跳到主要内容

工具运行时

Hermes 工具是自注册函数,按工具集分组,通过统一的注册表/分发系统执行。

主要相关文件:

  • tools/registry.py
  • model_tools.py
  • toolsets.py
  • tools/terminal_tool.py
  • tools/environments/*

工具注册模型

每个工具模块在导入时调用 registry.register(...)

model_tools.py 负责导入/发现工具模块,并构建供模型使用的 schema 列表。

registry.register() 的工作原理

tools/ 下的每个工具文件在模块级别调用 registry.register() 来声明自身。函数签名如下:

registry.register(
name="terminal", # 唯一工具名称(用于 API schema)
toolset="terminal", # 工具所属的工具集
schema={...}, # OpenAI function-calling schema(描述、参数)
handler=handle_terminal, # 工具被调用时执行的函数
check_fn=check_terminal, # 可选:返回 True/False 表示工具是否可用
requires_env=["SOME_VAR"], # 可选:所需的环境变量(用于 UI 显示)
is_async=False, # handler 是否为异步协程
description="Run commands", # 人类可读的描述
emoji="💻", # 用于 spinner/进度显示的 emoji
)

每次调用都会创建一个 ToolEntry,以工具名称为键存储在单例 ToolRegistry._tools 字典中。如果不同工具集之间出现名称冲突,会记录警告并以后注册的为准。

发现机制:discover_builtin_tools()

model_tools.py 被导入时,它调用来自 tools/registry.pydiscover_builtin_tools()。该函数通过 AST 解析扫描每个 tools/*.py 文件,查找包含顶层 registry.register() 调用的模块,然后导入它们:

# tools/registry.py (simplified)
def discover_builtin_tools(tools_dir=None):
tools_path = Path(tools_dir) if tools_dir else Path(__file__).parent
for path in sorted(tools_path.glob("*.py")):
if path.name in {"__init__.py", "registry.py", "mcp_tool.py"}:
continue
if _module_registers_tools(path): # AST check for top-level registry.register()
importlib.import_module(f"tools.{path.stem}")

这种自动发现机制意味着新工具文件会被自动识别——无需手动维护列表。AST 检查只匹配顶层的 registry.register() 调用(不匹配函数内部的调用),因此 tools/ 中的辅助模块不会被导入。

每次导入都会触发该模块的 registry.register() 调用。可选工具中的错误(例如图片生成工具缺少 fal_client)会被捕获并记录——不会影响其他工具的加载。

核心工具发现完成后,还会发现 MCP 工具和插件工具:

  1. MCP 工具tools.mcp_tool.discover_mcp_tools() 读取 MCP 服务器配置,并注册来自外部服务器的工具。
  2. 插件工具hermes_cli.plugins.discover_plugins() 加载可能注册额外工具的用户/项目/pip 插件。

工具可用性检查(check_fn

每个工具可以选择提供一个 check_fn——一个返回 True(工具可用)或 False(不可用)的可调用对象。常见检查包括:

  • API 密钥是否存在 — 例如 lambda: bool(os.environ.get("SERP_API_KEY")) 用于网页搜索
  • 服务是否运行 — 例如检查 Honcho 服务器是否已配置
  • 二进制是否安装 — 例如验证浏览器工具所需的 playwright 是否可用

registry.get_definitions() 为模型构建 schema 列表时,它会运行每个工具的 check_fn()

# Simplified from registry.py
if entry.check_fn:
try:
available = bool(entry.check_fn())
except Exception:
available = False # Exceptions = unavailable
if not available:
continue # Skip this tool entirely

关键行为:

  • 检查结果按调用次缓存——如果多个工具共享同一个 check_fn,它只运行一次。
  • check_fn() 中的异常被视为"不可用"(失败安全)。
  • is_toolset_available() 方法检查工具集的 check_fn 是否通过,用于 UI 显示和工具集解析。

工具集解析

工具集是命名的工具包。Hermes 通过以下方式解析工具集:

  • 显式的启用/禁用工具集列表
  • 平台预设(hermes-clihermes-telegram 等)
  • 动态 MCP 工具集
  • 精选的特定用途集合,如 hermes-acp

get_tool_definitions() 如何过滤工具

主要入口为 model_tools.get_tool_definitions(enabled_toolsets, disabled_toolsets, quiet_mode)

  1. 若提供了 enabled_toolsets — 只包含这些工具集中的工具。每个工具集名称通过 resolve_toolset() 解析,将复合工具集展开为单个工具名称。

  2. 若提供了 disabled_toolsets — 从所有工具集开始,减去禁用的工具集。

  3. 若两者均未提供 — 包含所有已知工具集。

  4. 注册表过滤 — 将解析后的工具名称集合传给 registry.get_definitions(),后者应用 check_fn 过滤并返回 OpenAI 格式的 schema。

  5. 动态 schema 修补 — 过滤后,execute_codebrowser_navigate 的 schema 会被动态调整,只引用实际通过过滤的工具(防止模型幻觉出不可用的工具)。

旧版工具集名称

带有 _tools 后缀的旧版工具集名称(例如 web_toolsterminal_tools)通过 _LEGACY_TOOLSET_MAP 映射到其现代工具名称,以保持向后兼容性。

分发

在运行时,工具通过中央注册表进行分发,但部分 Agent 级工具(如记忆/待办事项/会话搜索处理)例外,由 Agent 循环直接处理。

分发流程:模型 tool_call → handler 执行

当模型返回 tool_call 时,流程如下:

Model response with tool_call

run_agent.py agent loop

model_tools.handle_function_call(name, args, task_id, user_task)

[Agent-loop tools?] → handled directly by agent loop (todo, memory, session_search, delegate_task)

[Plugin pre-hook] → invoke_hook("pre_tool_call", ...)

registry.dispatch(name, args, **kwargs)

Look up ToolEntry by name

[Async handler?] → bridge via _run_async()
[Sync handler?] → call directly

Return result string (or JSON error)

[Plugin post-hook] → invoke_hook("post_tool_call", ...)

错误包装

所有工具执行在两个层级被包装在错误处理中:

  1. registry.dispatch() — 捕获 handler 抛出的任何异常,并以 JSON 形式返回 {"error": "Tool execution failed: ExceptionType: message"}

  2. handle_function_call() — 将整个分发过程包装在次级 try/except 中,返回 {"error": "Error executing tool_name: message"}

这确保模型始终收到格式良好的 JSON 字符串,而不是未处理的异常。

Agent 循环工具

四个工具在注册表分发之前被拦截,因为它们需要 Agent 级别的状态(TodoStore、MemoryStore 等):

  • todo — 规划/任务跟踪
  • memory — 持久化记忆写入
  • session_search — 跨会话召回
  • delegate_task — 生成子 Agent 会话

这些工具的 schema 仍在注册表中注册(供 get_tool_definitions 使用),但如果分发流程意外直接到达它们,其 handler 会返回一个存根错误。

异步桥接

当工具 handler 是异步的时,_run_async() 将其桥接到同步分发路径:

  • CLI 路径(无运行中的事件循环) — 使用持久化事件循环以保持缓存的异步客户端存活
  • 网关路径(有运行中的事件循环) — 通过 asyncio.run() 创建一次性线程
  • 工作线程(并行工具) — 使用存储在线程本地存储中的每线程持久化事件循环

DANGEROUS_PATTERNS 审批流程

终端工具集成了 tools/approval.py 中定义的危险命令审批系统:

  1. 模式检测DANGEROUS_PATTERNS 是一个 (正则表达式, 描述) 元组列表,覆盖破坏性操作:

    • 递归删除(rm -rf
    • 文件系统格式化(mkfsdd
    • SQL 破坏性操作(DROP TABLE、不带 WHEREDELETE FROM
    • 系统配置覆写(> /etc/
    • 服务操控(systemctl stop
    • 远程代码执行(curl | sh
    • fork 炸弹、进程终止等
  2. 检测 — 在执行任何终端命令之前,detect_dangerous_command(command) 会检查所有模式。

  3. 审批提示 — 若找到匹配:

    • CLI 模式 — 交互提示询问用户是否批准、拒绝或永久允许
    • 网关模式 — 异步审批回调将请求发送到消息平台
    • 智能审批 — 可选地,辅助 LLM 可自动批准匹配模式但实际低风险的命令(例如 rm -rf node_modules/ 虽匹配"递归删除",但实际上是安全的)
  4. 会话状态 — 审批按会话跟踪。一旦您在某会话中批准了"递归删除",后续的 rm -rf 命令不会再次提示。

  5. 永久允许列表 — "永久允许"选项会将该模式写入 config.yamlcommand_allowlist,跨会话持久化。

终端/运行时环境

终端系统支持多种后端:

  • local(本地)
  • docker
  • ssh
  • singularity
  • modal
  • daytona
  • vercel_sandbox

还支持:

  • 每任务 cwd 覆盖
  • 后台进程管理
  • PTY 模式
  • 危险命令的审批回调

并发

工具调用可以顺序执行,也可以并发执行,具体取决于工具组合和交互需求。

相关文档