AI-Chain
開發者工具 AI 安全 開源

Bug Hunter:讓 AI 先互相吵一架,再把真的 bug 修掉

Bug Hunter 用 Hunter、Skeptic、Referee 三個角色做對抗式 code review,再搭配 safe canary auto-fix,把 AI 評審從看起來很對變成真的能抓到執行風險。

分享:
Bug Hunter:讓 AI 先互相吵一架,再把真的 bug 修掉

Bug Hunter:讓 AI 先互相吵一架,再把真的 bug 修掉

Bug Hunter 不是一般的 AI code review 工具,而是一套把「找 bug、反駁 bug、裁決 bug、修 bug」串在一起的對抗式流程。它用 Hunter、Skeptic、Referee 三個角色分工,先把可疑問題挑出來,再用反方意見打掉誤報,最後只留下真正值得修的風險。

如果你現在也在用 Claude Code、Cursor、Codex CLI 這類 AI coding agent,這個專案值得看。因為它解決的不是「AI 會不會看 code」這個問題,而是更實際的事情:AI 能不能幫你更可靠地找出上線後真的會出事的 bug

為什麼它值得注意

很多 AI review 工具看起來很強,但實際用起來常見兩個問題:

  1. 找到一堆看似合理、其實不重要的問題
  2. 沒有把安全、可執行性和修補流程串起來

Bug Hunter 的方向很直接:它不是要做一個「會聊天的 reviewer」,而是做一個能互相質疑、最後留下可驗證結論的 review pipeline

它把 AI 審查流程拆成幾層:

  • Triage:先快速分類哪些檔案值得深挖
  • Hunter:主動找邏輯錯誤、安全漏洞、競態條件
  • Skeptic:嘗試反駁每個發現,降低 false positives
  • Referee:獨立裁決,確認最後要不要列入報告
  • Fixer:對高信心問題做安全的 canary 修補

這種做法很像把 AI review 變成一個小型 code review 團隊,而不是單一模型拍腦袋。

它到底在找什麼

根據 README,Bug Hunter 主要針對的是執行時真的會出事的問題,而不是命名風格、排版或 TODO 清單。

安全類

  • SQL injection
  • XSS
  • command injection
  • path traversal
  • IDOR
  • auth bypass
  • SSRF

邏輯類

  • 比較式寫錯
  • off-by-one
  • 條件反轉
  • 不可達分支

併發類

  • race condition
  • TOCTOU
  • deadlock

錯誤處理類

  • swallowed exceptions
  • unhandled promise rejections

資料完整性

  • silent truncation
  • encoding corruption
  • resource leak

API 契約

  • type mismatch
  • callback signature 錯誤

這種聚焦很實用。因為真正麻煩的 bug,通常不是 lint 能抓到的那種,而是上線後才慢慢炸開的問題。

它最有意思的地方:讓 AI 互相反駁

我覺得 Bug Hunter 最有價值的地方,不是它會找 bug,而是它怎麼把 bug 變成一個可驗證的結論。

1. Hunter 先找問題

Hunter 負責做深度掃描,從程式碼邏輯、資料流、攻擊面去找風險。

2. Skeptic 再反駁

這一步很關鍵。很多 AI 工具的問題不是不會找,而是太容易把模糊猜測當成結論。Skeptic 的工作就是把這些結果逐一打回去。

3. Referee 最後裁決

Referee 重新讀一次,做獨立判斷。最後進報告的內容,必須經過這三層才算比較可靠。

這種流程會讓結果更少噪音,也更接近真實團隊裡的 review 機制。

它不只是找問題,還會安全修補

Bug Hunter 的 auto-fix 不是看到 bug 就直接亂改,而是用 safe canary rollout 的方式處理:

  1. 建 git branch
  2. 先抓測試 baseline
  3. 先判斷修補策略
  4. 只自動修高信心問題
  5. 每個修補獨立 commit
  6. 如果測試壞掉就 rollback
  7. 修完再重新掃描一次

這個設計很重要,因為很多人不是不想讓 AI 幫忙改 code,而是不敢讓它直接碰 production。

怎麼開始用

README 提供了幾種安裝方式:

方式一:透過 skills 安裝

npx skills add codexstar69/bug-hunter

方式二:透過 npm 安裝

npm install -g @codexstar/bug-hunter
bug-hunter install
bug-hunter doctor

方式三:直接 clone

git clone https://github.com/codexstar69/bug-hunter.git ~/.agents/skills/bug-hunter

常用指令

/bug-hunter                      # 掃描專案並自動修復確認過的 bug
/bug-hunter src/                 # 掃描指定目錄
/bug-hunter --scan-only src/     # 只報告,不改碼
/bug-hunter --pr                 # 檢查目前 PR
/bug-hunter --deps --threat-model # 依賴安全掃描 + 威脅模型

README 提到的環境需求

  • Node.js 18+
  • 支援 Claude Code、Cursor、Codex CLI、Windsurf、Kiro、Copilot、Opencode、Pi 等 agent
  • 支援 TypeScript、JavaScript、Python、Go、Rust、Java、Kotlin、Ruby、PHP

我怎麼看這個專案

Bug Hunter 的價值不是「又多了一個 AI review 工具」,而是它把 AI review 往更像真實工程團隊的方向推了一步。

它回答的問題不是:

AI 能不能看 code?

而是:

AI 能不能像一個真正的 review 團隊,先找問題、再互相質疑、最後留下值得修的東西?

這件事對開發團隊很重要。因為當你開始大量使用 AI coding agent,下一個瓶頸往往不是產碼能力,而是品質控制

如果你需要的是一層更嚴格、更安全、也更接近 production 現實的 AI review 機制,這個專案很值得關注。

結論

Bug Hunter 不是單純的 bug scanner,而是一個把找 bug、反駁 bug、裁決 bug、修 bug 整合起來的對抗式 AI code review 系統。

如果你已經在用 AI 工具寫程式,這類工具會很適合放在更前面一層,當作:

  • 安全檢查
  • 邏輯審查
  • PR review 輔助
  • 自動修補前的驗證器

它不一定最輕量,但方向非常清楚:

讓 AI 不只是會看 code,而是能更可靠地抓出那些真的會在上線後出事的問題。