摘要：在编程世界里，有些技巧被认为是“禁忌之术”，它们强大到足以颠覆常规，但同时也伴随着巨大的风险。想象一下，如果一个 Python 函数在运行中，它的底层代码能够被实时、动态地改变，这听起来就像是科幻电影里的情节。然而，这并非虚构。本文将深入探讨一个“危险而迷人”

动态修改函数源代码

在编程世界里，有些技巧被认为是“禁忌之术”，它们强大到足以颠覆常规，但同时也伴随着巨大的风险。想象一下，如果一个 Python 函数在运行中，它的底层代码能够被实时、动态地改变，这听起来就像是科幻电影里的情节。然而，这并非虚构。本文将深入探讨一个“危险而迷人”的 Python 高级技巧：在运行时动态地修改函数的源代码。这个技巧不仅揭示了 Python 语言的强大可塑性，更在 AI 智能体（LLM agents）的开发中开辟了新的可能性，但也带来了不容忽视的严重安全隐患。

我将以一位资深技术专家的视角，为您拆解这一“邪恶”技巧的底层原理，展示它如何赋能一个名为 ToolBot 的 AI 工具，使其能够直接访问和操作当前运行环境中的变量和数据。同时，我们也将坦诚地讨论其背后的安全风险，并探讨如何在使用这一强大能力的同时，确保系统的稳健与安全。

在 Python 中，每一个函数都有一个特殊的.__code__属性。这个属性是一个代码对象（code object），它存储了函数编译后的字节码，以及文件名、行号等元信息。当我们定义一个函数时，Python 解释器会将其源代码编译成这个字节码，然后存储在.__code__属性中。例如，对于一个简单的函数：

它的something.__code__属性就指向一个特定的代码对象，其中包含了raise NotImplementedError这条指令的字节码。当something被调用时，解释器会执行这个代码对象中的字节码，从而引发一个NotImplementedError。

现在，如果我们想改变something函数的行为，让它变成一个乘法函数，我们该怎么做呢？我们不能直接修改.__code__属性，因为它通常是只读的。但我们可以重新生成一个新的代码对象。

这正是compile函数的作用。compile可以将一段 Python 源代码字符串编译成一个可执行的代码对象。它接受三个参数：

有了编译好的代码对象，下一步就是让它在我们的程序中生效。这就是exec函数登场的时刻。exec的作用是执行一段代码对象，并将其结果“注入”到指定的命名空间中。它也接受三个参数：

为了让新的函数定义生效，我们需要创建一个新的命名空间字典，然后将编译好的代码对象执行到这个字典中。例如：

这里的ns就是我们创建的“命名空间”。exec执行compiled代码对象后，会在ns字典中创建一个名为something的键，其对应的值就是我们新定义的函数。此时，ns["something"]就代表了我们全新的something函数。

最后，我们只需将旧的something函数替换为这个新生成的函数即可。

通过这三步——编译、执行、替换，我们成功地在运行时改变了一个 Python 函数的行为。

然而，这不仅仅是简单的猴子补丁（monkeypatching），更重要的是，它证明了我们可以编译一段 Python 函数定义的字符串，并让它访问特定命名空间中的变量，这包括当前全局命名空间中的所有变量。正是这个能力，为 AI 智能体的革命性突破奠定了基础。

尽管这个技巧看起来像是个“派对把戏”，但在我构建 AI 工具库LlamaBot的过程中，我发现它完美地解决了困扰我已久的难题。

在我的早期实现AgentBot中，我遇到了两个核心问题。首先，它的设计将工具选择、工具执行和用户响应生成等多个功能混杂在一起，导致代码结构混乱，难以维护。其次，也是最关键的，我的代码执行工具为了安全，被隔离在Docker 沙箱中。虽然这很安全，但却有一个致命的缺陷：沙箱中的代码无法访问我当前 Python 运行环境中的变量。

这就像是给了一个超级强大的计算器，但它无法读取你面前的数字。如果我想让 AI 分析一个我已经加载到内存中的 pandas DataFrame，AgentBot就无能为力了，除非我为每一种可能的操作都编写一个定制的工具，这显然是不可持续的。

为了解决这个问题，我重新设计了 AI 智能体，并创建了**ToolBot**。ToolBot的核心思想是：它只负责工具的选择，而不负责工具的执行。它会根据用户的请求，返回一个或多个推荐调用的工具（tool calls），然后将执行的控制权交还给外部环境。

这种设计的好处是显而易见的。它将 AI 的决策（选择哪个工具）与开发者对工具的控制（何时、何地、如何执行）清晰地分离。这为构建更灵活、更可控的“智能体程序”提供了基础。

基于ToolBot的新架构，我引入了一个名为**write_and_execute_code**的“超级工具”。这个工具就是上述 Python 技巧的完美应用。

write_and_execute_code工具的核心功能是：

write_and_execute_code的实现巧妙地利用了globals函数。当用户调用这个工具时，我将**globals字典**作为命名空间传递给exec函数。这意味着，LLM 生成的任何代码都能够直接引用和操作当前环境中的任何变量。

这彻底解决了AgentBot的痛点。现在，我不再需要为每个数据分析、数据清洗或图表绘制任务编写定制工具。我只需要教会 LLM 如何使用write_and_execute_code这个通用工具，并遵循其严格的代码生成指南。这些指南包括：

通过这种方式，LLM 能够根据我的需求，即时生成并执行代码，实现复杂的数据分析、计算、甚至图表可视化，而无需预先定义好每一种操作。这使得 ToolBot 变得前所未有的强大和通用。

在我的AgentBot早期实现中，代码是在一个受限的 Docker 容器中执行的，这为恶意代码提供了一个坚固的沙箱。即使代码试图删除我的文件或访问我的网络，它也只能在沙箱内部完成，无法对我的主机造成实质性伤害。

然而，write_and_execute_code恰恰相反。它完全放弃了沙箱，将 LLM 生成的代码直接在我的主机的当前 Python 进程中执行。这意味着，如果 LLM 输出了一段恶意代码，比如：

这段代码将能够直接访问我的文件系统，并立即执行，造成无法挽回的巨大损害。

LLM 的输出是不可预测的。尽管我们可以通过精心设计的提示词和指南来引导它，但不能百分之百保证它不会生成恶意代码。一个被精心设计的恶意提示，或者一个意外的“幻觉”输出，都可能导致灾难性的后果。

因此，在write_and_execute_code的当前版本中，我明确警告：不要将其用于任何严肃的生产环境。它目前只是一个强大的概念验证，一个展示 Python 语言可塑性的“危险玩具”。

为了解决这一核心安全问题，我正在探索使用一些更强大的工具，例如Restricted Python。RestrictedPython是一个 Python 库，它允许在受限的环境中执行 Python 代码，可以禁止对文件系统、网络等敏感资源的访问，从而在一定程度上实现安全与功能的平衡。

我的下一步计划是在write_and_execute_code中集成RestrictedPython，确保即使 LLM 生成了恶意代码，它也无法对我的系统造成伤害。这将在不牺牲核心功能的前提下，大大提升ToolBot的安全性。

回顾整个开发历程，我深刻地体会到，这个“黑客”技巧的发现和应用并非偶然，它是我在构建 LLM 智能体过程中的必然产物。

我发现，LLM 不仅能够生成代码，它还是一个强大的学习工具。通过与 LLM 的持续交流和提问，我能够快速探索新的编程概念、解决复杂的系统设计问题，甚至发现像compile和exec这样的“冷门”但强大的技巧。这种**“自学”**的能力，极大地加速了我的开发进程。

但同时，我也坚信，“自动化”的特权必须通过努力去赢得。在使用 LLM 进行自学和自动化开发时，我们必须深入理解其背后的原理，而不是仅仅停留在表面。只有当我们真正掌握了基础知识，才能有效地利用这些高级工具，并规避其潜在的风险。

这个“动态代码修改”的 Python 技巧，就像一把锋利的瑞士军刀，它既可以用来完成精密的任务，也可能造成无法预料的伤害。它让我们看到了 Python 运行时强大的可塑性，以及 LLM 在代码生成和动态执行方面所蕴含的巨大潜力。

ToolBot的诞生，以及write_and_execute_code这个工具的实现，为我们展示了 AI 智能体的未来蓝图。未来的 AI 将不仅仅是回答问题的文本生成器，它们将能够理解我们的意图，生成可执行的代码，并直接与我们的计算环境进行交互。它们将能够成为强大的数据分析师、自动化工程师和创意伙伴。

然而，这条道路充满了挑战。在追求强大能力的同时，我们必须时刻将安全放在首位。通过不断地探索、学习和迭代，我相信我们能够找到一个完美的平衡点，既能释放 AI 的全部潜力，又能确保我们系统的安全和稳健。这是一个充满希望、也需要我们保持警惕的时代。

来源：高效码农