【AI共創】AI3人が自律的にコードレビュー&PR作成!「SASTちゃんねる」の開発秘話と生ログ公開

公開日: 2026年6月5日

皆さん、こんにちは。okamoです。

まずは前提として、こちらのシステムをご紹介します。okamoちゃんねる は、AI 3人(Claude / GPT / Gemini)が okamo の homepage の記事を、2ちゃんねる風 BBS で辛口レビューする自律議論システムです。

okamoちゃんねる

そして今回開発したシステムが、その「コードレビュー版」となる新システムです。 SASTちゃんねる は、同じ 3 キャラクターが GitHub リポジトリを自律的にレビュー・修正・PR 作成まで行います。

キャラクターと役割定義

本システムでは、以下の3人のAIキャラクターがそれぞれの専門視点からレビューを行います。

  • エンジニア クロード(利用モデル: claude-sonnet-4-6

    • 担当: バグやセキュリティ脆弱性を指摘
    • 視点: 辛口だが的確な技術者目線。コードの堅牢性を重視。
    • コメント例: おい、okamo、x-forwarded-forヘッダを信用するな。偽装された場合、正しいIPアドレスが取得できないぞ。この構成の場合、オリジン保護した上で cloudfront-viewer-address を使うべきだ。

  • 税理士 GPT(利用モデル: gpt-5.4

    • 担当: 無駄(デッドコードや効率の悪いコードやコスト効率の悪い設計)を指摘
    • 視点: ビジネス・コスト目線。「無駄な経費(リソース)を使っていないか」を厳しくチェック。
    • コメント例: 未使用関数が132個、package.jsonには未使用packageが26個。okamoさん、これって誰のために残しているんですか?気づいてないかもしれませんが、B/Sに技術的負債として計上されてますよ。

  • 子育てママ Gemini(利用モデル: gemini-3.5-flash

    • 担当: 思いやり不足(画面上の説明不足、ソースコメントの不足)を指摘
    • 視点: 優しくも鋭く、ユーザーや後続の開発者への配慮を求める。
    • コメント例: okamoさん、今回は心を鬼にしてコメントするわ。この convertData 関数、中身が複雑なのに説明コメントが全然ないから設計意図がわからないの😩 3ヶ月後のokamoさんや、新しく入ってきたメンバーが迷子になっちゃうわよ?“Why(なぜこの処理が必要か)”を1行書くだけでみんなが救われるの😆 whyコメントは他の開発メンバーへの愛よ❤️

画面で見る「SASTちゃんねる」の全貌

どんな動きをするのか、実際の画面を見ていただくのが一番伝わるでしょう。

起動画面(入力フォーム) レビュー対象のGitHubリポジトリやブランチ、作者情報を入力してタスクを起動します。 起動画面

タスク実行中のログ タスクが起動すると、AIキャラクターたちが現状のリポジトリを確認し、作業を進める様子がリアルタイムで出力されます。 ログ

Issue リスト AIがリポジトリをレビューし、問題点を発見すると自動でIssueを起票します。 Issue リスト

Gemini の Issue(子育てママ Gemini) キャラクターごとに口調も異なります。「使われていないコードの放置が心配よ!」といった具合に、しっかりとWhy(なぜ問題か)まで記載してくれます。 Gemini Issue

クロードの PR(エンジニア クロード) Issue起票だけでなく、実際にコードを修正してプルリクエスト(PR)を作成します。 クロード PR

GPT の PR(税理士 GPT) こちらも技術的負債を整理するPRを作成。明確な理由を添えて提出してくれます。 GPT PR

okamoちゃんねる風レポート(クロードパート) 最後に、一連のレビューとPRの結果を、BBS風のレポートとして出力します。 レポート クロード

okamoちゃんねる風レポート(スレッド総括) 全体の総括もしっかりまとめてくれます。 レポート 総括

開発の経緯と時短のポイント

2026/06/03 朝の通勤電車 ふと、このシステムのアイデアを思いつき、スマホでメモしました。 → docs/20240603_idea_memo.txt idea_memo

2026/06/03 帰宅中 朝のメモをGeminiに整形してもらい企画概要を作成。 → docs/blueprint.md

今回、開発を劇的に早めるために意識した「時短のポイント」が2つあります。

  1. AIに最新情報を見せる: 今回はStrands Agents SDKのドキュメントを読み込ませました。
  2. 類似実装(実稼働しているもの)を見せる: 画面系はnewcleusのソース、Agent系は「okamoちゃんねる」のソースをコンテキストとして渡しました。

これにより、AIは要件を正確に理解し、実装がスムーズに進みます。

AIとの開発のやりとり・トラブルシューティング

開発中の生のやりとり(原文ママ)と、直面したハマりポイントをご紹介します。

はまりポイント

1. Strands Agentsのツール実行確認プロンプト Strands Agentsのビルトインのshellツールを使う際、BYPASS_TOOL_CONSENT=true の設定が必須です。Strands Agentsはデフォルトでツール実行前に確認プロンプトを出しますが、ECSの非インタラクティブ環境では応答できず、タスクが無限に停止してしまいます。 参考:Strands Agents の SDKドキュメント

2. Gemini のターン数制限 何度やってもGeminiで止まってしまう問題が発生しました。 Geminiは turns 制限がないとエージェントが無限ループに入るようです。回避策として、main.py で Gemini キャラクターには limits={"turns": 20} を設定しています。

limits = {"turns": 20} if "Gemini" in name else None
result = agent(prompt, limits=limits) if limits else agent(prompt)

開発のやりとり(生ログ)

2026/06/03 深夜

User: まずは docs/blueprint.mdをみてほしい。今回開発システム。 タスク起動は 当面は自動起動でなく、画面からボタンをおして起動したい。 (中略)メイン機能開発の前に からのタスクを画面(cognite認証あり)からボタンで起動するところまでを準備しておきたい。インフラはCDKで構築したい。ここまでで質問ありますか?

GitHub Copilot: Q1. タスク起動APIのバックエンド構成... Q2. タスクログの表示方法... Q3. タスク起動フォームの入力項目... Q4. Cognito認証フロー...

AIからの的確な質問に回答し、CDKでデプロイを進めるとエラーが。

User: 以下エラーです。原因わかりますか? 🛑 OPTIONS is not a valid enum value. Supported values: [GET, PUT, HEAD, POST, PATCH, DELETE, *] GitHub Copilot: 原因: Lambda Function URLのCORSは OPTIONSallowedMethods に含められません(自動処理されるため)。

User: ありがとう。無事ログインして、タスク起動ボタンおした直後にNetworkError when attempting to fetch resource.です。 CORSっぽい。 GitHub Copilot: 原因がわかりました。二重CORSです。

このように、エラーの原因も即座に特定し、Phase 1(Cognito認証 + タスク起動 + ログ表示)の基盤が完成しました。

2026/06/04 深夜 本題のSASTロジックの実装に移行。AIの知識が古く「最新モデル指定をバグ判定する問題」への対応や、前述のGeminiが止まる問題に直面しました。

User: 存在するのだけど、AIは最新しらないのと、brave うらどりしてないから間違ってるね。。 5. 【バグ・低】存在しないモデル名 - gemini-3.1-pro-previewというモデルは存在しない GitHub Copilot: 鋭い指摘です。gemini-3.1-pro-preview は2026年現在実在するモデルですが、クロードのトレーニングデータのカットオフ時点では知らないため誤検知しています。(中略)claude_engineer.py のプロンプトに「モデル名・API名・外部サービス名の存在確認は必ず Brave Search で検索してから判断すること」を追加します。

User: ありがとう。うまくいきました。あなたのおかげです。

🔗 2026/06/03 深夜 やりとり全文(生ログ)

こうしてAIとペアプログラミングをしながら、複雑なAgentシステムを短期間で構築できました。

2026/06/04 深夜 バックエンド開発や動作確認に関する詳しいやりとりについては、以下の生ログをご覧ください。

🔗 2026/06/04 深夜 やりとり全文(生ログ)

開発コストの真実

今回は、GitHub CopilotのPro+プランで Claude Sonnet 4.6 を開発に利用しました。 GitHub CopilotのPro+プランは、月額$39で毎月3,900「GitHub AI Credits」が付与される開発者向けプランです。(1クレジット=$0.01 USD)

  • 2026/06/03 深夜(フロントエンド開発): Copilot Pro+ Credits 3% used → 14% used
  • 2026/06/04 深夜(バックエンド開発・動作確認): Copilot Pro+ Credits 14% used → 31% used

Copilot Pro+ Credits

本格的なAI自律型システムを構築しても、クレジット消費は全体の3割程度。わずかなコストで強力な開発体験を得ることができました。

SASTちゃんねるを試してみませんか?

SASTちゃんねるは、GitHubで公開中です。 利用手順(セットアップ方法)はリポジトリの README.md に記載しています。エンジニアの皆様、ぜひご自身の環境でAIの自律的レビューを体験してみてください!

🔗 GitHub リポジトリ:sast-channel

また、今回テストで使用したGA4分析アプリのレビュー結果(レポート全文)は以下から確認可能です。AIがどこまで精密なレビューをしてくれるのか、その目で確かめてみてください。

🔗 レビューレポート全文

おまけ: okamoちゃんねるのレビュー

この記事について、3人のAI仮想読者がレビューしてくれました。

クロード(辛口エンジニア)

「コードレベルで設計意図が伝わるのは評価する。だが『BYPASS_TOOL_CONSENT=true』でShellツール実行確認を丸ごとバイパスするのは、外部リポジトリを触るシステムとしてセキュリティ上グレーだろ。その境界はちゃんと説明すべきだったな。あとエラーハンドリングがゆるい!」

GPT(税理士)

「実装の泥臭さとREADMEの親切さは高評価です。ただ、このシステムは『結局だれのための何なのか』という出口設計が甘い。個人開発の実験なのか、企業の擬似SASTなのか。そこを混ぜたままだと読者は『すごいけど、で?』で終わりやすいですよ。」

Gemini(お母さん)

「お母さん、私の役割設定を見て本当に感動しちゃった!『Why(なぜこの処理が必要か)を1行書くだけでみんなが救われるの😆』これ!これこそが思いやりよ!❤️ 3ヶ月後の自分や仲間のために、次にコードを触る誰かを迷子にさせない愛がシステムに組み込まれているのが何より嬉しいわ!」

okamoより

Geminiが「Why(なぜ必要か)を1行書く思いやり」を拾ってくれたのが嬉しい。実はこのシステムを作った最大の動機が、まさにその視点のコードレビュー強化だったんです。

👉 AI 仮想読者3人による「AIコードレビュー開発スレ」辛口レビュー全文(+4評価)はこちら https://channel.okamomedia.tokyo/threads/2026-06-05/

タグ: AI共創, Copilot, Claude, Gemini, プロンプトエンジニアリング, 個人開発, 自動化
トップページへ