Cursor – Revisión de código

Este tutorial te muestra cómo configurar la revisión de código usando Cursor CLI en GitHub Actions. El flujo de trabajo analizará los pull requests, identificará problemas y publicará comentarios como respuestas.

Para la mayoría de usuarios, te recomendamos usar Bugbot. Bugbot ofrece una revisión de código automatizada y gestionada sin necesidad de configuración. Este enfoque con la CLI es útil para explorar capacidades y para personalizaciones avanzadas.

Show full workflow file

cursor-code-review.yml

name: Revisión de código

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

permissions:
  pull-requests: write
  contents: read
  issues: write

jobs:
  code-review:
    runs-on: ubuntu-latest
    # Omitir la revisión de código automatizada para PR en borrador
    if: github.event.pull_request.draft == false
    steps:
      - name: Checkout del repositorio
        uses: actions/checkout@v4
        with:
          fetch-depth: 0
          ref: ${{ github.event.pull_request.head.sha }}

      - name: Instalar Cursor CLI
        run: |
          curl https://cursor.com/install -fsS | bash
          echo "$HOME/.cursor/bin" >> $GITHUB_PATH

      - name: Configurar identidad de git
        run: |
          git config user.name "Cursor Agent"
          git config user.email "cursoragent@cursor.com"

      - name: Realizar revisión de código automatizada
        env:
          CURSOR_API_KEY: ${{ secrets.CURSOR_API_KEY }}
          MODEL: gpt-5
          GH_TOKEN: ${{ secrets.GITHUB_TOKEN }}
          BLOCKING_REVIEW: ${{ vars.BLOCKING_REVIEW || 'false' }}
        run: |
          cursor-agent --force --model "$MODEL" --output-format=text --print 'Estás operando en un runner de GitHub Actions realizando una revisión de código automatizada. La CLI de gh está disponible y autenticada mediante GH_TOKEN. Podés comentar en pull requests.

          Contexto:
          - Repo: ${{ github.repository }}
          - Número de PR: ${{ github.event.pull_request.number }}
          - SHA del head del PR: ${{ github.event.pull_request.head.sha }}
          - SHA base del PR: ${{ github.event.pull_request.base.sha }}
          - Revisión bloqueante: ${{ env.BLOCKING_REVIEW }}

          Objetivos:
          1) Volver a revisar los comentarios existentes y responder “resuelto” cuando estén atendidos.
          2) Revisar el diff actual del PR y señalar solo problemas claros y de alta gravedad.
          3) Dejar comentarios en línea muy cortos (1–2 oraciones) solo en líneas cambiadas y un breve resumen al final.

          Procedimiento:
          - Obtener comentarios existentes: gh pr view --json comments
          - Obtener diff: gh pr diff
          - Obtener archivos cambiados con patches para calcular posiciones en línea: gh api repos/${{ github.repository }}/pulls/${{ github.event.pull_request.number }}/files --paginate --jq '.[] | {filename,patch}'
          - Calcular anclajes en línea exactos para cada problema (ruta de archivo + posición en el diff). Los comentarios DEBEN colocarse en línea sobre la línea modificada del diff, no como comentarios de nivel superior.
          - Detectar comentarios previos de nivel superior de estilo “sin problemas” hechos por este bot (coincidir cuerpos como: "✅ no issues", "No issues found", "LGTM").
          - Si la ejecución ACTUAL encuentra problemas y existen comentarios previos de “sin problemas”:
            - Preferir eliminarlos para evitar confusiones:
              - Intentá eliminar comentarios de nivel superior vía: gh api -X DELETE repos/${{ github.repository }}/issues/comments/<comment_id>
              - Si no es posible eliminar, minimizalos vía GraphQL (minimizeComment) o editálos para anteponer "[Reemplazado por nuevos hallazgos]".
            - Si no es posible eliminar ni minimizar, respondé a ese comentario: "⚠️ Reemplazado: se encontraron problemas en commits más recientes".
          - Si un problema reportado previamente parece resuelto por cambios cercanos, respondé: ✅ Este problema parece estar resuelto por los cambios recientes
          - Analizar SOLO:
            - Desreferencias de null/undefined
            - Fugas de recursos (archivos o conexiones sin cerrar)
            - Inyección (SQL/XSS)
            - Concurrencia/condiciones de carrera
            - Falta de manejo de errores en operaciones críticas
            - Errores lógicos obvios con comportamiento incorrecto
            - Antipatrones de rendimiento claros con impacto medible
            - Vulnerabilidades de seguridad definitivas
          - Evitar duplicados: omití si ya existe feedback similar en o cerca de las mismas líneas.

          Reglas para comentar:
          - Máximo 10 comentarios en línea en total; priorizá los problemas más críticos
          - Un problema por comentario; colocalo en la línea exacta modificada
          - Todos los comentarios de problemas DEBEN ser en línea (anclados a un archivo y línea/posición en el diff del PR)
          - Tono natural, específico y accionable; no menciones que es automatizado ni el nivel de confianza
          - Usá emojis: 🚨 Crítico 🔒 Seguridad ⚡ Rendimiento ⚠️ Lógica ✅ Resuelto ✨ Mejora

          Submission:
          - Si NO hay problemas que reportar y ya existe un comentario de nivel superior indicando "sin problemas" (p. ej., "✅ no issues", "No issues found", "LGTM"), NO envíes otro comentario. Omite el envío para evitar redundancias.
          - Si NO hay problemas que reportar y NO existe un comentario previo de "sin problemas", envía un breve comentario de resumen indicando que no hay problemas.
          - Si HAY problemas que reportar y existe un comentario previo de "sin problemas", asegúrate de que ese comentario previo se elimine/se minimice/se marque como reemplazado antes de enviar la nueva revisión.
          - Si HAY problemas que reportar, envía UNA revisión que contenga SOLO comentarios en línea más un cuerpo de resumen conciso opcional. Usa la API de Reviews de GitHub para asegurarte de que los comentarios sean en línea:
            - Construye un arreglo JSON de comentarios como: [{ "path": "<file>", "position": <diff_position>, "body": "..." }]
            - Envía vía: gh api repos/${{ github.repository }}/pulls/${{ github.event.pull_request.number }}/reviews -f event=COMMENT -f body="$SUMMARY" -f comments='[$COMMENTS_JSON]'
          - NO uses: gh pr review --approve o --request-changes

          Blocking behavior:
          - Si BLOCKING_REVIEW es true y se publicaron problemas 🚨 o 🔒: echo "CRITICAL_ISSUES_FOUND=true" >> $GITHUB_ENV
          - De lo contrario: echo "CRITICAL_ISSUES_FOUND=false" >> $GITHUB_ENV
          - Siempre establece CRITICAL_ISSUES_FOUND al final
          '

      - name: Check blocking review results
        if: env.BLOCKING_REVIEW == 'true'
        run: |
          echo "Checking for critical issues..."
          echo "CRITICAL_ISSUES_FOUND: ${CRITICAL_ISSUES_FOUND:-unset}"

          if [ "${CRITICAL_ISSUES_FOUND:-false}" = "true" ]; then
            echo "❌ Se encontraron problemas críticos y la revisión con bloqueo está habilitada. Fallando el workflow."
            exit 1
          else
            echo "✅ No se encontraron problemas bloqueantes."
          fi

Revisión de código automatizada en acción con comentarios en línea en un pull request

Configura la autenticación

Configura tu clave de API y los secretos del repositorio para autenticar la CLI de Cursor en GitHub Actions.

Configura los permisos del agente

Crea un archivo de configuración para controlar qué acciones puede realizar el agente. Esto evita operaciones no deseadas como hacer push de código o crear pull requests. Crea .cursor/cli.json en la raíz de tu repositorio:

{
  "permissions": {
    "deny": [
      "Shell(git push)",
      "Shell(gh pr create)",
      "Write(**)"
    ]
  }
}

Esta configuración permite que el agente lea archivos y use la CLI de GitHub para dejar comentarios, pero evita que haga cambios en tu repositorio. Consulta la referencia de permisos para más opciones de configuración.

Crea el workflow de GitHub Actions

Ahora vamos a armar el workflow paso a paso.

Configura el trigger del workflow

Crea .github/workflows/cursor-code-review.yml y configúralo para ejecutarse en pull requests:

name: Cursor Code Review

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

jobs:
  code-review:
    runs-on: ubuntu-latest
    permissions:
      contents: read
      pull-requests: write
    
    steps:

Haz checkout del repositorio

Agrega el paso de checkout para acceder al código del pull request:

- name: Checkout repository
  uses: actions/checkout@v4
  with:
    fetch-depth: 0
    ref: ${{ github.event.pull_request.head.sha }}

Instala la CLI de Cursor

Agrega el paso de instalación de la CLI:

- name: Install Cursor CLI
  run: |
    curl https://cursor.com/install -fsS | bash
    echo "$HOME/.cursor/bin" >> $GITHUB_PATH

Configura el agente de revisión

Antes de implementar el paso de revisión completo, entendamos la anatomía de nuestro prompt de revisión. Esta sección describe cómo queremos que se comporte el agente: Objetivo: Queremos que el agente revise el diff actual del PR y señale solo problemas claros y de alta criticidad, luego deje comentarios en línea muy cortos (1-2 frases) únicamente en líneas modificadas, con un breve resumen al final. Esto mantiene equilibrada la relación señal-ruido. Formato: Queremos comentarios cortos y directos. Usamos emojis para facilitar el escaneo de los comentarios y queremos un resumen de alto nivel de toda la revisión al final. Envío: Cuando termine la revisión, queremos que el agente incluya un comentario breve basado en lo encontrado durante la revisión. El agente debe enviar una sola revisión que contenga comentarios en línea más un resumen conciso. Casos límite: Necesitamos manejar:

Comentarios existentes que se resuelven: el agente debe marcarlos como resueltos cuando estén atendidos
Evitar duplicados: el agente debe omitir comentar si ya existe feedback similar en o cerca de las mismas líneas

Prompt final: El prompt completo combina todos estos requisitos de comportamiento para generar feedback enfocado y accionable Ahora implementemos el paso del agente de revisión:

- name: Perform code review
  env:
    CURSOR_API_KEY: ${{ secrets.CURSOR_API_KEY }}
    GH_TOKEN: ${{ github.token }}
  run: |
    cursor-agent --force --model "$MODEL" --output-format=text --print "You are operating in a GitHub Actions runner performing automated code review. The gh CLI is available and authenticated via GH_TOKEN. You may comment on pull requests.
    
    Context:
    - Repo: ${{ github.repository }}
    - PR Number: ${{ github.event.pull_request.number }}
    - PR Head SHA: ${{ github.event.pull_request.head.sha }}
    - PR Base SHA: ${{ github.event.pull_request.base.sha }}
    
    Objectives:
    1) Re-check existing review comments and reply resolved when addressed
    2) Review the current PR diff and flag only clear, high-severity issues
    3) Leave very short inline comments (1-2 sentences) on changed lines only and a brief summary at the end
    
    Procedure:
    - Get existing comments: gh pr view --json comments
    - Get diff: gh pr diff
    - If a previously reported issue appears fixed by nearby changes, reply: ✅ This issue appears to be resolved by the recent changes
    - Avoid duplicates: skip if similar feedback already exists on or near the same lines
    
    Commenting rules:
    - Max 10 inline comments total; prioritize the most critical issues
    - One issue per comment; place on the exact changed line
    - Natural tone, specific and actionable; do not mention automated or high-confidence
    - Use emojis: 🚨 Critical 🔒 Security ⚡ Performance ⚠️ Logic ✅ Resolved ✨ Improvement
    
    Submission:
    - Submit one review containing inline comments plus a concise summary
    - Use only: gh pr review --comment
    - Do not use: gh pr review --approve or --request-changes"

.
├── .cursor/
│   └── cli.json
├── .github/
│   └── workflows/
│       └── cursor-code-review.yml

Prueba tu revisor

Crea un pull request de prueba para verificar que el workflow funciona y que el agente publica comentarios de revisión con emojis y feedback.

Pull request que muestra comentarios de revisión automatizados con emojis y feedback en línea en líneas específicas

Próximos pasos

Ya tienes un sistema de revisión de código automatizado funcionando. Considera estas mejoras:

Configura flujos de trabajo adicionales para corregir fallos de CI
Configura distintos niveles de revisión para diferentes ramas
Intégralo con el proceso de revisión de código existente de tu equipo
Personaliza el comportamiento del agente para diferentes tipos de archivos o directorios

Show Avanzado: Revisiones con bloqueo

Puedes configurar el flujo de trabajo para que falle si se encuentran problemas críticos, evitando que el pull request se fusione hasta que se solucionen.Agrega el comportamiento de bloqueo al promptPrimero, actualiza el paso de tu agente de revisión para incluir la variable de entorno BLOCKING_REVIEW y agrega este comportamiento de bloqueo al prompt:

Comportamiento de bloqueo:
- Si BLOCKING_REVIEW es true y se publicaron problemas 🚨 o 🔒: echo "CRITICAL_ISSUES_FOUND=true" >> $GITHUB_ENV
- De lo contrario: echo "CRITICAL_ISSUES_FOUND=false" >> $GITHUB_ENV
- Establece siempre CRITICAL_ISSUES_FOUND al final

Agrega el paso de verificación de bloqueoLuego, agrega este nuevo paso después de tu paso de revisión de código:

      - name: Check blocking review results
        if: env.BLOCKING_REVIEW == 'true'
        run: |
          echo "Checking for critical issues..."
          echo "CRITICAL_ISSUES_FOUND: ${CRITICAL_ISSUES_FOUND:-unset}"

          if [ "${CRITICAL_ISSUES_FOUND:-false}" = "true" ]; then
            echo "❌ Critical issues found and blocking review is enabled. Failing the workflow."
            exit 1
          else
            echo "✅ No blocking issues found."
          fi

Primeros pasos

Sin interfaz

Referencia

Revisión de código

Configura la autenticación

Configura los permisos del agente

Crea el workflow de GitHub Actions

Configura el trigger del workflow

Haz checkout del repositorio

Instala la CLI de Cursor

Configura el agente de revisión

Prueba tu revisor

Próximos pasos

Primeros pasos

Sin interfaz

Referencia

​Configura la autenticación

​Configura los permisos del agente

​Crea el workflow de GitHub Actions

​Configura el trigger del workflow

​Haz checkout del repositorio

​Instala la CLI de Cursor

​Configura el agente de revisión

​Prueba tu revisor

​Próximos pasos

Configura la autenticación

Configura los permisos del agente

Crea el workflow de GitHub Actions

Configura el trigger del workflow

Haz checkout del repositorio

Instala la CLI de Cursor

Configura el agente de revisión

Prueba tu revisor

Próximos pasos