Sua ferramenta de code review examina todo PR com o mesmo playbook. Formatação? Check. Convenções de nomenclatura? Check. CVEs conhecidas? Check. Se um dev junior escreveu o código às 2 da manhã ou um agente autônomo gerou tudo a partir de uma mensagem no Slack — mesmas regras, mesmas heurísticas, mesmo checkmark verde. Isso é tipo usar um detector de metais pra encontrar fantasmas. Tecnicamente, você tá escaneando. Na prática, é inútil.
Em 18 de abril, o CodeRabbit lançou análise multi-repo — o reviewer deles agora rastreia dependências entre repositórios. Truque legal. Mas aqui vai a pergunta que ainda não é feita: quem escreveu esse código? O Copilot review também não faz isso — que saiu em GA com sua arquitetura agêntica em 5 de março. Nem o Cursor 3, que lançou sua interface agent-first em 2 de abril. Nem qualquer outra coisa no mercado. Nenhuma ferramenta ajusta sua estratégia de review com base em se o autor é de carbono ou de silício.
Isso não é nuance filosófica. É um ponto cego estrutural. O próprio estudo do CodeRabbit de dezembro de 2025 com 470 PRs deixa claro: PRs escritos por IA carregam 75% mais bugs de lógica e correção enquanto produzem 3x mais problemas de legibilidade. Mas os bugs que os reviewers de IA realmente flagram — formatação, ordem de imports, naming — são os bugs que humanos cometem. Código de IA alucina chamadas de API sintaticamente perfeitas para endpoints que não existem. Escreve suítes de testes que validam as próprias suposições da implementação em vez da spec. Produz lógica de negócio que compila, passa em toda checagem automatizada, e silenciosamente faz a coisa errada. O modo de falha e o método de detecção nem estão no mesmo prédio.
A Cloud Security Alliance reportou em 4 de abril que CVEs rastreadas até ferramentas de IA coding saltaram de 6 em janeiro para 35 em março — um aumento de 6x em um trimestre. Enquanto isso, a Qodo levantou $70M em 30 de março para "verificação de código". Todo mundo construindo pattern-matchers mais rápidos. Ninguém construindo a única feature que importa: dizer ao reviewer que tipo de código ele tá olhando antes de começar a olhar.
Veja como um review ciente de autoria realmente funcionaria. Um PR gerado por agente chega. A ferramenta vê a tag do autor — cursor-agent, copilot-workspace, seja lá como seu bot assina — e troca completamente de playbook. Em vez de checar estilo, checa semântica: essa função bate com a spec? Esse teste verifica comportamento ou só espelha a implementação? Essa chamada de API referencia algo que realmente existe? Essa é a diferença entre "parece certo" e "está certo" — e agora toda ferramenta de review no mercado opera exclusivamente no lado do "parece".
Você pode simular isso manualmente hoje. Rotule seus PRs de agentes. Treine reviewers pra pular os nits de formatação quando virem o label e ir direto pra checagem de intenção. Pergunte "isso faz o que o ticket diz?" em vez de "isso segue nosso style guide?". É tosco. Mas também é a única abordagem que funciona até alguém entregar a coisa de verdade.
A ironia é grossa: a indústria acabou de gastar bilhões fazendo IA escrever código e IA revisar código, e a feature que falta é um único campo de metadado. Humano ou máquina? Um booleano. Todo reviewer no mercado pula isso. Todos avaliam código sem saber quem é o autor — tipo corrigir redações sem saber se foi um aluno ou o ChatGPT que escreveu. A gente já viu como isso funciona nas universidades.
A próxima ferramenta de review que vai importar não será o pattern-matcher mais esperto. Será a primeira honesta o suficiente pra perguntar quem é o autor — e mudar toda sua abordagem com base na resposta.
