CodeAct：让AI通过代码执行实现自主行动的智能体框架

1. 项目概述CodeAct一个让AI“动手”执行代码的智能体框架最近在AI智能体这个圈子里一个叫“CodeAct”的项目引起了我的注意。它不是一个简单的代码生成工具也不是一个只能聊天的助手。CodeAct的核心思想是让大型语言模型LLM从一个“纸上谈兵”的规划者变成一个能“动手操作”的执行者。简单来说它让AI不仅能写出解决问题的代码还能在一个受控的、安全的沙箱环境中自动执行这些代码观察执行结果并根据结果动态调整后续的行动计划。这听起来有点像让AI拥有了一个“命令行终端”或“Jupyter Notebook”的交互能力。传统的AI代码生成比如Copilot是帮你补全代码片段写完后还是需要你手动去运行、调试。而CodeAct的目标是构建一个闭环AI自己生成代码 - 执行代码 - 分析输出 - 决定下一步做什么。这个框架特别适合用来构建那些需要与外部环境如文件系统、数据库、API、甚至操作系统进行复杂、多步骤交互的自主智能体。如果你正在研究AI智能体、自动化脚本、任务分解与执行或者对如何让大模型更“接地气”地解决实际问题感兴趣那么CodeAct的设计思路和实现细节绝对值得你花时间深入了解。它不是一个玩具而是一个试图将大语言模型的推理能力与代码的执行能力深度融合的工程实践。2. 核心设计理念从“规划-执行”到“一体化代码行动”在深入代码之前我们必须先理解CodeAct背后最关键的设计哲学转变。这决定了整个项目的架构和它能解决的问题边界。2.1 传统智能体范式的瓶颈在CodeAct出现之前主流的AI智能体框架如LangChain、AutoGPT的早期版本大多遵循一种“规划-执行”的分离式架构。规划模块LLM作为一个“大脑”根据用户指令分解出一个步骤列表Plan。例如用户说“分析一下项目日志”大脑可能规划出1. 找到日志文件2. 读取文件内容3. 提取错误信息4. 统计错误类型。执行模块一个独立的“执行器”负责调用各种工具Tools来逐步完成规划。比如调用read_file工具执行步骤1和2调用parse_text工具执行步骤3调用count函数执行步骤4。这种架构的问题在于规划僵化LLM在规划阶段基于不完整的信息它不知道文件具体在哪、日志格式如何做出的计划很可能第一步就卡住比如文件路径不对。反馈延迟执行器遇到错误后需要将错误信息重新抛回给规划模块规划模块再重新规划。这个循环不仅慢而且LLM可能无法从简单的错误信息中准确理解症结所在。工具依赖需要为每一个可能的操作读文件、写文件、执行命令、查询数据库预先编写好工具函数。这限制了智能体的能力边界遇到未预定义的操作就无法处理。2.2 CodeAct的“一体化”范式CodeAct提出了一个更简洁、更强大的范式让LLM直接使用一种通用“工具”——代码特别是Python代码来行动。行动即代码智能体的每一个“动作”Action就是一段可执行的代码。比如动作不是“调用read_file工具”而是直接写一段with open(‘/path/to/log.txt’, ‘r’) as f: content f.read()的Python代码。环境即解释器框架提供一个安全的代码执行沙箱Sandbox。智能体生成的代码会被送到这个沙箱中运行。观察即输出代码执行后的所有标准输出、标准错误、返回值乃至产生的文件变化都会作为“观察”Observation反馈给LLM。循环驱动LLM根据当前任务目标、历史对话、以及上一步代码执行的“观察”决定下一步要生成什么代码。这就形成了一个“思考 - 编码 - 执行 - 观察 - 再思考”的紧密闭环。这种设计的优势是颠覆性的表达能力无限Python及其庞大的生态库如os,json,requests,pandas成为了智能体的“武器库”。理论上任何能用Python实现的操作智能体都能直接完成无需预先定义工具。动态适应性强智能体可以根据上一步的执行结果即时调整策略。比如读取文件发现是JSON格式它下一段代码就可以直接用json.loads来解析如果是CSV则用pandas.read_csv。这种灵活性是预定义工具集难以企及的。简化架构整个系统核心只需要两大部分一个强大的LLM用于生成代码和理解结果和一个安全的代码执行器。架构变得异常清晰。注意能力越强大责任也越大。让AI直接执行代码最大的挑战就是安全性。一个恶意或错误的指令可能导致删除文件、耗尽资源或执行危险操作。因此CodeAct的沙箱设计是重中之重我们会在后面详细拆解。3. 架构深度解析安全沙箱与智能体循环理解了理念我们来看CodeAct是如何把它落地的。其核心架构可以分解为三个关键部分智能体核心、代码执行沙箱和交互控制循环。3.1 安全代码执行沙箱的实现这是CodeAct的基石也是技术难度最高的部分。一个合格的沙箱必须做到隔离性、资源限制、访问控制。1. 容器化隔离推荐方案最彻底的隔离方式是使用容器技术如Docker。CodeAct可以为每个会话或每个任务启动一个全新的、轻量级的Docker容器。镜像选择使用一个仅包含Python解释器和必要基础库如os,sys,json的极简镜像例如python:3.11-slim。文件系统隔离将容器内的文件系统与主机完全隔离。可以通过Docker卷Volume将一个临时目录或特定任务目录挂载到容器内作为智能体的“工作区”。智能体只能看到和影响这个工作区内的文件。网络隔离默认禁用容器网络访问或仅允许访问特定的、安全的API端点。防止智能体向任意外部地址发送数据或发起攻击。实现示例import docker client docker.from_env() # 创建并运行一个容器 container client.containers.run( ‘python:3.11-slim’, ‘sleep 3600’, # 保持容器运行 detachTrue, volumes{‘/tmp/codeact_workspace’: {‘bind’: ‘/workspace’, ‘mode’: ‘rw’}}, network_disabledTrue, # 禁用网络 mem_limit‘256m’, # 内存限制 cpu_period100000, cpu_quota50000, # CPU限制50% working_dir‘/workspace’ ) # 后续通过 exec 在容器内执行代码 exec_result container.exec_run(‘python -c “print(11)”’) print(exec_result.output.decode())2. 系统调用拦截与过滤对于无法使用Docker的环境或者需要更细粒度控制的情况可以使用系统调用拦截。Python的seccomp、ptrace或像pysandbox这样的库可以限制子进程能执行的系统调用。禁止危险调用如fork,execve,kill,unlink删除文件,chmod等。限制文件操作通过chroot或路径白名单将文件访问限制在特定目录下。资源限制使用resource模块设置CPU时间、内存用量、子进程数量等上限。import resource # 设置最大运行时间秒 resource.setrlimit(resource.RLIMIT_CPU, (1, 1)) # 软硬限制均为1秒 # 设置最大内存字节 resource.setrlimit(resource.RLIMIT_AS, (256 * 1024 * 1024, 256 * 1024 * 1024)) # 256MB3. 纯Python模拟环境还有一种思路是构建一个“模拟”的Python环境用纯Python对象模拟文件系统、网络请求等。例如智能体的open()函数调用实际上被重定向到一个虚拟文件系统VFS的操作。这种方法最安全但实现最复杂且智能体的能力受限于模拟环境的完整性。它更适合特定领域如教育、数据分析的受限环境。实操心得在生产环境中强烈建议使用Docker容器方案。它提供了操作系统级别的隔离安全性最高且技术成熟。你需要仔细设计容器的生命周期管理创建、执行、销毁避免容器堆积造成资源泄漏。同时务必设置合理的资源限制CPU、内存、进程数防止单个智能体任务拖垮整个主机。3.2 智能体核心与交互循环在安全的沙箱之上CodeAct需要构建一个驱动LLM进行“代码行动”的循环。这个循环通常由以下几个组件构成1. 系统提示词System Prompt这是智能体的“宪法”定义了它的角色、能力、行动规范和约束。一个典型的CodeAct系统提示词会包含角色定义“你是一个可以执行Python代码来解决问题的AI助手。”能力说明“你拥有一个安全的Python执行环境。你可以通过生成代码块来执行任何Python操作包括文件IO、数据处理、调用API等。”行动格式“你必须将所有要执行的代码放在一个单独的、格式化的代码块中。不要在同一响应中执行多个代码块。”安全约束“你绝对不能执行可能危害系统或数据的代码如删除根目录文件、发起网络攻击、无限循环等。”输出规范“代码执行后你会看到输出。请根据输出进行分析并决定下一步行动。”2. 交互状态管理智能体需要维护一个包含以下内容的状态对话历史用户消息、AI的回复包含代码和自然语言、代码执行结果。工作区上下文当前沙箱工作目录下的文件列表、之前代码定义的变量在同一个会话/沙箱中变量状态是保持的等。任务目标用户最初提出的请求。3. 循环执行流程初始化用户输入任务 - 构建包含系统提示和历史的对话上下文 - 发送给LLM。 循环开始 1. LLM响应LLM生成一段包含自然语言解释和代码块标记为 python ... 的回复。 2. 代码提取从响应中精确提取出代码块内容。 3. 代码执行将代码发送到安全沙箱执行。 4. 结果捕获捕获标准输出(stdout)、标准错误(stderr)和返回值(return value)。 5. 观察生成将捕获的结果格式化成一段清晰的文本观察如“代码执行成功。输出xxx。错误无。”。 6. 状态更新将LLM的回复和“观察”一起追加到对话历史中。 7. 判断终止判断任务是否完成如LLM明确说“任务完成”或代码执行结果满足了任务目标。若未完成回到步骤1若完成则退出循环向用户返回最终结果。4. 错误处理与重试代码语法/运行时错误执行失败将详细的错误信息Traceback作为“观察”反馈给LLM。LLM可以据此调试并生成修正后的代码。沙箱资源超限执行因超时或内存溢出被终止反馈“执行超时”或“内存不足”信息。LLM偏离轨道如果LLM连续多次生成不相关代码或无法推进任务需要介入例如重置对话或给出更具体的指引。4. 核心功能模块实现详解基于上述架构我们可以动手实现一个简化但功能完整的CodeAct核心。这里我们以使用Docker沙箱和OpenAI API为例。4.1 沙箱管理器DockerSandbox这个类负责Docker容器的生命周期和代码执行。import docker import time import logging class DockerSandbox: def __init__(self, workspace_host_path‘/tmp/codeact_workspace’): self.client docker.from_env() self.workspace_host workspace_host_path self.container None self.logger logging.getLogger(__name__) def start(self): 启动一个新的容器 # 确保宿主机工作目录存在 os.makedirs(self.workspace_host, exist_okTrue) try: self.container self.client.containers.run( ‘python:3.11-slim’, ‘tail -f /dev/null’, # 一个保持容器运行的命令 detachTrue, volumes{self.workspace_host: {‘bind’: ‘/workspace’, ‘mode’: ‘rw’}}, network_disabledTrue, mem_limit‘512m’, cpu_period100000, cpu_quota50000, working_dir‘/workspace’, removeTrue # 容器停止后自动删除 ) self.logger.info(f“容器 {self.container.short_id} 已启动”) # 等待容器完全就绪 time.sleep(2) except docker.errors.ImageNotFound: self.logger.error(“未找到python:3.11-slim镜像请先执行 ‘docker pull python:3.11-slim’”) raise except Exception as e: self.logger.error(f“启动容器失败: {e}”) raise def execute_code(self, code: str, timeout: int 10) - dict: 在容器内执行Python代码返回结果字典 if not self.container: raise RuntimeError(“容器未启动”) # 将代码写入容器内的临时文件避免命令行转义问题 exec_cmd f“python -c {repr(code)}” # 注意简单代码可以复杂代码需处理换行符 # 更稳健的方式写入临时文件再执行 temp_file ‘/workspace/temp_code.py’ self.container.exec_run(f“sh -c ‘echo {repr(code)} {temp_file}’”) # 简化示例生产环境需处理多行代码 exec_result self.container.exec_run(f“python {temp_file}”, demuxTrue) # demux分离stdout和stderr stdout, stderr exec_result.output exit_code exec_result.exit_code # 清理临时文件 self.container.exec_run(f“rm -f {temp_file}”) return { ‘stdout’: stdout.decode(‘utf-8’, errors‘ignore’) if stdout else ‘’, ‘stderr’: stderr.decode(‘utf-8’, errors‘ignore’) if stderr else ‘’, ‘exit_code’: exit_code } def stop(self): 停止并清理容器 if self.container: self.container.stop() self.logger.info(f“容器 {self.container.short_id} 已停止”)4.2 智能体会话CodeActAgent这个类管理对话状态和与LLM的交互。import openai from typing import List, Dict, Any class CodeActAgent: def __init__(self, model“gpt-4”, system_promptNone): self.model model self.system_prompt system_prompt or self._default_system_prompt() self.conversation_history: List[Dict[str, str]] [ {“role”: “system”, “content”: self.system_prompt} ] self.sandbox DockerSandbox() self.sandbox.start() def _default_system_prompt(self): return “”“你是一个CodeAct智能体可以通过执行Python代码与一个安全的沙箱环境交互来解决问题。 规则 1. 你只能通过生成Python代码块来执行操作。 2. 代码块必须用 python 和 包裹。 3. 一次只生成一个代码块。执行后你会看到结果。 4. 严禁执行危险操作如删除系统文件、无限循环、访问网络等。 5. 根据执行结果进行分析并决定下一步是继续写代码还是任务完成。 现在开始用户会给你任务。请用代码行动来解决问题。“”“ def _extract_code(self, response: str) - str: 从LLM响应中提取Python代码块 import re pattern r‘python\s*(.*?)\s*’ matches re.findall(pattern, response, re.DOTALL) if matches: return matches[0].strip() return None def _format_observation(self, exec_result: dict) - str: 将代码执行结果格式化为观察文本 obs_lines [] if exec_result[‘exit_code’] 0: obs_lines.append(“代码执行成功。”) else: obs_lines.append(f“代码执行失败退出码{exec_result[‘exit_code’]}。”) if exec_result[‘stdout’]: obs_lines.append(f“标准输出\n{exec_result[‘stdout’]}”) if exec_result[‘stderr’]: obs_lines.append(f“标准错误\n{exec_result[‘stderr’]}”) return ‘\n’.join(obs_lines) def run(self, user_query: str, max_turns: int 10): 运行智能体循环 self.conversation_history.append({“role”: “user”, “content”: user_query}) print(f“用户: {user_query}”) for turn in range(max_turns): # 1. 调用LLM获取响应 try: response openai.ChatCompletion.create( modelself.model, messagesself.conversation_history, temperature0.2, # 低温度保证代码生成的稳定性 max_tokens1500 ) assistant_msg response.choices[0].message.content self.conversation_history.append({“role”: “assistant”, “content”: assistant_msg}) print(f“\n智能体[回合{turn1}]:\n{assistant_msg}”) except Exception as e: print(f“调用LLM失败: {e}”) break # 2. 提取并执行代码 code self._extract_code(assistant_msg) if code: print(f“\n执行代码:\n{code}”) exec_result self.sandbox.execute_code(code) observation self._format_observation(exec_result) print(f“\n执行结果:\n{observation}”) # 3. 将观察加入历史继续循环 self.conversation_history.append({“role”: “user”, “content”: f“观察{observation}”}) # 简单判断任务是否完成例如LLM在消息中说“任务完成” if “任务完成” in assistant_msg or “final answer” in assistant_msg.lower(): print(“\n智能体认为任务已完成。”) break else: # 如果没有提取到代码可能是LLM在做纯文本分析或任务已完结 print(“未检测到可执行代码块。智能体可能在进行总结或任务已结束。”) if turn 0: # 防止第一轮无代码就结束 break self.sandbox.stop() print(“\n会话结束。”)4.3 运行示例if __name__ “__main__”: agent CodeActAgent(model“gpt-4”) # 示例任务让智能体在工作区创建一个文件并写入内容 agent.run(“请你在工作区创建一个名为‘hello.txt’的文件并在其中写入‘Hello, CodeAct!’这句话。”)当你运行这段代码时智能体可能会生成如下交互用户: 请你在工作区创建一个名为‘hello.txt’的文件并在其中写入‘Hello, CodeAct!’这句话。 智能体[回合1]: 我将创建一个文件并写入内容。 python with open(‘hello.txt’, ‘w’) as f: f.write(‘Hello, CodeAct!’) print(‘文件创建并写入成功。’)执行代码: with open(‘hello.txt’, ‘w’) as f: f.write(‘Hello, CodeAct!’) print(‘文件创建并写入成功。’) 执行结果: 代码执行成功。 标准输出 文件创建并写入成功。 智能体[回合2]: 操作成功。文件‘hello.txt’已创建并写入了指定内容。任务完成。 未检测到可执行代码块。智能体可能在进行总结或任务已结束。 会话结束。## 5. 高级特性与优化方向 一个基础的CodeAct框架已经能完成很多任务。但要使其更强大、更实用还需要考虑以下高级特性和优化。 ### 5.1 会话持久化与状态管理 上面的示例中每次执行代码都在同一个容器会话中变量状态得以保留。但我们需要更精细的管理。 * **变量名空间管理**防止不同轮次代码中的变量冲突。可以考虑每次执行前在代码外层包裹一个函数或者使用独立的模块。 * **大文件/中间结果处理**智能体生成的数据文件可能很大。需要设计机制让LLM能知晓文件列表如通过os.listdir(‘.’)并能决定哪些是中间文件可删除哪些是最终输出。 * **长上下文支持**随着对话轮次增加历史记录会很长。需要做摘要或选择性遗忘以节省Token并保持LLM对关键信息的关注。 ### 5.2 工具增强与混合模式 纯粹的“一切皆代码”虽然强大但有时效率不高。例如获取当前时间、进行简单的数学计算让LLM生成代码import datetime; print(datetime.now())反而累赘。 * **内置工具函数**可以为智能体预置一些常用、安全的工具如get_current_time(), calculate(expression)。在系统提示词中告知智能体这些工具的存在及用法。LLM可以决定是使用工具还是生成代码。 * **混合行动**智能体的行动可以是“工具调用”或“代码执行”中的一种。框架需要能解析这两种不同的行动格式。 ### 5.3 更鲁棒的代码提取与验证 * **多代码块处理**有时LLM可能在一个回复中生成多个代码块例如一个块定义函数另一个块调用。需要设计策略是顺序执行还是只执行最后一个。 * **代码安全检查**在执行前可以对代码进行静态分析检查是否包含明显的危险模式如os.system(‘rm -rf /’), while True:。可以使用AST抽象语法树进行模式匹配。 python import ast class SecurityVisitor(ast.NodeVisitor): def visit_Call(self, node): if isinstance(node.func, ast.Attribute): if node.func.attr ‘system’ and isinstance(node.func.value, ast.Name) and node.func.value.id ‘os’: raise SecurityError(“检测到危险的os.system调用”) self.generic_visit(node) # 在execute_code前调用 tree ast.parse(code) visitor SecurityVisitor() visitor.visit(tree) ### 5.4 支持更复杂的任务类型 * **Web交互**集成无头浏览器如Playwright的控件让智能体能执行点击、输入、抓取等操作。这需要将浏览器控制API暴露给沙箱内的Python代码。 * **数据分析流水线**针对数据分析任务可以预装pandas, numpy, matplotlib等库。智能体可以完成从数据加载、清洗、分析到可视化的完整流程。 * **软件工程任务**如代码重构、单元测试生成、依赖项检查等。这需要智能体对代码结构有更深的理解。 ## 6. 实战避坑与经验分享 在实际部署和调试CodeAct类智能体的过程中我踩过不少坑也积累了一些经验。 ### 6.1 安全性是重中之重必须多层防护 1. **沙箱隔离是第一道防线**不要相信任何纯软件层面的沙箱。**Docker容器无特权模式是底线**。对于更高安全要求可以考虑gVisor、Kata Containers等具有更强隔离性的运行时。 2. **资源限制必须严格**CPU、内存、运行时间、磁盘空间、进程数、网络带宽全部都要设限。一个while True:循环就能让你的CPU打满。 3. **代码静态分析**在动态执行前进行AST级别的危险模式匹配过滤掉明显恶意的代码。虽然不能防住所有但能挡住大部分“小白”攻击。 4. **系统调用过滤**即使用了Docker也可以在容器内使用seccomp profile进一步限制可用的系统调用实现深度防御。 5. **输入输出净化**对LLM的输入用户指令和输出生成的代码进行必要的过滤防止提示词注入攻击。 ### 6.2 提示词工程决定智能体“智商” 系统提示词的质量直接决定了智能体是否好用。 * **明确行动边界**必须清晰、强硬地规定什么能做什么不能做。使用“必须”、“绝对禁止”等词汇。 * **提供优秀范例**在提示词中加入几个成功的交互示例Few-shot Learning能极大地引导LLM遵循正确的格式和行为模式。 * **引导结构化输出**除了要求代码块还可以要求LLM在代码前后用自然语言说明意图和解释结果这有助于调试和让用户理解智能体的思考过程。 * **处理模糊指令**用户可能会说“帮我处理一下那个文件”。需要在提示词中要求智能体在不确定时主动询问澄清比如“你指的是/workspace目录下的data.csv文件吗” ### 6.3 错误处理与稳定性优化 1. **LLM的“胡言乱语”**LLM有时会生成无法提取代码的回复或者生成语法无效的代码。需要设计重试机制。例如如果代码执行出错可以将错误信息连同“请修正你的代码”的指令一起重新发给LLM给予它2-3次自我修正的机会。 2. **超时与中断**代码执行可能卡死。必须为execute_code函数设置超时超时后强制终止执行进程并将“执行超时”反馈给LLM。 3. **会话状态恢复**如果因为意外导致智能体进程中断理想情况下应能恢复之前的会话状态对话历史、工作区文件。这需要设计持久化存储方案。 ### 6.4 性能与成本考量 1. **LLM API调用成本**CodeAct模式意味着多次LLM调用一轮思考代码生成算一次。对于复杂任务交互轮次可能很多成本不菲。需要设置最大轮次限制并优化提示词以减少不必要的来回。 2. **容器启动开销**为每个任务启动新容器有延迟。可以考虑容器池技术预热一批容器任务来时分配一个用完清理后放回池中。 3. **上下文长度**长对话历史会消耗大量Token。需要对历史进行压缩例如只保留最近N轮对话或者用另一个LLM对早期历史进行摘要。 CodeAct代表了一种让大语言模型从“思考者”迈向“行动者”的重要方向。它将编程这种最精确的指令形式赋予了AI极大地扩展了其解决问题的能力边界。实现一个健壮的CodeAct系统是一项涉及提示词工程、安全编程、系统设计和LLM应用的综合工程。虽然挑战不少但当你看到AI通过自己编写并执行的代码一步步完成一个真实世界任务时那种感觉是非常奇妙的。这个领域仍在快速发展未来的方向可能会集中在更安全的沙箱、更高效的人机协作模式以及更强大的跨领域任务规划能力上。对于开发者而言现在正是深入探索和构建此类智能体的好时机。