Python运行时代码动态注入：AI代理的灵活性与安全边界的重塑

Python运行时的高度可塑性，允许动态编译与执行代码，为构建更灵活的AI代理提供了核心技术支撑。具体而言，通过`compile()`和`exec()`函数，可以将在运行时动态生成的Python代码字符串编译成可执行的字节码，并将其注入到指定的命名空间中，从而实现对现有Python函数行为的重定义或新功能的即时加载。

这一技术在LlamaBot的ToolBot组件中得到了实际应用。ToolBot通过将LLM的工具选择与代码执行分离，极大地增强了系统的灵活性和可控性。尤其是在`write_and_execute_code`工具中，它允许LLM生成的Python代码直接访问并利用当前Python运行时的全局变量、数据结构和函数，这使得AI代理能够执行复杂的数据分析、计算、可视化以及调用任意现有代码，而无需预先定义大量特定的工具函数。这种方式打破了传统AI代理在代码执行环境上的限制，为构建更强大的“Agentic”程序开辟了道路。

然而，此模式的安全性隐患不容忽视。与之前在Docker沙箱中执行代码的方案相比，直接在当前运行时环境中执行LLM生成的代码，暴露了更大的安全风险，恶意代码可能对本地系统造成严重损害。尽管可以通过Restricted Python等技术进行一定程度的缓解，但在当前阶段，此方法仍不建议用于关键任务。未来的发展方向将侧重于提升代码执行的安全性，同时保持其动态性和强大的功能。

Wicked Python trickery - dynamically patch a Python function’s source code at runtime

Eric J Ma's WebsiteEric J. Ma