Claude Code の「レビュー系コマンド」4 種を使い分ける(前編)
2026/5/29
代表
Claude Code を使っていると、名前のよく似た「コードレビュー用コマンド」が複数目に入ってきます。
/code-review/review/security-review/code-review:code-review
最後のものは1つ目のものと同名で紛らわしい。この前編では、実際に手元の環境を調べて分かった 4 つの正体・中身・使い分けを整理します。「どれが組み込みで、どれがプラグインか」「それをどう見分けるか」はコマンドが「組み込み」か「プラグイン」かを見分ける(後編)で詳しく扱います。
注: 各コマンドの挙動はバージョンによって変わり得ます。本記事は Claude Code v2.1.156(ネイティブインストール版、確認日: 2026-05-29)時点の挙動に基づきます。
まず全体像 — 「組み込み 3 つ」+「プラグイン 1 つ」
似た名前のコマンドは、提供元が 2 種類に分かれていました。
ポイントは 2 つの軸です。
- 提供元: Claude Code 本体に最初から入っている「組み込み」か、後から入れる「プラグイン」か
- 対象: 手元のローカル差分か、GitHub 上の PR か
この 2 軸で見ると、名前の混乱は一気に解けます。以下、1 つずつ中身を見ていきます。
① code-review(組み込み)— 手元の差分を多段エージェントでレビュー
「これからコミット/PR する前の、ローカルの変更」をレビューするためのコマンドです。一番リッチで、実装も多段エージェント構成になっています。
- 対象は手元の差分:
git diff @{upstream}...HEAD(無ければmain...HEADやHEAD~1)。未コミットの作業ツリーも対象に含む。引数で PR 番号・ブランチ・パスを渡せばそちらを見る。 - effort(レビューの深さ)を選べる:
low/medium/high/max/ultralow/medium… 件数を絞った高確度の指摘high→max… 網羅性重視(不確実なものも含む)ultra… クラウド上でのマルチエージェント・ディープレビュー(/ultrareviewはこの ultra のエイリアス。Web 上の Claude Code で実行され、コストの見積もりが表示される)
- 「多角的な発見 → 検証」の二段構え: 「行ごとのスキャン」「削除された振る舞いの監査」「呼び出し側/呼び出し先の追跡」などの複数アングルで候補を洗い出し、各候補を別エージェントが CONFIRMED / PLAUSIBLE / REFUTED で検証してから出力する。
- 出力は構造化された指摘リスト(重要度順)。
- オプション:
--comment… 指摘を PR のインラインコメントとして投稿--fix… 指摘の修正を作業ツリーに適用
使いどころ: コミット前・PR を出す前の「自分の手元のブランチ」を、深さを調整しながら厳密にレビューしたいとき。
② review(組み込み)— PR を 1 発でざっと講評
code-review とは対照的に、シンプルな単段の PR レビューです。実体のプロンプトはおおむね次の内容でした(要約)。
あなたは熟練のコードレビュアーです。次の手順で進めてください:
1. 引数に PR 番号が無ければ `gh pr list` で開いている PR を表示
2. PR 番号があれば `gh pr view <number> --json title,body,author,...` で詳細取得
3. `gh pr diff <number>` で差分取得
4. 変更を分析し、以下を含む丁寧なレビューを提供:
- PR の概要 / コード品質とスタイル / 改善提案 / 潜在的な問題やリスク
重点: 正しさ / プロジェクト規約への準拠 / パフォーマンス / テストカバレッジ / セキュリティ
明確なセクションと箇条書きで出力すること。
- 対象は GitHub の PR(
ghCLI を使う)。番号なしなら一覧表示から選ぶ。 - 単段・定性的。
code-reviewのような effort 指定・検証パス・--fix・構造化出力は無い。 - 出力は人間向けの読みやすい講評(Markdown)。
使いどころ: GitHub 上の PR を、対話的にサッと総評してほしいとき。
③ security-review(組み込み)— セキュリティ専用・誤検知を徹底的に削る
名前のとおりセキュリティに特化したレビュー。プロンプトを読むと、かなり作り込まれた「誤検知抑制」の思想が見えます。
- 対象: 現在のブランチの変更(
git diff origin/HEAD...などで差分・コミット・ファイル一覧を取得)。「この PR で新たに加わったセキュリティ上の問題」だけに集中し、既存の懸念はコメントしない。 - 観点: 入力検証(SQLi / コマンドインジェクション / XXE / パストラバーサル等)、認証・認可、暗号と秘密情報、コード実行(危険なデシリアライズ・XSS 等)、データ露出。
- 3 ステップの手順:
- サブタスクで脆弱性を洗い出す
- 各脆弱性ごとに並列のサブタスクを立てて誤検知をフィルタ
- 確信度 8 未満(10 段階)を除外
- HARD EXCLUSIONS / PRECEDENTS が大量に定義されている。たとえば:
- DoS・リソース枯渇は報告しない
- React/Angular は
dangerouslySetInnerHTML等を使っていない限り XSS を報告しない - クライアント側 JS/TS の認可欠如は脆弱性ではない(サーバ側の責務)
- UUID は推測不能として扱ってよい / 環境変数・CLI フラグは信頼値 など
- 出力: ファイル・行・深刻度・カテゴリ・説明・攻撃シナリオ・修正案を含む Markdown レポート。最終応答はレポートのみ。
使いどころ: ブランチの変更に「実際に悪用可能な高確度の脆弱性」が無いかを、ノイズ少なめで確認したいとき。
④ code-review:code-review(プラグイン)— PR に自動でコメントを投稿する運用向け
公式マーケットプレイス(claude-plugins-official)のプラグインが提供するコマンドです。名前は組み込み code-review とそっくりですが、**狙いは「PR への自動コメント投稿」**で、無人運用を強く意識した作りになっています(モデルからの自動起動を許可する設定)。
ワークフローは次のとおり。
- 対象判定(Haiku): クローズ済み / ドラフト / 自動 PR / 自明に OK / 既にレビュー済み ならスキップ
- 関連する CLAUDE.md のパスを収集
- PR を閲覧し変更サマリを取得(Haiku)
- Sonnet エージェント 5 体を並列で起動して独立レビュー
- ① CLAUDE.md 準拠 / ② 変更点の浅いバグスキャン / ③ git blame・履歴 / ④ 過去 PR のコメント / ⑤ コード内コメントとの整合
- 各指摘を 0〜100 で確信度スコアリング(Haiku。CLAUDE.md 由来の指摘は該当記述を再確認)
- 80 未満を除外
- 対象判定を再実行
gh pr commentで PR に結果を投稿(簡潔・絵文字なし・該当コード/URL を引用)
誤検知の例(除外対象)として「既存の問題」「リンタ/型チェッカ/CI が拾う類」「一般的なコード品質」なども明記されています。
使いどころ: PR に対して「スコアで足切りしたうえでコメントを自動投稿」したい、CI やフック的な運用に組み込みたいとき。逆に、自分で対話的に PR を講評したいだけなら組み込み review で足ります。
比較表
使い分けの目安
- コミット前に手元の変更を厳密に見たい →
code-review(必要に応じ--fix/ultra) - GitHub の PR を対話的にサッと講評してほしい →
review - セキュリティ脆弱性だけを高確度で洗い出したい →
security-review - PR にスコア付きの指摘を自動コメントしたい(無人運用) →
code-review:code-review(プラグイン)
組み込みの review がある今、対話レビューしかしないならプラグイン版は外しても困りません。一方で「PR への自動コメント投稿+確信度での足切り」というワークフローを使うなら、プラグイン版は依然として独自の価値があります。
まとめ(前編)
- 似た名前でも、
code-review/review/security-reviewは Claude Code 本体の組み込み、code-review:code-reviewだけが プラグイン。 - 見分けの軸は 「ローカル差分か GitHub PR か(対象)」 と 「汎用かセキュリティ特化か」、そして 「対話表示か自動コメント投稿か」。
- 組み込み
code-reviewは effort 調整・--fix・ultra(クラウド多段)まで備えた最もリッチな選択肢。
後編では、ここで「組み込み」「プラグイン」と分類した根拠 ——あるコマンドが組み込みかプラグインかを実際にどう調べるか、提供元やプラグインの管理方法まで——を扱います。