CodeAct：让AI通过代码执行实现自主行动的智能体框架

1. 项目概述：CodeAct，一个让AI“动手”执行代码的智能体框架

最近在AI智能体这个圈子里，一个叫“CodeAct”的项目引起了我的注意。它不是一个简单的代码生成工具，也不是一个只能聊天的助手。CodeAct的核心思想，是让大型语言模型（LLM）从一个“纸上谈兵”的规划者，变成一个能“动手操作”的执行者。简单来说，它让AI不仅能写出解决问题的代码，还能在一个受控的、安全的沙箱环境中，自动执行这些代码，观察执行结果，并根据结果动态调整后续的行动计划。

这听起来有点像让AI拥有了一个“命令行终端”或“Jupyter Notebook”的交互能力。传统的AI代码生成，比如Copilot，是帮你补全代码片段，写完后还是需要你手动去运行、调试。而CodeAct的目标是构建一个闭环：AI自己生成代码 -> 执行代码 -> 分析输出 -> 决定下一步做什么。这个框架特别适合用来构建那些需要与外部环境（如文件系统、数据库、API、甚至操作系统）进行复杂、多步骤交互的自主智能体。

如果你正在研究AI智能体、自动化脚本、任务分解与执行，或者对如何让大模型更“接地气”地解决实际问题感兴趣，那么CodeAct的设计思路和实现细节，绝对值得你花时间深入了解。它不是一个玩具，而是一个试图将大语言模型的推理能力与代码的执行能力深度融合的工程实践。

2. 核心设计理念：从“规划-执行”到“一体化代码行动”

在深入代码之前，我们必须先理解CodeAct背后最关键的设计哲学转变。这决定了整个项目的架构和它能解决的问题边界。

2.1 传统智能体范式的瓶颈

在CodeAct出现之前，主流的AI智能体框架（如LangChain、AutoGPT的早期版本）大多遵循一种“规划-执行”的分离式架构。

1. 规划模块：LLM作为一个“大脑”，根据用户指令，分解出一个步骤列表（Plan）。例如，用户说“分析一下项目日志”，大脑可能规划出：1. 找到日志文件；2. 读取文件内容；3. 提取错误信息；4. 统计错误类型。
2. 执行模块：一个独立的“执行器”负责调用各种工具（Tools）来逐步完成规划。比如，调用read_file工具执行步骤1和2，调用parse_text工具执行步骤3，调用count函数执行步骤4。

这种架构的问题在于：

• 规划僵化：LLM在规划阶段，基于不完整的信息（它不知道文件具体在哪、日志格式如何）做出的计划，很可能第一步就卡住（比如文件路径不对）。
• 反馈延迟：执行器遇到错误后，需要将错误信息重新抛回给规划模块，规划模块再重新规划。这个循环不仅慢，而且LLM可能无法从简单的错误信息中准确理解症结所在。
• 工具依赖：需要为每一个可能的操作（读文件、写文件、执行命令、查询数据库）预先编写好工具函数。这限制了智能体的能力边界，遇到未预定义的操作就无法处理。

2.2 CodeAct的“一体化”范式

CodeAct提出了一个更简洁、更强大的范式：让LLM直接使用一种通用“工具”——代码（特别是Python代码）来行动。

• 行动即代码：智能体的每一个“动作”（Action），就是一段可执行的代码。比如，动作不是“调用read_file工具”，而是直接写一段with open(‘/path/to/log.txt’, ‘r’) as f: content = f.read()的Python代码。
• 环境即解释器：框架提供一个安全的代码执行沙箱（Sandbox）。智能体生成的代码会被送到这个沙箱中运行。
• 观察即输出：代码执行后的所有标准输出、标准错误、返回值，乃至产生的文件变化，都会作为“观察”（Observation）反馈给LLM。
• 循环驱动：LLM根据当前任务目标、历史对话、以及上一步代码执行的“观察”，决定下一步要生成什么代码。这就形成了一个“思考 -> 编码 -> 执行 -> 观察 -> 再思考”的紧密闭环。

这种设计的优势是颠覆性的：

1. 表达能力无限：Python及其庞大的生态库（如os,json,requests,pandas）成为了智能体的“武器库”。理论上，任何能用Python实现的操作，智能体都能直接完成，无需预先定义工具。
2. 动态适应性强：智能体可以根据上一步的执行结果即时调整策略。比如读取文件发现是JSON格式，它下一段代码就可以直接用json.loads来解析；如果是CSV，则用pandas.read_csv。这种灵活性是预定义工具集难以企及的。
3. 简化架构：整个系统核心只需要两大部分：一个强大的LLM（用于生成代码和理解结果）和一个安全的代码执行器。架构变得异常清晰。

注意：能力越强大，责任也越大。让AI直接执行代码，最大的挑战就是安全性。一个恶意或错误的指令，可能导致删除文件、耗尽资源或执行危险操作。因此，CodeAct的沙箱设计是重中之重，我们会在后面详细拆解。

3. 架构深度解析：安全沙箱与智能体循环

理解了理念，我们来看CodeAct是如何把它落地的。其核心架构可以分解为三个关键部分：智能体核心、代码执行沙箱和交互控制循环。

3.1 安全代码执行沙箱的实现

这是CodeAct的基石，也是技术难度最高的部分。一个合格的沙箱必须做到：隔离性、资源限制、访问控制。

1. 容器化隔离（推荐方案）最彻底的隔离方式是使用容器技术，如Docker。CodeAct可以为每个会话或每个任务启动一个全新的、轻量级的Docker容器。

• 镜像选择：使用一个仅包含Python解释器和必要基础库（如os,sys,json）的极简镜像，例如python:3.11-slim。
• 文件系统隔离：将容器内的文件系统与主机完全隔离。可以通过Docker卷（Volume）将一个临时目录或特定任务目录挂载到容器内，作为智能体的“工作区”。智能体只能看到和影响这个工作区内的文件。
• 网络隔离：默认禁用容器网络访问，或仅允许访问特定的、安全的API端点。防止智能体向任意外部地址发送数据或发起攻击。
• 实现示例：

  import docker client = docker.from_env() # 创建并运行一个容器 container = client.containers.run( ‘python:3.11-slim’, ‘sleep 3600’, # 保持容器运行 detach=True, volumes={‘/tmp/codeact_workspace’: {‘bind’: ‘/workspace’, ‘mode’: ‘rw’}}, network_disabled=True, # 禁用网络 mem_limit=‘256m’, # 内存限制 cpu_period=100000, cpu_quota=50000, # CPU限制（50%） working_dir=‘/workspace’ ) # 后续通过 exec 在容器内执行代码 exec_result = container.exec_run(‘python -c “print(1+1)”’) print(exec_result.output.decode())

2. 系统调用拦截与过滤对于无法使用Docker的环境，或者需要更细粒度控制的情况，可以使用系统调用拦截。Python的seccomp、ptrace或像pysandbox这样的库可以限制子进程能执行的系统调用。

• 禁止危险调用：如fork,execve,kill,unlink（删除文件）,chmod等。
• 限制文件操作：通过chroot或路径白名单，将文件访问限制在特定目录下。
• 资源限制：使用resource模块设置CPU时间、内存用量、子进程数量等上限。

  import resource # 设置最大运行时间（秒） resource.setrlimit(resource.RLIMIT_CPU, (1, 1)) # 软硬限制均为1秒 # 设置最大内存（字节） resource.setrlimit(resource.RLIMIT_AS, (256 * 1024 * 1024, 256 * 1024 * 1024)) # 256MB

3. 纯Python模拟环境还有一种思路是构建一个“模拟”的Python环境，用纯Python对象模拟文件系统、网络请求等。例如，智能体的open()函数调用实际上被重定向到一个虚拟文件系统（VFS）的操作。这种方法最安全，但实现最复杂，且智能体的能力受限于模拟环境的完整性。它更适合特定领域（如教育、数据分析）的受限环境。

实操心得：在生产环境中，强烈建议使用Docker容器方案。它提供了操作系统级别的隔离，安全性最高，且技术成熟。你需要仔细设计容器的生命周期管理（创建、执行、销毁），避免容器堆积造成资源泄漏。同时，务必设置合理的资源限制（CPU、内存、进程数），防止单个智能体任务拖垮整个主机。

3.2 智能体核心与交互循环

在安全的沙箱之上，CodeAct需要构建一个驱动LLM进行“代码行动”的循环。这个循环通常由以下几个组件构成：

1. 系统提示词（System Prompt）这是智能体的“宪法”，定义了它的角色、能力、行动规范和约束。一个典型的CodeAct系统提示词会包含：

• 角色定义：“你是一个可以执行Python代码来解决问题的AI助手。”
• 能力说明：“你拥有一个安全的Python执行环境。你可以通过生成代码块来执行任何Python操作，包括文件IO、数据处理、调用API等。”
• 行动格式：“你必须将所有要执行的代码放在一个单独的、格式化的代码块中。不要在同一响应中执行多个代码块。”
• 安全约束：“你绝对不能执行可能危害系统或数据的代码，如删除根目录文件、发起网络攻击、无限循环等。”
• 输出规范：“代码执行后，你会看到输出。请根据输出进行分析，并决定下一步行动。”

2. 交互状态管理智能体需要维护一个包含以下内容的状态：

• 对话历史：用户消息、AI的回复（包含代码和自然语言）、代码执行结果。
• 工作区上下文：当前沙箱工作目录下的文件列表、之前代码定义的变量（在同一个会话/沙箱中，变量状态是保持的）等。
• 任务目标：用户最初提出的请求。

3. 循环执行流程

初始化：用户输入任务 -> 构建包含系统提示和历史的对话上下文 -> 发送给LLM。 循环开始： 1. LLM响应：LLM生成一段包含自然语言解释和代码块（标记为 ```python ... ```）的回复。 2. 代码提取：从响应中精确提取出代码块内容。 3. 代码执行：将代码发送到安全沙箱执行。 4. 结果捕获：捕获标准输出(stdout)、标准错误(stderr)和返回值(return value)。 5. 观察生成：将捕获的结果格式化成一段清晰的文本观察（如“代码执行成功。输出：xxx。错误：无。”）。 6. 状态更新：将LLM的回复和“观察”一起追加到对话历史中。 7. 判断终止：判断任务是否完成（如LLM明确说“任务完成”，或代码执行结果满足了任务目标）。若未完成，回到步骤1；若完成，则退出循环，向用户返回最终结果。

4. 错误处理与重试

• 代码语法/运行时错误：执行失败，将详细的错误信息（Traceback）作为“观察”反馈给LLM。LLM可以据此调试并生成修正后的代码。
• 沙箱资源超限：执行因超时或内存溢出被终止，反馈“执行超时”或“内存不足”信息。
• LLM偏离轨道：如果LLM连续多次生成不相关代码或无法推进任务，需要介入，例如重置对话或给出更具体的指引。

4. 核心功能模块实现详解

基于上述架构，我们可以动手实现一个简化但功能完整的CodeAct核心。这里我们以使用Docker沙箱和OpenAI API为例。

4.1 沙箱管理器（DockerSandbox）

这个类负责Docker容器的生命周期和代码执行。

import docker import time import logging class DockerSandbox: def __init__(self, workspace_host_path=‘/tmp/codeact_workspace’): self.client = docker.from_env() self.workspace_host = workspace_host_path self.container = None self.logger = logging.getLogger(__name__) def start(self): """启动一个新的容器""" # 确保宿主机工作目录存在 os.makedirs(self.workspace_host, exist_ok=True) try: self.container = self.client.containers.run( ‘python:3.11-slim’, ‘tail -f /dev/null’, # 一个保持容器运行的命令 detach=True, volumes={self.workspace_host: {‘bind’: ‘/workspace’, ‘mode’: ‘rw’}}, network_disabled=True, mem_limit=‘512m’, cpu_period=100000, cpu_quota=50000, working_dir=‘/workspace’, remove=True # 容器停止后自动删除 ) self.logger.info(f“容器 {self.container.short_id} 已启动”) # 等待容器完全就绪 time.sleep(2) except docker.errors.ImageNotFound: self.logger.error(“未找到python:3.11-slim镜像，请先执行 ‘docker pull python:3.11-slim’”) raise except Exception as e: self.logger.error(f“启动容器失败: {e}”) raise def execute_code(self, code: str, timeout: int = 10) -> dict: """在容器内执行Python代码，返回结果字典""" if not self.container: raise RuntimeError(“容器未启动”) # 将代码写入容器内的临时文件，避免命令行转义问题 exec_cmd = f“python -c {repr(code)}” # 注意：简单代码可以，复杂代码需处理换行符 # 更稳健的方式：写入临时文件再执行 temp_file = ‘/workspace/temp_code.py’ self.container.exec_run(f“sh -c ‘echo {repr(code)} > {temp_file}’”) # 简化示例，生产环境需处理多行代码 exec_result = self.container.exec_run(f“python {temp_file}”, demux=True) # demux分离stdout和stderr stdout, stderr = exec_result.output exit_code = exec_result.exit_code # 清理临时文件 self.container.exec_run(f“rm -f {temp_file}”) return { ‘stdout’: stdout.decode(‘utf-8’, errors=‘ignore’) if stdout else ‘’, ‘stderr’: stderr.decode(‘utf-8’, errors=‘ignore’) if stderr else ‘’, ‘exit_code’: exit_code } def stop(self): """停止并清理容器""" if self.container: self.container.stop() self.logger.info(f“容器 {self.container.short_id} 已停止”)

4.2 智能体会话（CodeActAgent）

这个类管理对话状态和与LLM的交互。

import openai from typing import List, Dict, Any class CodeActAgent: def __init__(self, model=“gpt-4”, system_prompt=None): self.model = model self.system_prompt = system_prompt or self._default_system_prompt() self.conversation_history: List[Dict[str, str]] = [ {“role”: “system”, “content”: self.system_prompt} ] self.sandbox = DockerSandbox() self.sandbox.start() def _default_system_prompt(self): return “”“你是一个CodeAct智能体，可以通过执行Python代码与一个安全的沙箱环境交互来解决问题。 规则： 1. 你只能通过生成Python代码块来执行操作。 2. 代码块必须用 ```python 和 ``` 包裹。 3. 一次只生成一个代码块。执行后你会看到结果。 4. 严禁执行危险操作（如删除系统文件、无限循环、访问网络等）。 5. 根据执行结果进行分析，并决定下一步是继续写代码还是任务完成。 现在开始，用户会给你任务。请用代码行动来解决问题。“”“ def _extract_code(self, response: str) -> str: """从LLM响应中提取Python代码块""" import re pattern = r‘```python\s*(.*?)\s*```’ matches = re.findall(pattern, response, re.DOTALL) if matches: return matches[0].strip() return None def _format_observation(self, exec_result: dict) -> str: """将代码执行结果格式化为观察文本""" obs_lines = [] if exec_result[‘exit_code’] == 0: obs_lines.append(“代码执行成功。”) else: obs_lines.append(f“代码执行失败，退出码：{exec_result[‘exit_code’]}。”) if exec_result[‘stdout’]: obs_lines.append(f“标准输出：\n{exec_result[‘stdout’]}”) if exec_result[‘stderr’]: obs_lines.append(f“标准错误：\n{exec_result[‘stderr’]}”) return ‘\n’.join(obs_lines) def run(self, user_query: str, max_turns: int = 10): """运行智能体循环""" self.conversation_history.append({“role”: “user”, “content”: user_query}) print(f“用户: {user_query}”) for turn in range(max_turns): # 1. 调用LLM获取响应 try: response = openai.ChatCompletion.create( model=self.model, messages=self.conversation_history, temperature=0.2, # 低温度，保证代码生成的稳定性 max_tokens=1500 ) assistant_msg = response.choices[0].message.content self.conversation_history.append({“role”: “assistant”, “content”: assistant_msg}) print(f“\n智能体[回合{turn+1}]:\n{assistant_msg}”) except Exception as e: print(f“调用LLM失败: {e}”) break # 2. 提取并执行代码 code = self._extract_code(assistant_msg) if code: print(f“\n执行代码:\n{code}”) exec_result = self.sandbox.execute_code(code) observation = self._format_observation(exec_result) print(f“\n执行结果:\n{observation}”) # 3. 将观察加入历史，继续循环 self.conversation_history.append({“role”: “user”, “content”: f“观察：{observation}”}) # 简单判断任务是否完成（例如，LLM在消息中说“任务完成”） if “任务完成” in assistant_msg or “final answer” in assistant_msg.lower(): print(“\n智能体认为任务已完成。”) break else: # 如果没有提取到代码，可能是LLM在做纯文本分析或任务已完结 print(“未检测到可执行代码块。智能体可能在进行总结或任务已结束。”) if turn > 0: # 防止第一轮无代码就结束 break self.sandbox.stop() print(“\n会话结束。”)

4.3 运行示例

if __name__ == “__main__”: agent = CodeActAgent(model=“gpt-4”) # 示例任务：让智能体在工作区创建一个文件，并写入内容 agent.run(“请你在工作区创建一个名为‘hello.txt’的文件，并在其中写入‘Hello, CodeAct!’这句话。”)

当你运行这段代码时，智能体可能会生成如下交互：

用户: 请你在工作区创建一个名为‘hello.txt’的文件，并在其中写入‘Hello, CodeAct!’这句话。 智能体[回合1]: 我将创建一个文件并写入内容。 ```python with open(‘hello.txt’, ‘w’) as f: f.write(‘Hello, CodeAct!’) print(‘文件创建并写入成功。’)

执行代码: with open(‘hello.txt’, ‘w’) as f: f.write(‘Hello, CodeAct!’) print(‘文件创建并写入成功。’) 执行结果: 代码执行成功。 标准输出： 文件创建并写入成功。 智能体[回合2]: 操作成功。文件‘hello.txt’已创建并写入了指定内容。任务完成。 未检测到可执行代码块。智能体可能在进行总结或任务已结束。 会话结束。

## 5. 高级特性与优化方向 一个基础的CodeAct框架已经能完成很多任务。但要使其更强大、更实用，还需要考虑以下高级特性和优化。 ### 5.1 会话持久化与状态管理 上面的示例中，每次执行代码都在同一个容器会话中，变量状态得以保留。但我们需要更精细的管理。 * **变量名空间管理**：防止不同轮次代码中的变量冲突。可以考虑每次执行前，在代码外层包裹一个函数，或者使用独立的模块。 * **大文件/中间结果处理**：智能体生成的数据文件可能很大。需要设计机制让LLM能知晓文件列表（如通过`os.listdir(‘.’)`），并能决定哪些是中间文件（可删除），哪些是最终输出。 * **长上下文支持**：随着对话轮次增加，历史记录会很长。需要做摘要或选择性遗忘，以节省Token并保持LLM对关键信息的关注。 ### 5.2 工具增强与混合模式 纯粹的“一切皆代码”虽然强大，但有时效率不高。例如，获取当前时间、进行简单的数学计算，让LLM生成代码`import datetime; print(datetime.now())`反而累赘。 * **内置工具函数**：可以为智能体预置一些常用、安全的工具，如`get_current_time()`, `calculate(expression)`。在系统提示词中告知智能体这些工具的存在及用法。LLM可以决定是使用工具还是生成代码。 * **混合行动**：智能体的行动可以是“工具调用”或“代码执行”中的一种。框架需要能解析这两种不同的行动格式。 ### 5.3 更鲁棒的代码提取与验证 * **多代码块处理**：有时LLM可能在一个回复中生成多个代码块（例如，一个块定义函数，另一个块调用）。需要设计策略是顺序执行还是只执行最后一个。 * **代码安全检查**：在执行前，可以对代码进行静态分析，检查是否包含明显的危险模式（如`os.system(‘rm -rf /’)`, `while True:`）。可以使用AST（抽象语法树）进行模式匹配。 ```python import ast class SecurityVisitor(ast.NodeVisitor): def visit_Call(self, node): if isinstance(node.func, ast.Attribute): if node.func.attr == ‘system’ and isinstance(node.func.value, ast.Name) and node.func.value.id == ‘os’: raise SecurityError(“检测到危险的os.system调用”) self.generic_visit(node) # 在execute_code前调用 tree = ast.parse(code) visitor = SecurityVisitor() visitor.visit(tree) ``` ### 5.4 支持更复杂的任务类型 * **Web交互**：集成无头浏览器（如Playwright）的控件，让智能体能执行点击、输入、抓取等操作。这需要将浏览器控制API暴露给沙箱内的Python代码。 * **数据分析流水线**：针对数据分析任务，可以预装`pandas`, `numpy`, `matplotlib`等库。智能体可以完成从数据加载、清洗、分析到可视化的完整流程。 * **软件工程任务**：如代码重构、单元测试生成、依赖项检查等。这需要智能体对代码结构有更深的理解。 ## 6. 实战避坑与经验分享 在实际部署和调试CodeAct类智能体的过程中，我踩过不少坑，也积累了一些经验。 ### 6.1 安全性是重中之重，必须多层防护 1. **沙箱隔离是第一道防线**：不要相信任何纯软件层面的沙箱。**Docker容器（无特权模式）是底线**。对于更高安全要求，可以考虑gVisor、Kata Containers等具有更强隔离性的运行时。 2. **资源限制必须严格**：CPU、内存、运行时间、磁盘空间、进程数、网络带宽，全部都要设限。一个`while True:`循环就能让你的CPU打满。 3. **代码静态分析**：在动态执行前，进行AST级别的危险模式匹配，过滤掉明显恶意的代码。虽然不能防住所有，但能挡住大部分“小白”攻击。 4. **系统调用过滤**：即使用了Docker，也可以在容器内使用seccomp profile进一步限制可用的系统调用，实现深度防御。 5. **输入输出净化**：对LLM的输入（用户指令）和输出（生成的代码）进行必要的过滤，防止提示词注入攻击。 ### 6.2 提示词工程决定智能体“智商” 系统提示词的质量直接决定了智能体是否好用。 * **明确行动边界**：必须清晰、强硬地规定什么能做，什么不能做。使用“必须”、“绝对禁止”等词汇。 * **提供优秀范例**：在提示词中加入几个成功的交互示例（Few-shot Learning），能极大地引导LLM遵循正确的格式和行为模式。 * **引导结构化输出**：除了要求代码块，还可以要求LLM在代码前后用自然语言说明意图和解释结果，这有助于调试和让用户理解智能体的思考过程。 * **处理模糊指令**：用户可能会说“帮我处理一下那个文件”。需要在提示词中要求智能体在不确定时主动询问澄清，比如“你指的是`/workspace`目录下的`data.csv`文件吗？” ### 6.3 错误处理与稳定性优化 1. **LLM的“胡言乱语”**：LLM有时会生成无法提取代码的回复，或者生成语法无效的代码。需要设计重试机制。例如，如果代码执行出错，可以将错误信息连同“请修正你的代码”的指令一起重新发给LLM，给予它2-3次自我修正的机会。 2. **超时与中断**：代码执行可能卡死。必须为`execute_code`函数设置超时，超时后强制终止执行进程，并将“执行超时”反馈给LLM。 3. **会话状态恢复**：如果因为意外导致智能体进程中断，理想情况下应能恢复之前的会话状态（对话历史、工作区文件）。这需要设计持久化存储方案。 ### 6.4 性能与成本考量 1. **LLM API调用成本**：CodeAct模式意味着多次LLM调用（一轮思考+代码生成算一次）。对于复杂任务，交互轮次可能很多，成本不菲。需要设置最大轮次限制，并优化提示词以减少不必要的来回。 2. **容器启动开销**：为每个任务启动新容器有延迟。可以考虑容器池技术，预热一批容器，任务来时分配一个，用完清理后放回池中。 3. **上下文长度**：长对话历史会消耗大量Token。需要对历史进行压缩，例如只保留最近N轮对话，或者用另一个LLM对早期历史进行摘要。 CodeAct代表了一种让大语言模型从“思考者”迈向“行动者”的重要方向。它将编程这种最精确的指令形式赋予了AI，极大地扩展了其解决问题的能力边界。实现一个健壮的CodeAct系统是一项涉及提示词工程、安全编程、系统设计和LLM应用的综合工程。虽然挑战不少，但当你看到AI通过自己编写并执行的代码，一步步完成一个真实世界任务时，那种感觉是非常奇妙的。这个领域仍在快速发展，未来的方向可能会集中在更安全的沙箱、更高效的人机协作模式以及更强大的跨领域任务规划能力上。对于开发者而言，现在正是深入探索和构建此类智能体的好时机。