Твій інструмент код-рев'ю перевіряє кожен PR за одним і тим самим плейбуком. Форматування? Чек. Конвенції неймінгу? Чек. Відомі CVE? Чек. Чи код написав джун о другій ночі, чи автономний агент згенерував його з повідомлення в Slack — однакові правила, однакові евристики, однакова зелена галочка. Це як шукати привидів металодетектором. Технічно — ти скануєш. Практично — ти марний.

18 квітня CodeRabbit випустив multi-repo analysis — їхній рев'юер тепер відстежує залежності між репозиторіями. Гарний трюк. Але ось питання, яке він досі не ставить: хто написав цей код? Copilot review теж не питає — він вийшов у GA зі своєю агентною архітектурою 5 березня. Cursor 3 теж не питає — він запустив agent-first інтерфейс 2 квітня. Ніхто на ринку не питає. Жоден інструмент не адаптує стратегію рев'ю залежно від того, автор вуглецевий чи кремнієвий.

Це не філософський нюанс. Це структурна сліпа зона. Власне дослідження CodeRabbit за грудень 2025 року на 470 PR дає картину: AI-написані PR містять на 75% більше логічних багів і помилок коректності, а також генерують утричі більше проблем з читабельністю. Але баги, які AI-рев'юери реально ловлять — форматування, порядок імпортів, неймінг — це баги, які роблять люди. AI-код галюцинує синтаксично бездоганні виклики API до ендпоінтів, яких не існує. Він пише тест-сьюти, що валідують припущення самої імплементації замість специфікації. Він продукує бізнес-логіку, яка компілюється, проходить усі автоматичні перевірки і тихенько робить не те, що треба. Режим відмови і метод детекції навіть не в одній будівлі.

Cloud Security Alliance повідомив 4 квітня, що кількість CVE, відстежених до AI-інструментів кодування, зросла з 6 у січні до 35 у березні — 6-кратне збільшення за один квартал. Тим часом Qodo залучив $70M 30 березня на "верифікацію коду". Усі будують швидші паттерн-матчери. Ніхто не будує єдину фічу, яка має значення: повідомити рев'юеру, на який тип коду він дивиться, перш ніж він почне дивитися.

Ось як виглядало б authorship-aware рев'ю на практиці. Прилітає PR від агента. Інструмент бачить тег автора — cursor-agent, copilot-workspace, чим би твій бот не підписувався — і повністю перемикає плейбук. Замість перевірки стилю він перевіряє семантику: чи відповідає ця функція специфікації? Чи тест перевіряє поведінку, а не просто дзеркалить імплементацію? Чи API-виклик посилається на щось, що реально існує? Ось різниця між "виглядає правильно" і "є правильно" — і зараз кожен інструмент рев'ю на ринку працює виключно на стороні "виглядає".

Ти можеш підробити це вручну вже сьогодні. Маркуй PR від агентів. Натренуй рев'юерів пропускати зауваження до форматування, коли вони бачать маркер, і одразу переходити до перевірки інтенту. Питай "це робить те, що написано в тікеті?" замість "це відповідає нашому стайлгайду?" Коряво. Але це єдиний підхід, що працює, поки хтось не зашипить справжнє рішення.

Іронія густа: індустрія щойно витратила мільярди, щоб AI писав код і AI рев'ювив код, а відсутня фіча — одне поле метаданих. Людина чи машина? Один boolean. Кожен рев'юер на ринку його ігнорує. Кожен з них оцінює код, не знаючи, хто автор — як перевіряти есе, не знаючи, чи його написав студент або ChatGPT. Ми бачили, як це працює в академії.

Наступний інструмент рев'ю, який матиме значення, буде не найрозумнішим паттерн-матчером. Він буде першим, достатньо чесним, щоб спитати, хто автор — і повністю змінити свій підхід залежно від відповіді.