AI编程助手代码质量守护：Quality Guardian MCP实战指南

1. 项目概述：为AI编程助手打造的“质量守门员”

如果你和我一样，日常重度依赖 Claude Code、Cursor 这类 AI 编程助手来写代码，那你肯定也遇到过这个头疼的问题：助手写的代码，语法上没问题，但一跑静态检查，满屏都是警告。更糟心的是，这些警告里，90% 都是项目里积压已久的历史“技术债”，跟助手刚写的代码压根没关系。结果就是，你不得不花大量时间，手动在一堆无关的噪音里，分辨哪些是真正由本次修改引入的新问题。

这就是 Quality Guardian MCP 要解决的核心痛点。它不是一个全新的代码分析工具，而是一个聚合层和智能过滤器。简单说，它把 Semgrep、PHPStan、Knip、PHPMetrics、Deptrac 这些你本来就在用的单点工具，通过 Model Context Protocol 协议整合成一个统一的“质量守门员”服务。然后，它引入了一个“基线”概念，能自动识别并过滤掉项目里已有的、被标记为“技术债”的老问题，只把本次新增或修改的代码所引入的质量问题，清晰地反馈给你的 AI 助手。

想象一下：你的项目有 1 万个静态检查问题（基线）。当你用 AI 助手修改了UserService.php文件后，Quality Guardian 不会把那 1 万个问题都扔给助手，它只会说：“嘿，你刚才的改动，在UserService.php:45引入了一个新的空指针风险，在UserService.php:102可能有个未使用的变量。” 这样，助手的注意力就能 100% 集中在“修复自己刚搞出来的问题”上，效率提升立竿见影。

2. 核心设计思路：为什么是“聚合”而非“替代”

2.1 现有工具生态的困境

在接触 Quality Guardian 之前，我尝试过几种方案来让 AI 助手具备代码质量感知能力，但都不够理想：

1. 单点工具直接集成：比如在 Claude Code 里单独配置 Semgrep MCP 和 PHPStan MCP。问题在于，每个工具都要单独调用，结果格式不统一，而且每个工具都看不到全局的“基线”。助手会被重复的、跨工具的问题报告搞晕，更无法区分新旧问题。
2. 重量级 SaaS 平台：比如 SonarQube。它的分析能力很强，也有基线功能。但最大的问题是反馈环路太长。AI 助手写完代码，你需要提交、推送到远程、触发 CI、等平台分析、再在 PR 评论里看到结果。这时候，错误的代码模式可能已经在助手的上下文中被“固化”了，修正成本很高。它不是在“编码时”实时介入，而是在“评审时”事后诸葛亮。
3. 手动脚本拼接：自己写个脚本，在本地依次运行各种检查工具，然后解析结果。这解决了聚合问题，但如何把结果实时、结构化地喂给 AI 助手？如何让助手能按需查询特定文件或模块的质量状态？这需要自己实现一套复杂的通信协议。

Quality Guardian 的设计聪明在它没有重复造轮子，而是精准地填补了“专业分析工具”和“AI 助手工作流”之间的空白。它扮演了一个“翻译官”和“调度员”的角色。

2.2 基线机制：质量管理的核心

“基线”是 Quality Guardian 的灵魂，也是它区别于简单工具聚合器的关键。它的实现思路非常务实：

1. 生成指纹：对每一个检查出的问题（Violation），根据工具名|规则ID|文件路径|行号（容错±3行）|问题信息生成一个 SHA256 哈希值作为唯一指纹。这个指纹是稳定的，即使因为其他修改导致代码行号稍有偏移（±3行内），也能被识别为同一个问题。
2. 建立基线：通过npm run baseline:seed命令，将当前代码库中所有检查到的问题，都记录到本地的 SQLite 数据库（data/quality.db）中，并标记为“已基线化”。这相当于对项目当前的质量状态拍了一张快照，并承认：“这些是我们已知且暂时接受的技术债。”
3. 增量比对：后续任何扫描，都会将新发现的问题指纹与基线数据库进行比对。只有那些指纹不在基线数据库中的问题，才会被认定为“新问题”，并呈现给 AI 助手。

这个机制带来了几个巨大优势：

• 零噪音干扰：AI 助手从此只关心自己引入的变更，历史包袱不再成为干扰。
• 渐进式改善：团队可以设定目标，例如“每个新功能模块，新增问题数为 0”，从而确保代码库质量不会恶化，并有机会逐步偿还技术债（将基线中的老问题逐个解决并移出基线）。
• 责任清晰：在代码审查时，可以明确看到本次提交引入了哪些新问题，讨论焦点更集中。

2.3 MCP 协议：无缝嵌入 AI 助手工作流

Model Context Protocol 是 Anthropic 推出的一套标准，它允许像 Quality Guardian 这样的外部服务，以“工具”的形式将自己暴露给 Claude、Cursor 等兼容 MCP 的 AI 助手。这比传统的 CLI 调用或 Webhook 先进得多。

对于 AI 助手来说，Quality Guardian 提供的qg_scan_file,qg_digest等，就像搜索互联网、读取文件一样，是它原生能力的一部分。助手可以在编写代码的任何时刻，主动调用这些工具来获取质量反馈，实现了真正的“编码时质量防护”。

3. 部署与核心配置详解

3.1 环境准备与安装

Quality Guardian 基于 Node.js，并协调多种后端分析工具。安装过程需要细致一些，确保所有依赖就位。

# 1. 克隆项目 git clone https://github.com/tehprof/quality-guardian-mcp.git cd quality-guardian-mcp # 2. 安装 Node.js 依赖 (项目核心) npm install # 3. 安装捆绑的分析引擎 # Semgrep 是其核心分析工具之一，通过 pipx 安装确保环境隔离 pipx install semgrep-mcp # 4. 对于 PHP 项目，需要确保 PHP 分析工具可用 # 假设你使用 macOS 且已安装 Homebrew brew install php brew install composer # 通过 Composer 全局安装 PHP 工具（可选，也可在项目内安装） composer global require phpstan/phpstan # Deptrac 和 PHPMetrics 通常下载 phar 文件即可，Quality Guardian 的配置中可指定路径

注意：pipx是推荐的管理 Python 命令行工具的方式，它能避免包冲突。如果没安装pipx，可以用pip install --user pipx安装，并确保pipx的二进制路径（通常是~/.local/bin）已加入系统的 PATH 环境变量。

3.2 项目专属配置

Quality Guardian 采用“默认配置+本地覆盖”的模式，这很好地将通用设置和敏感/项目特定的设置分离开。

# 复制默认配置模板 cp config.default.json config.local.json

现在，打开config.local.json进行编辑。这是最关键的一步，配置决定了 Quality Guardian 如何扫描你的项目。

{ "scan": { "rootPath": "/Users/yourname/Projects/your-php-project", "includeGlobs": ["**/*.php", "**/*.js", "**/*.ts", "**/*.vue"], "excludeGlobs": ["**/vendor/**", "**/node_modules/**", "**/tests/**", "**/*.min.js"] }, "tools": { "semgrep": { "enabled": true, "config": ["p/ci", "r/php.lang.security", "rules/generic/"] // 启用通用规则集和安全规则 }, "phpstan": { "enabled": true, "level": 5, // PHPStan 分析级别，数字越大越严格 "paths": ["src", "lib"] // 指定 PHPStan 分析的目录 }, "knip": { "enabled": true, // 用于 JS/TS 项目的死代码检测 "config": "./knip.json" // 指向你的 Knip 配置文件 } }, "customDetectors": { "deadI18nKeys": { "enabled": true, "i18nFiles": ["./resources/lang/en.json", "./resources/lang/zh_CN.json"], "usagePattern": "__\\(['\"]([^'\"]+)['\"]\\)" // 根据你的 i18n 调用函数调整正则 }, "deadDbColumns": { "enabled": true, "schemaPath": "./database/schema.sql" // 你的数据库 schema 文件路径 } }, "baseline": { "dbPath": "./data/quality.db", // 基线数据库位置 "autoUpdate": false // 建议手动控制基线更新，而非自动 } }

配置要点解析：

1. rootPath：务必使用绝对路径。这是许多错误的根源。AI 助手和 MCP 服务器可能在不同的工作目录下运行。
2. includeGlobs/excludeGlobs：使用 glob 模式。**/表示递归所有子目录。合理排除vendor,node_modules,tests等目录可以大幅提升扫描速度，并减少无关干扰。但请注意，如果你希望分析测试代码的质量，则不应排除tests。
3. 工具配置：每个工具都有其特定的配置项。例如phpstan.level对应 PHPStan 的规则严格级别。你需要查阅各工具的文档来设置最适合你项目的级别。一开始可以从较低的级别开始，避免基线过于庞大。
4. 自定义检测器：这是 Quality Guardian 的杀手锏。deadI18nKeys和deadDbColumns能帮你发现跨栈的死代码。配置的关键在于usagePattern，它是一个正则表达式，用于在源代码中匹配国际化键名或数据库字段名的使用。你需要根据项目实际使用的函数名（如__()、t()、trans()）来调整这个模式。

3.3 初始化基线

配置完成后，就可以建立质量基线了。

# 运行一次全量扫描，并将所有发现的问题录入基线数据库 npm run baseline:seed

这个过程可能会花费一些时间，取决于项目大小和启用的工具数量。执行完成后，查看data/quality.db文件，里面已经存储了当前项目的所有“已知问题”。从此以后，只有新出现的问题才会被报告。

实操心得：在第一次建立基线前，建议先单独运行各分析工具（如phpstan analyse），处理掉一些显而易见的、容易修复的严重问题。这样建立的基线会更“干净”，避免基线里包含大量低级错误，从而让后续的“新问题”报告更有价值。

4. 集成到 AI 开发环境

4.1 集成 Claude Code

Claude Code 通过本地 JSON 配置文件来管理 MCP 服务器。

1. 找到或创建 Claude Code 的配置文件。通常在~/.claude.json（macOS/Linux）或%APPDATA%\.claude.json（Windows）。
2. 添加 Quality Guardian 服务器的配置。特别注意路径必须是绝对路径。

{ "mcpServers": { "quality-guardian": { "type": "stdio", "command": "node", "args": ["/absolute/path/to/quality-guardian-mcp/src/index.js"], "env": { "QG_CONFIG": "/absolute/path/to/quality-guardian-mcp/config.local.json", "QG_TRANSPORT": "stdio" } } } }

3. 重启 Claude Code 应用。这是关键步骤，配置更改后必须重启才能生效。
4. 重启后，在 Claude Code 的聊天界面，你应该能看到可用的工具列表里出现了mcp__quality-guardian__开头的工具。

4.2 集成 Cursor

Cursor 的 MCP 服务器配置方式与 Claude Code 几乎完全相同。配置文件通常位于：

• macOS:~/Library/Application Support/Cursor/User/globalStorage/mcp.json
• Windows:%APPDATA%\Cursor\User\globalStorage\mcp.json
• Linux:~/.config/Cursor/User/globalStorage/mcp.json

将上述同样的配置块添加到mcp.json文件的mcpServers对象中，然后重启 Cursor 即可。

4.3 验证集成

集成成功后，最直接的验证方式就是询问你的 AI 助手。例如，在 Claude Code 中你可以输入：

“请使用 quality guardian 工具，查看当前项目的质量摘要。”

助手应该会调用qg_digest工具，并返回类似这样的信息：

质量摘要：基线问题 1245 个，新发现问题 0 个。严重问题 0 个，主要问题 0 个。

这表示集成成功，并且你当前的修改没有引入超出基线的新问题。

5. 核心工具使用指南与实战场景

Quality Guardian 向 AI 助手暴露了一系列工具，每个工具都有其特定的使用场景。理解这些场景，才能让 AI 助手用得恰到好处。

5.1qg_digest：会话启动时的“健康检查”

这是使用频率最高的工具。它被设计为在 AI 助手开始一个新的编码会话时自动触发（通过 SessionStart 钩子），或者在用户手动询问项目整体状态时调用。

• AI 助手调用时机：当用户打开一个新文件，或者说“我们来开发一个新功能”时。
• 输出内容：一个高度浓缩的单行摘要，显示基线问题总数、本次会话新增问题数，并按严重等级（CRITICAL, HIGH, MEDIUM, LOW）分类。
• 实战价值：让开发者和 AI 助手在开始工作前，对代码库的“清洁度”有一个即时认知。如果显示有新的“严重”问题，助手应该优先建议修复它们，然后再进行新功能的开发。

5.2qg_scan_file：编辑前的“安全扫描”

这是最具防御性的工具。在 AI 助手准备修改某个特定文件之前，应该先调用此工具。

• AI 助手调用时机：当用户指令涉及修改UserController.php文件时，助手在生成代码前先调用qg_scan_file({“path”: “src/Controller/UserController.php”})。
• 输出内容：返回该文件当前已存在的所有质量问题（包括基线内的）。如果这个文件本身已经“千疮百孔”，助手在修改时就需要格外小心，避免雪上加霜。同时，扫描结果也会作为后续判断“新问题”的参照。
• 实战价值：实现“编辑感知”。助手知道这个文件的历史包袱，可能会建议：“这个文件有 10 个未使用的导入（基线内）。我将在修改时注意不增加新的未使用导入。另外，第 45 行有一个空值风险（基线内），我本次的改动会避开那附近区域。”

5.3qg_scan_module：架构视角的“质量视图”

对于大型项目，按文件扫描可能太细碎。qg_scan_module允许你定义一个“逻辑模块”（例如“用户认证模块”、“支付网关模块”），并扫描该模块下的所有文件。

• 配置方式：需要在config.local.json中定义modules映射，将模块名映射到文件路径通配符。

  "modules": { "auth": ["src/Auth/**/*.php", "src/Models/User.php"], "payment": ["src/Payment/**/*.php", "src/Gateways/**/*.php"] }

• AI 助手调用时机：当任务集中在某个功能模块时，例如“优化支付模块的代码”，助手可以调用qg_scan_module({“module”: “payment”})来获取该模块的集中质量报告。
• 实战价值：便于进行模块级别的重构或优化。助手可以针对一个模块的所有问题给出系统性的重构建议，而不是零敲碎打。

5.4qg_baseline_status与qg_list_open：质量趋势与问题管理

这两个工具更偏向于项目管理。

• qg_baseline_status：查看基线趋势。例如，过去一周有多少问题被加入基线，有多少问题从基线中移除（被修复）。这有助于衡量团队偿还技术债的进度。
• qg_list_open：列出所有“未解决”的问题（即当前扫描到但不在基线中的新问题）。可以按严重性、文件路径前缀进行过滤。AI 助手可以用它来生成一个待修复问题的清单。

5.5 自定义规则实战：捕捉领域特定问题

Quality Guardian 内置的通用规则很好，但真正的威力在于自定义规则。它允许你使用 Semgrep 的 YAML 语法，定义针对自己项目业务逻辑的规则。

场景：在一个多租户 SaaS 项目中，所有数据库查询都必须包含tenant_id字段，以防止数据越权。

1. 创建规则文件：在项目根目录下创建rules/your-project/目录（your-project替换为你的项目名），然后新建must-include-tenant-id.yaml。

   rules: - id: must-include-tenant-id message: Database query missing tenant_id in WHERE clause languages: [php] severity: CRITICAL pattern: | $queryBuilder->...->where(...); pattern-not: | $queryBuilder->...->where(..., 'tenant_id', ...); metadata: category: security domain: multi-tenancy

   （这是一个简化示例，实际规则需要更精确地匹配你的 ORM 或查询构建器用法。）

2. 更新配置：在config.local.json的tools.semgrep.config数组中，添加你的自定义规则路径。

   "tools": { "semgrep": { "enabled": true, "config": ["p/ci", "r/php.lang.security", "rules/your-project/"] } }

3. 生效：重启 Quality Guardian 服务或重新扫描。现在，任何遗漏了tenant_id的查询都会被 AI 助手在编写时即时捕获并警告，将安全左移到了编码阶段。

6. 高级技巧与避坑指南

在实际部署和使用 Quality Guardian 的过程中，我积累了一些文档里没写的经验和教训。

6.1 性能调优：让扫描快如闪电

全量扫描（qg_scan_full）在大型项目上可能较慢。以下策略可以优化体验：

1. 精细化排除路径：充分利用excludeGlobs。除了vendor和node_modules，还可以排除文档目录、构建输出目录（如dist,build）、缓存目录等。
2. 按需启用工具：如果你是一个纯 PHP 项目，可以在config.local.json中将knip(JS/TS 工具) 的enabled设为false。
3. 使用增量扫描：在开发过程中，AI 助手主要依赖qg_scan_file，这是增量且极快的。将qg_scan_full配置到 CI/CD 流水线中，在每次提交或合并时运行，作为守门员。
4. 调整工具级别：例如，将 PHPStan 的level从最高的 8 调整为适合项目的 5，能显著减少分析时间。

6.2 基线管理策略：何时更新基线？

基线不是一成不变的。随着项目发展，你需要更新它。

• 何时“加”入基线：
  • 当你引入一个庞大的、包含已知问题的第三方库时。
  • 当你接手一个历史遗留项目，并决定暂时接受其当前状态时（使用npm run baseline:seed）。
  • 团队经过讨论，决定将某个低优先级、广泛存在且修复成本高的问题类型（如某种代码风格警告）暂时纳入技术债。
• 何时“移”出基线：
  • 当你修复了某个基线中的问题后，不要手动修改数据库。只需在修复代码后，重新运行npm run baseline:seed。Quality Guardian 会进行全量扫描，由于该问题已不存在，它的指纹会自动从新的扫描结果中消失。接着，你需要手动或通过脚本，将数据库中该问题的记录状态更新或删除。通常，一个简单的策略是：定期（如每周）用最新的全量扫描结果去“覆盖”基线数据库，这样被修复的问题就会自然清除。
  • 重要提示：直接删除quality.db文件并重新种子化，会丢失所有基线历史。建议编写一个小脚本，将修复后不再出现的问题标记为“已解决”而非直接删除。

6.3 处理误报与规则调优

静态分析工具难免有误报。当 Quality Guardian 报告一个你认为不是问题的问题时，可以：

1. 细化规则：如果是自定义 Semgrep 规则，调整规则的pattern使其更精确。
2. 使用工具原生抑制注释：例如，对于 PHPStan，可以在代码行上方使用// @phpstan-ignore-line。Quality Guardian 在收集结果时，这些被抑制的问题通常不会被上报。
3. 在基线中豁免特定问题：如果某个误报是特定文件、特定行的，你可以选择将它加入基线。但这只是“眼不见为净”，最好还是从根源上解决误报。

6.4 与 CI/CD 流水线集成

Quality Guardian 不仅服务于本地开发，也能成为 CI 门禁。

# 例如，在 GitHub Actions 中的 job 步骤 - name: Quality Gate Check run: | npm run scan # 生成与主分支（或上次成功构建）的差异报告 # 这里假设你有一个脚本能比较当前扫描结果与基准分支的基线差异 npm run digest -- --format=json --new-only > new_issues.json # 如果 new_issues.json 不为空，且包含 CRITICAL 或 HIGH 级别问题，则失败 if [ -s new_issues.json ] && [ $(jq '[.[] | select(.severity=="CRITICAL" or .severity=="HIGH")] | length' new_issues.json) -gt 0 ]; then echo "❌ 发现新的严重质量问题，构建失败。" cat new_issues.json exit 1 fi

你需要编写额外的脚本来计算“新问题”（例如，对比当前分支的扫描结果和main分支的基线快照）。社区未来可能会提供更官方的 CI 集成方案。

7. 常见问题排查实录

即使按照指南操作，也可能会遇到问题。下面是我遇到的一些典型情况及其解决方法。

问题 1：AI 助手提示“无法连接到 MCP 服务器”或工具列表里没有 Quality Guardian 工具。

• 检查步骤：
  1. 配置文件路径：确保~/.claude.json或 Cursor 的mcp.json中所有路径都是绝对路径。这是最常见的问题。
  2. 配置文件位置：确认配置文件放在了正确的、AI 助手能读取的目录下。
  3. 环境变量：确保QG_CONFIG环境变量指向的config.local.json文件存在且格式正确。可以尝试在终端中手动运行node /path/to/src/index.js看是否有错误输出。
  4. 重启应用：修改 MCP 配置后，必须完全退出并重启 Claude Code 或 Cursor。
  5. 查看日志：启动 AI 助手时，查看其控制台或日志输出，看是否有加载 MCP 服务器失败的报错信息。

问题 2：npm run baseline:seed运行失败，提示某个工具找不到（如semgrep）。

• 原因：虽然用pipx安装了semgrep-mcp，但 Quality Guardian 可能调用的是全局的semgrep命令。
• 解决：
  1. 用pipx ensurepath确保pipx的二进制目录在 PATH 中。
  2. 或者，直接使用pip install semgrep安装全局的 semgrep。
  3. 对于 PHP 工具，确保phpstan,deptrac.phar等可在命令行中直接执行。可能需要通过 Composer 全局安装 (composer global require ...) 或将它们的路径添加到系统的 PATH 中。

问题 3：扫描速度非常慢，尤其是qg_scan_full。

• 优化：
  1. 检查config.local.json中的excludeGlobs，确保排除了所有不需要分析的目录（如vendor,node_modules,build,.git）。
  2. 在tools配置中，暂时禁用你不关心的语言对应的分析器（例如，纯后端项目禁用knip）。
  3. 考虑升级硬件。静态分析是 CPU 和 I/O 密集型操作，使用 SSD 会有帮助。

问题 4：自定义死代码检测器（如deadDbColumns）没有报告任何问题。

• 检查：
  1. 确认enabled设为true。
  2. 确认schemaPath指向的 SQL 文件路径正确，并且文件包含完整的CREATE TABLE语句。
  3. 最关键的一步：检查usagePattern正则表达式。它必须匹配你代码中使用数据库列名的方式。例如，如果你使用 Laravel 的 Eloquent，列名可能直接作为对象属性访问（$user->email），这个模式很难精准匹配。你可能需要调整检测器的逻辑，或者编写更复杂的、基于抽象语法树的分析规则。一开始，可以尝试一个简单的模式来验证检测器是否正常工作，例如匹配代码中出现的任意字符串字面量。

问题 5：基线似乎没起作用，AI 助手仍然看到所有老问题。

• 排查：
  1. 确认npm run baseline:seed成功运行，并且data/quality.db文件大小不为零。
  2. 运行qg_digest或qg_scan_full，查看输出中是否区分了“基线问题”和“新问题”。如果所有问题都被标记为新问题，说明基线数据库未被正确读取或指纹计算不匹配。
  3. 检查config.local.json中baseline.dbPath的路径是否正确，以及运行 Quality Guardian 服务的用户是否有该文件的读写权限。
  4. 尝试删除data/quality.db并重新运行baseline:seed，建立一个全新的基线进行测试。

这个工具的核心价值在于它将专业的代码质量检查无缝、实时地编织进了 AI 辅助编程的工作流中。它不追求替代 SonarQube 这样功能全面的平台，而是精准地解决了“AI 编码时代”的新痛点——让智能助手在创造的同时，也能即时地进行自我审查。