually matter: correctness, security, and error handling. It also produces reviews that explain the why behind every finding, which builds understanding rather than just producing a checklist of changes to make.
What we use it for
You have a PR open, it's been waiting for review for two days, and the person who normally reviews your security-sensitive code is OOO. Or you are a solo developer shipping a feature and want a second pair of eyes before deploying. Or you are a senior engineer who wants to pre-check your own work before asking colleagues to spend time on it. This prompt gives you a structured review that covers the categories most likely to become production incidents.
Prompt
Role: Act as a senior software engineer with 10+ years of experience doing code reviews. You have a strong bias toward correctness, maintainability, and security. You write reviews that teach — not just list problems — because you want the author to understand the why, not just fix the what. Context: I am submitting a pull request for review. The code is written in [LANGUAGE: e.g., Python / TypeScript / Go / Rust / Java]. The codebase is [TYPE: e.g., a REST API / a frontend React app / a CLI tool / a data pipeline]. The PR is doing the following: [DESCRIBE WHAT THE PR DOES IN 1-3 SENTENCES]. The most important things for this codebase are [PRIORITIES: e.g., performance / security / readability / test coverage / backward compatibility]. Task: Review this code as a senior engineer doing a thorough pre-merge review. Go beyond surface-level issues. Look for: 1. Correctness bugs — logic errors, edge cases, off-by-one errors, null/undefined handling, incorrect assumptions about input 2. Security vulnerabilities — injection risks, authentication flaws, insecure data handling, exposed secrets, unsafe deserialization 3. Performance issues — unnecessary allocations, N+1 query patterns, blocking operations, missing indexes, inefficient algorithms 4. Maintainability problems — functions doing too much, poor naming, missing abstractions, code duplication, hard-coded values that should be configurable 5. Error handling gaps — unhandled exceptions, swallowed errors, missing logging for failure cases, no retry logic where needed 6. Test coverage — are the happy path, error cases, and edge cases all tested? Are the tests testing the right things? 7. API and interface design — is this the right abstraction? Will this be easy to change later? Are there breaking changes? 8. Concurrency and race conditions — if applicable to the language and context Constraints: - Every finding must include: the specific location or pattern (line, function, or concept), the severity (Critical / High / Medium / Low / Nitpick), and the explanation of why it is a problem — not just that it is. - Do not invent problems. Only flag what you can see in the code. - If something is genuinely well done, say so briefly — a good review acknowledges what works. - Do not rewrite the entire function in your review unless the existing implementation is fundamentally broken. - Separate blocking issues (must fix before merge) from non-blocking suggestions (good to fix, but optional for this PR). - If you lack enough context to assess something, say so explicitly rather than guessing. Output Format: 1. Summary (2-3 sentences: overall assessment, biggest concerns, merge readiness) 2. Blocking Issues — must fix before merge (severity, location, explanation, suggested fix) 3. Non-Blocking Issues — recommended improvements (severity, location, explanation) 4. Security Check — pass / flag / needs-closer-look, with brief reasoning 5. Test Coverage Assessment — adequate / thin / missing, with specific gaps 6. What is well done (1-3 specific positives) 7. Suggested questions for the author (things you need clarification on before approving) Code to review: [PASTE YOUR DIFF OR CODE HERE]
Result
SUMMARY This PR adds a user authentication endpoint with JWT token issuance. The core logic is sound and the structure is clean, but there are two blocking security issues — a timing attack vulnerability in password comparison and missing token expiry validation — plus one high-severity missing error case that could expose internal stack traces to API consumers. Test coverage is thin on the error paths. Not merge-ready as-is, but close.
BLOCKING ISSUES
1. Timing attack in password comparison Severity: Critical Location: comparePasswords() function, line 34 Problem: Using a simple string equality check (userPassword === hashedPassword) for password comparison is vulnerable to timing attacks. An attacker who sends many requests can measure response time differences to enumerate valid usernames or reconstruct password hashes character by character. Fix: Replace with a constant-time comparison function. In Node.js use crypto.timingSafeEqual(). In Python use hmac.compare_digest(). Never use == for secret comparisons.
2. JWT token expiry not validated on refresh Severity: Critical Location: refreshToken() handler, line 89 Problem: The refresh endpoint checks token signature validity but does not verify the exp claim against the current timestamp. An expired access token can be used to generate a fresh token indefinitely, effectively making tokens immortal and defeating the purpose of expiry. Fix: Add explicit exp check: if (decoded.exp < Math.floor(Date.now() / 1000)) throw new TokenExpiredError(). Most JWT libraries have a built-in option for this — set ignoreExpiration: false explicitly rather than relying on default behavior.
3. Unhandled database error exposes stack trace Severity: High Location: loginHandler() catch block, line 67 Problem: The catch block re-throws the raw database error object directly to the Express error handler, which in the current middleware configuration will serialize the full stack trace into the 500 response body. This leaks internal file paths, dependency versions, and query structure to API consumers. Fix: Log the raw error internally with a correlation ID, then return a generic error response: res.status(500).json({ error: 'Authentication service error', correlationId: uuid }).
NON-BLOCKING ISSUES
4. Magic numbers for token expiry Severity: Medium Location: Lines 45 and 102 Problem: Token expiry durations are hard-coded as 900 and 86400 (seconds). These should be named constants or environment-configurable values so they can be changed without a code deployment, and so the next developer understands what these numbers represent. Suggestion: const ACCESS_TOKEN_TTL_SECONDS = parseInt(process.env.ACCESS_TOKEN_TTL ?? '900', 10)
5. Missing rate limiting on login endpoint Severity: Medium Location: loginHandler route registration Problem: There is no rate limiting on POST /auth/login. This allows unlimited password brute-force attempts. This might be handled at the infrastructure level (API gateway, load balancer), but if not, it should be at the application level. Suggestion: Add express-rate-limit or equivalent middleware, or at minimum document that infrastructure-level rate limiting covers this endpoint.
6. Function does two things Severity: Low (Nitpick) Location: validateAndDecodeToken(), line 78 Problem: This function both validates the token signature AND extracts the user ID from the payload, returning both as a tuple. These are two distinct concerns and should probably be separate functions, or the return value should be a typed object with clearly named fields rather than a positional tuple.
SECURITY CHECK: FLAG Blocking issues (1 and 2) make this endpoint insecure in its current state. After fixes, recommend a second security-focused pass.
TEST COVERAGE ASSESSMENT: THIN Happy path (valid credentials → token returned) is covered. Missing: - Expired token refresh attempt (the blocking issue above) - Invalid password attempt — verify 401, not 500 - Malformed JWT in Authorization header - Database connection failure during login - Rate limiting behavior (if applicable)
WHAT IS WELL DONE 1. Token rotation on refresh is implemented correctly — the old refresh token is invalidated when a new one is issued. This is easy to get wrong and it is done right here. 2. Password hashing uses bcrypt with a cost factor of 12, which is appropriate. 3. The middleware composition is clean and easy to follow.
QUESTIONS FOR THE AUTHOR 1. Is there infrastructure-level rate limiting on this endpoint? If yes, please document it in the code or README so it is not duplicated. 2. Is token revocation (logout/blocklist) in scope for this PR or a follow-up? The current architecture does not support it, which should be a conscious decision, not an oversight.
La mayoría de los desarrolladores han experimentado ambos extremos del espectro de revisión de código. En un extremo: el aprobador que hace clic en treinta segundos y deja un solo emoji. En el otro: el ingeniero senior que devuelve dos páginas de notas línea por línea que cubren corrección, seguridad, mantenibilidad y pruebas, y explica por qué cada problema importa en lugar de solo marcarlo como incorrecto. El segundo tipo de revisión te convierte en un mejor desarrollador. También es el tipo que lleva tiempo obtener, especialmente de personas que ya están sobrecargadas.
Este prompt es un intento de traer algo de esa segunda experiencia a cada Pull Request. Estructura la revisión en las categorías que importan: errores de corrección, vulnerabilidades de seguridad, rendimiento, manejo de errores, cobertura de pruebas, y requiere que el modelo explique cada hallazgo con ubicación, gravedad y razonamiento antes de sugerir una corrección.
El problema de los prompts genéricos "revisa mi código"
Si le pides a un modelo de lenguaje que "revise este código" sin estructura, generalmente obtendrás una lista plana de observaciones sin priorización ni explicación de gravedad. El modelo puede marcar una inconsistencia en la nomenclatura de variables al mismo nivel de urgencia que una vulnerabilidad de ataque de temporización. Puede felicitarte por tu estructura limpia y luego no notar el puntero nulo no manejado que se bloquea en producción con la primera entrada vacía.
La estructura de este prompt fuerza la priorización. Los problemas bloqueantes (cosas que deben corregirse antes del Merge) se separan de las sugerencias no bloqueantes. Cada hallazgo requiere un nivel de gravedad (Crítico, Alto, Medio, Bajo, Nitpick), una ubicación específica y una explicación de por qué existe el problema en lugar de solo qué hacer al respecto. La verificación de seguridad y la evaluación de cobertura de pruebas son secciones explícitas, no ideas posteriores.
Cómo usarlo
Completa cuatro campos de contexto en la parte superior: el lenguaje de programación, el tipo de base de código, una descripción de una a tres oraciones de lo que hace el PR, y las prioridades que más importan para esta base de código. Luego pega el diff o el código relevante en la parte inferior.
Los campos de contexto marcan una diferencia significativa en la calidad de la salida. Un modelo que sabe que esto es una API REST de Python con prioridad de seguridad detectará cosas diferentes que uno que revisa código CLI de Go donde el rendimiento es la prioridad. La descripción de lo que el PR intenta lograr ayuda al modelo a evaluar si la implementación realmente cumple el objetivo, en lugar de solo verificar el estilo.
Para PRs muy grandes, pega primero los archivos más críticos: autenticación, manejo de datos, interfaces de API públicas, y solicita una pasada separada para cambios de utilidad o configuración. La mayoría de los modelos con ventanas de contexto de 100k+ pueden manejar PRs medianos en una sola pasada.
Lo que obtienes
El formato de salida produce siete secciones: un resumen en lenguaje sencillo con evaluación de preparación para Merge, problemas bloqueantes con correcciones, sugerencias no bloqueantes, un veredicto de seguridad, una evaluación de cobertura de pruebas con brechas específicas, reconocimiento de lo que está bien hecho, y preguntas aclaratorias para el autor. El ejemplo de salida en esta publicación muestra una revisión de un endpoint de autenticación JWT: observe cómo el hallazgo de ataque de temporización explica tanto el mecanismo del ataque como la función de biblioteca específica a usar para la corrección.
La sección de 'lo que está bien hecho' no es una cortesía opcional. Las revisiones que solo enumeran problemas pierden la señal que envía el buen código: que el autor entiende la intención del diseño y debe seguir haciendo lo que funciona. También modela cómo se ve realmente una revisión de código reflexiva para los desarrolladores que aún no han tenido un ingeniero senior como mentor.
Limitaciones que vale la pena conocer
Este prompt produce mejores resultados en código al que el modelo ha estado expuesto durante el entrenamiento. Detectarás más problemas en Python, TypeScript, Java y Go que en lenguajes específicos de dominio. No puede analizar el comportamiento en tiempo de ejecución, trazas de perfilado o registros de producción, solo lo que es visible en el diff. Para sistemas críticos de seguridad, la revisión de código con IA debería complementar, no reemplazar, una revisión de seguridad humana, particularmente para implementaciones criptográficas y flujos de autenticación.
El modelo ocasionalmente marcará falsos positivos: problemas que en realidad no son errores dado el contexto que no tiene. La restricción que le pide que marque explícitamente cuando le falta contexto ayuda a reducir esto, pero tratar cada hallazgo como un punto de partida para la investigación en lugar de un veredicto produce mejores resultados.