在真实开发中，大模型的 Function Calling（函数调用）不是“模型直接执行代码”，而是一套“声明-生成-解析-执行-反馈”的安全闭环机制。以下是我在项目中（如智能编程助手、自动化运维 Agent）的实际做法：

一、核心流程（生产级标准做法）

二、具体步骤

1. 注册函数

在调用 LLM 前，向模型描述有哪些函数可用（OpenAI 格式为例）：

const tools = [{
  type: "function",
  function: {
    name: "read_file",
    description: "读取项目中的文件内容",
    parameters: {
      type: "object",
      properties: {
        path: { type: "string", description: "文件相对路径，如 src/main.ts" }
      },
      required: ["path"]
    }
  }
}];

关键：参数必须有明确 schema，防止模型传非法值。

2. 调用 LLM 并启用工具

const response = await openai.chat.completions.create({
  model: "gpt-4o",
  messages: [...],
  tools,               // ← 注册的函数列表
  tool_choice: "auto"  // 模型可自主决定是否调用
});

3. 解析模型返回

模型不会执行函数，而是返回结构化调用请求：

{
  "tool_calls": [
    {
      "id": "call_abc123",
      "function": {
        "name": "read_file",
        "arguments": "{"path":"src/utils.ts"}"
      }
    }
  ]
}

4. 安全执行函数

• 绝不直接 eval！而是通过白名单映射：

const toolMap = {
  read_file: (args) => {
    // 1. 校验路径是否在项目目录内
    if (!args.path.startsWith("src/")) throw new Error("Access denied");
    // 2. 读取文件（沙箱隔离）
    return fs.readFileSync(args.path, "utf8");
  }
};

const result = await toolMap[funcName](parsedArgs);

• 所有操作在受限环境中执行（如 Docker 沙箱、只读文件系统）。

5. 将结果反馈给模型

把函数执行结果作为“tool message”送回对话：

messages.push({
  role: "tool",
  tool_call_id: "call_abc123",
  content: result  // 文件内容
});

→ 模型基于此生成下一步（继续调用 or 最终回答）。

三、真实项目中的关键实践

问题	解决方案
模型传错参数（如 path: "../../../etc/passwd"）	参数校验 + 路径归一化 + 白名单目录
函数执行超时/卡死	设置 timeout（如 5s） + AbortController
敏感操作（如删文件）	禁止高危函数，或需用户二次确认
多次调用循环	限制最大 tool_calls 次数（如 5 次）
调试困难	记录完整 trace：prompt → tool_call → result → final answer

四、为什么不用模型直接“写代码执行”？

• 安全风险极高（任意代码执行 = RCE 漏洞）；
• 不可控（无法限流、审计、降级）；
• 不可靠（模型可能生成语法错误代码）。

正确做法：Function Calling 是“受控 API 调用”，不是“代码生成执行” 。

总结：

在实际项目中，大模型的 Function Calling 是一个安全代理机制：

1. 我们先向模型声明可用函数及其参数 schema；
2. 模型返回结构化调用请求（非执行）；
3. 后端严格校验参数、权限、路径，在沙箱中执行真实函数；
4. 将结果反馈给模型，形成多轮推理闭环。

核心原则：模型只负责“决策”，不负责“执行” ——这是生产系统安全落地的底线。

海云前端丨前端开发丨简历面试辅导丨求职陪跑

设计一个开源的 Code Editor SDK（比如对标 Monaco、CodeMirror 6 或用于嵌入 AI 编程能力），核心目标是：让开发者能灵活集成、深度定制，又不至于被复杂性压垮。

结合我在构建内部 Web IDE 和 AI 编码插件的经验，我会从 “基础能力 + 扩展机制 + AI 友好” 三个维度设计 API，以下是关键暴露点（真实可用、非理论）：

一、核心编辑器控制 API

interface EditorSDK {
  // 1. 内容读写
  getValue(): string;
  setValue(code: string): void;
  getSelection(): SelectionRange;
  replaceSelection(replacement: string): void;

  // 2. 光标与位置
  getCursorPosition(): Position;
  setCursorPosition(pos: Position): void;

  // 3. 文件/语言管理
  setLanguage(lang: 'typescript' | 'python' | string): void;
  setFileName(name: string): void; // 影响 linting、completions

  // 4. 只读 / 可编辑控制
  setReadOnly(readonly: boolean): void;
}

为什么重要：这是所有上层功能（如 AI 生成、diff 应用）的基础原子操作。

二、事件系统

onDidChangeContent(callback: (e: { value: string }) => void): Disposable;
onDidChangeCursor(callback: (pos: Position) => void): Disposable;
onDidFocus(callback: () => void): Disposable;
onDidBlur(callback: () => void): Disposable;

💡 实战场景：AI 功能监听 onDidChangeContent 实现“实时解释当前代码”。

三、装饰与可视化扩展

// 1. 行内装饰（如 AI 建议、错误波浪线）
addDecoration(range: Range, options: {
  className?: string;
  tooltip?: string;
  inlineWidget?: ReactComponent; // 关键！支持嵌入按钮/加载态
}): string; // 返回 decorationId

removeDecoration(id: string): void;

// 2. 行号区域标记（如断点、Git diff）
setLineMarker(line: number, markerType: 'error' | 'warning' | 'ai-suggestion'): void;

真实用例：在 AI 生成代码上方插入 “💡 Apply” 按钮，点击后调用 replaceSelection。

四、AI 友好型高级 API

// 1. 安全的代码补全注入（不污染原生 IntelliSense）
provideInlineCompletion(
  callback: (context: { prefix: string, suffix: string, language: string }) 
    => Promise<{ text: string, range?: Range }>
): Disposable;

// 2. 获取结构化上下文（供外部 LLM 使用）
getContext(): {
  fileName: string;
  language: string;
  code: string;
  cursorOffset: number;
  selectedText?: string;
  imports: string[]; // 通过轻量 AST 解析提取
};

// 3. 应用带差异的代码变更（安全合并）
applyDiff(diff: { start: Position, end: Position, newText: string }): void;

🔑 这些 API 让 AI 工具（如 Cursor 插件）无需侵入编辑器内核，就能实现智能补全、上下文感知生成。

五、扩展机制

registerCommand(id: string, handler: (...args) => void): void;
registerCompletionProvider(provider: CompletionProvider): Disposable;
registerHoverProvider(provider: HoverProvider): Disposable;

类似 VS Code 的 Extension API，但更轻量，适合 Web 场景。

六、性能与安全兜底

• 沙箱模式：enableSandbox() 禁用 eval、worker 等高危操作；
• 资源控制：setMaxFileSize(5 * 1024 * 1024) 防止大文件卡死；
• Web Worker 支持：语法高亮、linting 默认走 worker，不阻塞主线程。

总结：

我会围绕 “可控、可观察、可扩展、AI-ready” 四个原则设计 API：

• 暴露 内容、光标、语言 等基础操作；
• 提供 事件监听 + 装饰系统 支持富交互；
• 专为 AI 场景设计 上下文提取、安全补全、diff 应用 接口；
• 通过 插件机制 允许深度定制，同时内置 性能与安全兜底。

目标是：让开发者 5 分钟集成一个编辑器，5 天打造一个智能编程产品——这才是开源 SDK 的真正价值。

海云前端丨前端开发丨简历面试辅导丨求职陪跑