Codex をコードレビューに活用する方法 (2026年版)

Code ReviewにCodexを活用する方法 (2026年版)

コードレビューは不可欠ですが、多大な時間を要します。一般的なエンジニアリングチームは、開発時間の15〜25%をプルリクエスト（PR）のレビューに費やしています。OpenAIのCodexは、バグの検出、スタイルの強制、セキュリティ問題の特定といったコードレビューの反復的な部分を自動化し、人間のレビュアーがアーキテクチャや設計の意思決定に集中できるようにします。

このガイドでは、単純なAPIコールから完全なCI/CD統合まで、OpenAI Codexを使用した自動コードレビューの設定方法を解説します。

Codexでレビューできること（およびできないこと）

自動レビューを設定する前に、AIによるコードレビューが得意なことと、不十分な点を理解しておくことが重要です。

Codexの強み	人間の介在が必要な点
バグ検出（null参照、オフバイワン、レースコンディション）	ビジネスロジックの正確性
セキュリティ脆弱性スキャン	アーキテクチャの決定
スタイルとコンベンション（規約）の強制	製品要件との整合性
パフォーマンス問題の特定	チームの文脈と履歴
エラー処理の網羅性	組織固有の標準規約
デッドコードと未使用のインポート	優先順位付けとトレードオフ
型安全性の問題	UXとアクセシビリティの判断

最善のアプローチは、Codexを機械的な問題をキャッチする「第1次レビュアー」として使用し、人間のレビュアーが高レベルな懸念事項を担当することです。

方法 1: Direct APIによるコードレビュー

最もシンプルなアプローチは、コードの差分（diff）をCodex APIに送信し、構造化されたフィードバックを受け取ることです。

セットアップ

pip install openai

基本的なコードレビュースクリプト

from openai import OpenAI

client = OpenAI(api_key="sk-your-api-key")

def review_code(diff: str, context: str = "") -> str:
    """コードの差分をCodexに送信してレビューを受ける。"""
    response = client.chat.completions.create(
        model="gpt-5.1-codex",
        messages=[
            {
                "role": "system",
                "content": """あなたはシニアコードレビュアーです。提供された
                git diffをレビューし、実行可能なフィードバックを提供してください。

                見つかった各問題について、以下を提供してください：
                1. ファイル名と行番号
                2. 重大度（critical, warning, suggestion）
                3. 問題の説明
                4. コードを伴う修正案

                以下に焦点を当ててください：
                - バグとロジックエラー
                - セキュリティの脆弱性
                - パフォーマンス上の問題
                - エラー処理の欠落
                - 型安全性の問題

                以下についてはコメントしないでください：
                - 軽微なフォーマット（リンターに任せる）
                - 主観的なスタイルの好み
                - 意図的で正しいと思われる変更

                コードに問題がなければ、簡潔にその旨を伝えてください。問題を捏造しないでください。"""
            },
            {
                "role": "user",
                "content": f"Project context:\n{context}\n\nDiff to review:\n{diff}"
            }
        ],
        max_completion_tokens=4096
    )
    return response.choices[0].message.content

# 使用例
diff = """
diff --git a/src/auth.py b/src/auth.py
@@ -45,6 +45,15 @@ def authenticate(request):
+def reset_password(email):
+    user = db.query("SELECT * FROM users WHERE email = '" + email + "'")
+    if user:
+        token = generate_token()
+        send_email(email, token)
+        return {"status": "ok"}
+    return {"status": "ok"}  # Don't reveal if email exists
"""

print(review_code(diff))

出力では、SQLインジェクションの脆弱性が特定され、パラメータ化されたクエリが提案され、その他の問題が指摘されます。

構造化されたJSON出力

プログラムで処理する場合は、構造化された出力を要求します。

from pydantic import BaseModel

class ReviewIssue(BaseModel):
    file: str
    line: int
    severity: str  # critical, warning, suggestion
    category: str  # bug, security, performance, style
    description: str
    suggested_fix: str

class CodeReview(BaseModel):
    issues: list[ReviewIssue]
    summary: str
    approval: str  # approve, request_changes, comment

def review_code_structured(diff: str) -> CodeReview:
    response = client.beta.chat.completions.parse(
        model="gpt-5.1-codex",
        messages=[
            {
                "role": "system",
                "content": "コードの差分をレビューし、構造化されたフィードバックを返してください。"
            },
            {
                "role": "user",
                "content": diff
            }
        ],
        response_format=CodeReview
    )
    return response.choices[0].message.parsed

方法 2: GitHub Actionsとの統合

GitHub Actionsワークフローを使用して、すべてのプルリクエストでコードレビューを自動化します。

ワークフローファイル

.github/workflows/ai-code-review.yml を作成します。

name: AI Code Review

on:
  pull_request:
    types: [opened, synchronize]

permissions:
  pull-requests: write
  contents: read

jobs:
  review:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
        with:
          fetch-depth: 0

      - name: Get PR diff
        id: diff
        run: |
          git diff origin/${{ github.base_ref }}...HEAD > /tmp/pr.diff

      - name: Set up Python
        uses: actions/setup-python@v5
        with:
          python-version: "3.12"

      - name: Install dependencies
        run: pip install openai PyGithub

      - name: Run AI Code Review
        env:
          OPENAI_API_KEY: ${{ secrets.OPENAI_API_KEY }}
          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
          PR_NUMBER: ${{ github.event.pull_request.number }}
        run: python .github/scripts/ai_review.py

レビュースクリプト

.github/scripts/ai_review.py を作成します。

import os
import json
from openai import OpenAI
from github import Github

def main():
    # diffを読み込む
    with open("/tmp/pr.diff", "r") as f:
        diff = f.read()

    # diffが大きすぎる場合はスキップ（約10万トークン以上）
    if len(diff) > 400000:
        print("Diff too large for AI review, skipping")
        return

    # AIレビューを取得
    client = OpenAI()
    response = client.chat.completions.create(
        model="gpt-5.1-codex",
        messages=[
            {
                "role": "system",
                "content": """このPRの差分をレビューしてください。各問題について以下を提供してください：
                - ファイルパスと行番号
                - 重大度：critical/warning/suggestion
                - 明確な説明
                - 修正案

                JSON形式で返してください：{"issues": [...], "summary": "..."}
                簡潔に。本当の問題のみを指摘してください。"""
            },
            {"role": "user", "content": diff}
        ],
        response_format={"type": "json_object"},
        max_completion_tokens=4096
    )

    review = json.loads(response.choices[0].message.content)

    # GitHub PRに投稿
    gh = Github(os.environ["GITHUB_TOKEN"])
    repo = gh.get_repo(os.environ["GITHUB_REPOSITORY"])
    pr = repo.get_pull(int(os.environ["PR_NUMBER"]))

    # サマリーコメントを投稿
    body = f"## AI Code Review\n\n{review['summary']}\n\n"

    if review["issues"]:
        body += "### Issues Found\n\n"
        for issue in review["issues"]:
            emoji = {"critical": "🔴", "warning": "🟡", "suggestion": "🔵"}
            sev = emoji.get(issue["severity"], "⚪")
            body += f"{sev} **{issue['severity'].upper()}** - `{issue['file']}:{issue['line']}`\n"
            body += f"   {issue['description']}\n\n"
    else:
        body += "No issues found. Code looks good.\n"

    body += "\n---\n*Automated review by Codex*"

    pr.create_issue_comment(body)

if __name__ == "__main__":
    main()

方法 3: カスタムレビュー・ルール

Codexに適用させるプロジェクト固有のレビュー・ルールを定義します。

REVIEW_RULES = """
プロジェクト固有のレビュー・ルール:

1. セキュリティ
   - すべてのSQLクエリはパラメータ化されたクエリを使用すること
   - ユーザー入力は処理前にZodスキーマでバリデーションすること
   - APIエンドポイントは認証と認可を確認すること
   - シークレットをハードコードしないこと

2. エラー処理
   - すべての非同期関数はtry/catchブロックを持つこと
   - HTTPエラーは適切なステータスコードとエラーメッセージを返すこと
   - データベースエラーはキャッチし、内部の詳細を漏洩させないこと

3. パフォーマンス
   - ループ内でのデータベースクエリは禁止（バッチクエリを使用すること）
   - 大きな配列にはページネーションを使用すること
   - APIレスポンスは型を定義し、データベースオブジェクト全体を返さないこと

4. コンベンション
   - Reactコンポーネントはhookを使用した関数コンポーネントを使用すること
   - APIルートはRESTコンベンションに従うこと
   - ファイル命名：ファイル名はkebab-case、コンポーネントはPascalCase
   - すべてのエクスポートされた関数にはJSDocコメントを付けること
"""

def review_with_rules(diff: str) -> str:
    response = client.chat.completions.create(
        model="gpt-5.1-codex",
        messages=[
            {
                "role": "system",
                "content": f"以下のルールに基づいてコードをレビューしてください：\n{REVIEW_RULES}\n\n"
                           "これらの特定のルールに違反している場合のみ指摘してください。 "
                           "各指摘にはルール番号を含めてください。"
            },
            {"role": "user", "content": diff}
        ],
        max_completion_tokens=4096
    )
    return response.choices[0].message.content

方法 4: Cursorでのインタラクティブ・レビュー

Cursor内部で直接Codexを使用してコードレビューを行うことができます。

1. レビューしたいファイルまたは差分を開きます。
2. コードを選択します（ファイル全体の場合は Cmd+A）。
3. Cmd+L を押してチャットを開きます。
4. 次のようなレビュープロンプトを使用します。

このコードのバグ、セキュリティ問題、パフォーマンスの問題をレビューしてください。
行番号を明記し、各問題の修正案を提示してください。
スタイルの些細な指摘ではなく、実際の問題に焦点を当ててください。

PRのレビューには、Cursorのターミナルを使用します。

git diff main...HEAD | pbcopy

その後、差分をCursorのチャットに貼り付けてレビューを依頼します。

コスト管理

AIコードレビューのコストはPRのサイズによって異なります。

PRサイズ	推定トークン数	コスト (Codex)	コスト (GPT-5.1)
小 (<100 行)	入力5K, 出力1K	~$0.07	~$0.05
中 (100-500 行)	入力20K, 出力2K	~$0.22	~$0.15
大 (500-2000 行)	入力80K, 出力4K	~$0.76	~$0.52
特大 (2000+)	入力200K, 出力8K	~$2.08	~$1.48

週に20件の中規模PRを作成するチームの場合、週に約20ドル、月に約80ドルのコストが見込まれます。これは、節約されるエンジニアの工数と比較して大幅に安価です。

コスト最適化のヒント

• レビューには Codex MaxではなくGPT-5.1を使用 してください。標準的なCodexはレビュー作業に十分な性能を持っています。
• レビュー前にファイルをフィルタリング してください。自動生成されたファイル、ロックファイル、アセットはスキップします。
• レビューをキャッシュ してください。前回のプッシュから変更があったファイルのみを再レビューします。
• トークン制限を設定 してください。出力の上限を4096トークンに設定します。レビューは簡潔であるべきです。

比較：AIコードレビューツール

ツール	モデル	統合先	価格	最適な用途
OpenAI Codex (DIY)	GPT-5.1 Codex	カスタム	~$0.20/レビュー	完全な制御が必要な場合
GitHub Copilot Review	GPTベース	GitHubネイティブ	Copilot Enterpriseに含む	GitHub中心のチーム
CodeRabbit	複数	GitHub/GitLab	$15/人/月	自動化されたPRレビュー
Sourcery	カスタム	GitHub/IDE	無料版あり	Pythonチーム
Cursor (手動)	複数	エディタ	Cursorサブスクリプション	個人の開発者

よくある質問

AIは人間のコードレビュアーに取って代わることができますか？ いいえ。AIは機械的な問題を効果的にキャッチしますが、ビジネスロジック、アーキテクチャの決定、チームのコンテキストを評価することはできません。AIは代替ではなく、最初のステップとして使用してください。

機密性の高いコードをOpenAI APIに送信しても安全ですか？ OpenAIのAPIは、デフォルトではユーザーのデータを学習に使用しません（データ使用ポリシーによる）。機密コードについては、OpenAIのデータ取り扱い規約を確認するか、エンタープライズデータ契約のあるAzure OpenAIを使用してください。

AIコードレビューの正確性はどの程度ですか？ Codexは実際のバグを約70〜85%の確率でキャッチします。時折、誤検知（指摘事項の約10〜15%）が発生します。指摘事項は絶対的なルールではなく、提案として扱ってください。

AIレビューの指摘に基づいてPRをブロックすべきですか？ 重大度が高い指摘（セキュリティ脆弱性、明らかなバグ）のみブロックしてください。「警告（warning）」や「提案（suggestion）」は情報提供として扱い、ブロックの対象にすべきではありません。

まとめ

自動コードレビューにCodexを使用することは、バグ、セキュリティ、コード品質の問題に対する実用的で費用対効果の高い「第一防衛線」となります。GitHub ActionsでCI/CDパイプラインに統合する場合でも、Cursorから手動で使用する場合でも、機械的なレビュー作業に費やす時間を節約することで、チーム全体の生産性は急速に向上します。

画像生成、動画作成、会話型アバターAPIを必要とするAI駆動型アプリケーションを構築しているチームには、Hypereal AIが、わかりやすい価格設定のデベロッパーフレンドリーなAPIを提供しています。まずは無料でサインアップしてください。