核心用法
Who Is Actor 是一款专注于 Git 仓库开发者行为分析的 AI 驱动工具。它最大的特点是零安装依赖——不执行任何 pip/npm 安装,不运行自定义脚本,完全依靠系统预装的 git 命令和标准 Unix 文本工具(cut、sort、awk、grep 等)采集数据,再由 AI 进行解读和评估。
用户只需用自然语言描述需求,如"分析 /path/to/project 仓库"、"对比 Alice 和 Bob 的提交习惯"或"生成开发者画像报告",工具即自动执行一系列只读 git 命令,收集贡献者统计、提交时间分布、代码变更量、文件类型、bug 修复频率等数据,最终输出结构化的 Markdown 报告。
显著优点
1. 极致轻量:无需管理依赖版本,不污染目标环境,开箱即用
2. 安全可控:仅执行白名单内的只读命令(git log、git shortlog、git diff --stat 等),禁止任何写入操作、网络请求或任意代码执行
3. 隐私优先:强制使用作者名称(%an)而非邮箱(%ae),禁止输入含 @ 的参数,从源头避免个人信息泄露
4. 多层防护:提供 Dry-run 模式、严格的输入验证(路径、日期、作者名、分支名正则过滤)、敏感数据自动脱敏(API key、密码、私钥等正则匹配替换为 [REDACTED])
5. 多语言支持:支持中英日韩及欧洲主要语言的自然语言触发
6. 六维评估体系:从提交习惯、工作习惯、开发效率、代码风格、代码质量、参与度六个维度量化分析,附带雷达图评分和改进建议
潜在缺点与局限性
- 数据盲区:无法捕捉代码审查、架构设计、技术讨论、团队指导等不产生 commit 的工作内容
- 身份归一难题:同一开发者可能因不同机器配置显示为不同名称,需手动维护
.mailmap文件 - 时区敏感:跨时区团队的工作时间分析可能产生偏差
- 大型仓库性能:全历史分析可能耗时较长,建议限定日期范围
- AI 解读主观性:评分标准虽有量化依据,但最终解读仍依赖 AI 的"主观判断"
- 参与度指数误用风险:官方明确警告该指数仅作宏观参考,严禁用于绩效考核、裁员、调薪等 HR 决策
适合人群
- 技术团队负责人需要快速了解团队代码贡献分布和协作健康度
- 开源项目维护者评估核心贡献者和 bus factor 风险
- 开发者自我复盘,优化个人工作节奏和代码提交习惯
- 需要进行轻量级代码审查准备,而不想部署复杂 DevOps 工具链的场景
常规风险
1. 命令注入:虽有多层输入验证,但若 AI Agent 实现不当,仍可能存在注入漏洞(官方建议先在测试仓库执行"Enforcement Verification Protocol"验证)
2. 敏感信息泄露:commit message 可能包含内部信息,工具虽提供脱敏规则,但无法保证 100% 覆盖所有变体
3. 伦理争议:未经告知分析团队成员可能引发信任危机,官方建议提前透明沟通
4. 误读数据:高参与度指数不等于高效,低参与度指数也可能反映深度思考型工作模式,需结合完整上下文理解