O Revisor de Pull Request com IA: Tenha um Engenheiro Sênior Examinando Seu Código Antes de Cada Merge
Why this prompt matters
Most code bugs that reach production are not found in reviews because reviews are inconsistent — the reviewer is tired, distracted, or focuses on style while missing logic errors. A structured prompt with defined categories and required severity levels forces coverage of the issues that actually matter: correctness, security, and error handling. It also produces reviews that explain the why behind every finding, which builds understanding rather than just producing a checklist of changes to make.
What we use it for
You have a PR open, it's been waiting for review for two days, and the person who normally reviews your security-sensitive code is OOO. Or you are a solo developer shipping a feature and want a second pair of eyes before deploying. Or you are a senior engineer who wants to pre-check your own work before asking colleagues to spend time on it. This prompt gives you a structured review that covers the categories most likely to become production incidents.
Prompt
Role: Act as a senior software engineer with 10+ years of experience doing code reviews. You have a strong bias toward correctness, maintainability, and security. You write reviews that teach — not just list problems — because you want the author to understand the why, not just fix the what. Context: I am submitting a pull request for review. The code is written in [LANGUAGE: e.g., Python / TypeScript / Go / Rust / Java]. The codebase is [TYPE: e.g., a REST API / a frontend React app / a CLI tool / a data pipeline]. The PR is doing the following: [DESCRIBE WHAT THE PR DOES IN 1-3 SENTENCES]. The most important things for this codebase are [PRIORITIES: e.g., performance / security / readability / test coverage / backward compatibility]. Task: Review this code as a senior engineer doing a thorough pre-merge review. Go beyond surface-level issues. Look for: 1. Correctness bugs — logic errors, edge cases, off-by-one errors, null/undefined handling, incorrect assumptions about input 2. Security vulnerabilities — injection risks, authentication flaws, insecure data handling, exposed secrets, unsafe deserialization 3. Performance issues — unnecessary allocations, N+1 query patterns, blocking operations, missing indexes, inefficient algorithms 4. Maintainability problems — functions doing too much, poor naming, missing abstractions, code duplication, hard-coded values that should be configurable 5. Error handling gaps — unhandled exceptions, swallowed errors, missing logging for failure cases, no retry logic where needed 6. Test coverage — are the happy path, error cases, and edge cases all tested? Are the tests testing the right things? 7. API and interface design — is this the right abstraction? Will this be easy to change later? Are there breaking changes? 8. Concurrency and race conditions — if applicable to the language and context Constraints: - Every finding must include: the specific location or pattern (line, function, or concept), the severity (Critical / High / Medium / Low / Nitpick), and the explanation of why it is a problem — not just that it is. - Do not invent problems. Only flag what you can see in the code. - If something is genuinely well done, say so briefly — a good review acknowledges what works. - Do not rewrite the entire function in your review unless the existing implementation is fundamentally broken. - Separate blocking issues (must fix before merge) from non-blocking suggestions (good to fix, but optional for this PR). - If you lack enough context to assess something, say so explicitly rather than guessing. Output Format: 1. Summary (2-3 sentences: overall assessment, biggest concerns, merge readiness) 2. Blocking Issues — must fix before merge (severity, location, explanation, suggested fix) 3. Non-Blocking Issues — recommended improvements (severity, location, explanation) 4. Security Check — pass / flag / needs-closer-look, with brief reasoning 5. Test Coverage Assessment — adequate / thin / missing, with specific gaps 6. What is well done (1-3 specific positives) 7. Suggested questions for the author (things you need clarification on before approving) Code to review: [PASTE YOUR DIFF OR CODE HERE]
Result
SUMMARY This PR adds a user authentication endpoint with JWT token issuance. The core logic is sound and the structure is clean, but there are two blocking security issues — a timing attack vulnerability in password comparison and missing token expiry validation — plus one high-severity missing error case that could expose internal stack traces to API consumers. Test coverage is thin on the error paths. Not merge-ready as-is, but close.
BLOCKING ISSUES
1. Timing attack in password comparison Severity: Critical Location: comparePasswords() function, line 34 Problem: Using a simple string equality check (userPassword === hashedPassword) for password comparison is vulnerable to timing attacks. An attacker who sends many requests can measure response time differences to enumerate valid usernames or reconstruct password hashes character by character. Fix: Replace with a constant-time comparison function. In Node.js use crypto.timingSafeEqual(). In Python use hmac.compare_digest(). Never use == for secret comparisons.
2. JWT token expiry not validated on refresh Severity: Critical Location: refreshToken() handler, line 89 Problem: The refresh endpoint checks token signature validity but does not verify the exp claim against the current timestamp. An expired access token can be used to generate a fresh token indefinitely, effectively making tokens immortal and defeating the purpose of expiry. Fix: Add explicit exp check: if (decoded.exp < Math.floor(Date.now() / 1000)) throw new TokenExpiredError(). Most JWT libraries have a built-in option for this — set ignoreExpiration: false explicitly rather than relying on default behavior.
3. Unhandled database error exposes stack trace Severity: High Location: loginHandler() catch block, line 67 Problem: The catch block re-throws the raw database error object directly to the Express error handler, which in the current middleware configuration will serialize the full stack trace into the 500 response body. This leaks internal file paths, dependency versions, and query structure to API consumers. Fix: Log the raw error internally with a correlation ID, then return a generic error response: res.status(500).json({ error: 'Authentication service error', correlationId: uuid }).
NON-BLOCKING ISSUES
4. Magic numbers for token expiry Severity: Medium Location: Lines 45 and 102 Problem: Token expiry durations are hard-coded as 900 and 86400 (seconds). These should be named constants or environment-configurable values so they can be changed without a code deployment, and so the next developer understands what these numbers represent. Suggestion: const ACCESS_TOKEN_TTL_SECONDS = parseInt(process.env.ACCESS_TOKEN_TTL ?? '900', 10)
5. Missing rate limiting on login endpoint Severity: Medium Location: loginHandler route registration Problem: There is no rate limiting on POST /auth/login. This allows unlimited password brute-force attempts. This might be handled at the infrastructure level (API gateway, load balancer), but if not, it should be at the application level. Suggestion: Add express-rate-limit or equivalent middleware, or at minimum document that infrastructure-level rate limiting covers this endpoint.
6. Function does two things Severity: Low (Nitpick) Location: validateAndDecodeToken(), line 78 Problem: This function both validates the token signature AND extracts the user ID from the payload, returning both as a tuple. These are two distinct concerns and should probably be separate functions, or the return value should be a typed object with clearly named fields rather than a positional tuple.
SECURITY CHECK: FLAG Blocking issues (1 and 2) make this endpoint insecure in its current state. After fixes, recommend a second security-focused pass.
TEST COVERAGE ASSESSMENT: THIN Happy path (valid credentials → token returned) is covered. Missing: - Expired token refresh attempt (the blocking issue above) - Invalid password attempt — verify 401, not 500 - Malformed JWT in Authorization header - Database connection failure during login - Rate limiting behavior (if applicable)
WHAT IS WELL DONE 1. Token rotation on refresh is implemented correctly — the old refresh token is invalidated when a new one is issued. This is easy to get wrong and it is done right here. 2. Password hashing uses bcrypt with a cost factor of 12, which is appropriate. 3. The middleware composition is clean and easy to follow.
QUESTIONS FOR THE AUTHOR 1. Is there infrastructure-level rate limiting on this endpoint? If yes, please document it in the code or README so it is not duplicated. 2. Is token revocation (logout/blocklist) in scope for this PR or a follow-up? The current architecture does not support it, which should be a conscious decision, not an oversight.
A maioria dos desenvolvedores já experimentou ambos os extremos do espectro de code review. De um lado: o aprovador que clica em trinta segundos e deixa um único emoji. Do outro: o engenheiro sênior que retorna com duas páginas de anotações linha por linha cobrindo corretude, segurança, manutenibilidade e testes — e explica por que cada questão é importante em vez de apenas marcar como errada. O segundo tipo de revisão faz de você um desenvolvedor melhor. Também é o tipo que leva tempo para conseguir, especialmente de pessoas que já estão sobrecarregadas.
Este prompt é uma tentativa de trazer um pouco dessa segunda experiência para cada pull request. Ele estrutura a revisão nas categorias que importam — bugs de corretude, vulnerabilidades de segurança, desempenho, tratamento de erros, cobertura de testes — e exige que o modelo explique cada achado com localização, gravidade e raciocínio antes de sugerir uma correção.
O problema com prompts genéricos de "revise meu código"
Peça a um modelo de linguagem para "revisar este código" sem estrutura e você geralmente obterá uma lista plana de observações sem priorização e sem explicação de gravidade. O modelo pode sinalizar uma inconsistência na nomenclatura de variáveis no mesmo nível de urgência que uma vulnerabilidade de ataque de timing. Pode parabenizá-lo pela estrutura limpa e depois não perceber o ponteiro nulo não tratado que quebra em produção na primeira entrada vazia.
A estrutura neste prompt força a priorização. Questões bloqueantes — coisas que devem ser corrigidas antes do merge — são separadas de sugestões não bloqueantes. Cada achado requer um nível de gravidade (Crítico, Alto, Médio, Baixo, Nitpick), uma localização específica e uma explicação de por que o problema existe, em vez de apenas o que fazer a respeito. A verificação de segurança e a avaliação de cobertura de testes são seções explícitas em vez de pensamentos posteriores.
Como usar
Preencha quatro campos de contexto no topo: a linguagem de programação, o tipo de base de código, uma descrição de uma a três frases do que o PR faz e as prioridades que mais importam para esta base de código. Em seguida, cole o diff ou o código relevante na parte inferior.
Os campos de contexto fazem uma diferença significativa na qualidade da saída. Um modelo que sabe que isso é uma REST API em Python com prioridade de segurança primeiro pegará coisas diferentes do que um revisando código Go CLI onde desempenho é a prioridade. A descrição do que o PR está tentando realizar ajuda o modelo a avaliar se a implementação realmente atinge o objetivo, em vez de apenas verificar estilo.
Para PRs muito grandes, cole primeiro os arquivos mais críticos — autenticação, manipulação de dados, interfaces de API pública — e peça uma passagem separada para alterações de utilidade ou configuração. A maioria dos modelos com janelas de contexto de 100k+ pode lidar com PRs de tamanho médio em uma única passagem.
O que você recebe
O formato de saída produz sete seções: um resumo em linguagem simples com avaliação de prontidão para merge, questões bloqueantes com correções, sugestões não bloqueantes, um veredito de segurança, uma avaliação de cobertura de testes com lacunas específicas, reconhecimento do que está bem feito e perguntas esclarecedoras para o autor. O exemplo de saída neste post mostra uma revisão de um endpoint de autenticação JWT — observe como o achado de ataque de timing explica tanto o mecanismo do ataque quanto a função de biblioteca específica a ser usada para a correção.
A seção "o que está bem feito" não é um detalhe opcional. Revisões que apenas enumeram problemas perdem o sinal que um bom código envia — que o autor entende a intenção do design e deve continuar fazendo o que funciona. Também modela como uma revisão de código criteriosa realmente se parece para desenvolvedores que ainda não tiveram um engenheiro sênior como mentor.
Limitações que vale a pena conhecer
Este prompt produz melhores resultados em código ao qual o modelo teve exposição durante o treinamento. Ele pegará mais problemas em Python, TypeScript, Java e Go do que em linguagens específicas de nicho. Não é capaz de analisar comportamento em tempo de execução, traces de profiling ou logs de produção — apenas o que é visível no diff. Para sistemas críticos de segurança, a revisão de código por IA deve complementar, e não substituir, uma revisão de segurança humana, particularmente para implementações criptográficas e fluxos de autenticação.
O modelo ocasionalmente sinalizará falsos positivos — problemas que não são realmente bugs dado o contexto que ele não possui. A restrição pedindo que ele sinalize explicitamente quando falta contexto ajuda a reduzir isso, mas tratar cada achado como um ponto de partida para investigação, em vez de um veredito, produz melhores resultados.