工具运行时
Hermes 工具是自注册函数,按工具集分组,通过统一的注册表/分发系统执行。
主要相关文件:
tools/registry.pymodel_tools.pytoolsets.pytools/terminal_tool.pytools/environments/*
工具注册模型
每个工具模块在导入时调用 registry.register(...)。
model_tools.py 负责导入/发现工具模块,并构建供模型使用的 schema 列表。
registry.register() 的工作原理
tools/ 下的每个工具文件在模块级别调用 registry.register() 来声明自身。函数签名如下:
registry.register(
name="terminal", # 唯一工具名称(用于 API schema)
toolset="terminal", # 工具所属的工具集
schema={...}, # OpenAI function-calling schema(描述、参数)
handler=handle_terminal, # 工具被调用时执行的函数
check_fn=check_terminal, # 可选:返回 True/False 表示工具是否可用
requires_env=["SOME_VAR"], # 可选:所需的环境变量(用于 UI 显示)
is_async=False, # handler 是否为异步协程
description="Run commands", # 人类可读的描述
emoji="💻", # 用于 spinner/进度显示的 emoji
)
每次调用都会创建一个 ToolEntry,以工具名称为键存储在单例 ToolRegistry._tools 字典中。如果不同工具集之间出现名称冲突,会记录警告并以后注册的为准。
发现机制:discover_builtin_tools()
当 model_tools.py 被导入时,它调用来自 tools/registry.py 的 discover_builtin_tools()。该函数通过 AST 解析扫描每个 tools/*.py 文件,查找包含顶层 registry.register() 调用的模块,然后导入它们:
# tools/registry.py (simplified)
def discover_builtin_tools(tools_dir=None):
tools_path = Path(tools_dir) if tools_dir else Path(__file__).parent
for path in sorted(tools_path.glob("*.py")):
if path.name in {"__init__.py", "registry.py", "mcp_tool.py"}:
continue
if _module_registers_tools(path): # AST check for top-level registry.register()
importlib.import_module(f"tools.{path.stem}")
这种自动发现机制意味着新工具文件会被自动识别——无需手动维护列表。AST 检查只匹配顶层的 registry.register() 调用(不匹配函数内部的调用),因此 tools/ 中的辅助模块不会被导入。
每次导入都会触发该模块的 registry.register() 调用。可选工具中的错误(例如图片生成工具缺少 fal_client)会被捕获并记录——不会影响其他工具的加载。
核心工具发现完成后,还会发现 MCP 工具和插件工具:
- MCP 工具 —
tools.mcp_tool.discover_mcp_tools()读取 MCP 服务器配置,并注册来自外部服务器的工具。 - 插件工具 —
hermes_cli.plugins.discover_plugins()加载可能注册额外工具的用户/项目/pip 插件。
工具可用性检查(check_fn)
每个工具可以选择提供一个 check_fn——一个返回 True(工具可用)或 False(不可用)的可调用对象。常见检查包括:
- API 密钥是否存在 — 例如
lambda: bool(os.environ.get("SERP_API_KEY"))用于网页搜索 - 服务是否运行 — 例如检查 Honcho 服务器是否已配置
- 二进制是否安装 — 例如验证浏览器工具所需的
playwright是否可用
当 registry.get_definitions() 为模型构建 schema 列表时,它会运行每个工具的 check_fn():
# Simplified from registry.py
if entry.check_fn:
try:
available = bool(entry.check_fn())
except Exception:
available = False # Exceptions = unavailable
if not available:
continue # Skip this tool entirely
关键行为:
- 检查结果按调用次缓存——如果多个工具共享同一个
check_fn,它只运行一次。 check_fn()中的异常被视为"不可用"(失败安全)。is_toolset_available()方法检查工具集的check_fn是否通过,用于 UI 显示和工具集解析。
工具集解析
工具集是命名的工具包。Hermes 通过以下方式解析工具集:
- 显式的启用/禁用工具集列表
- 平台预设(
hermes-cli、hermes-telegram等) - 动态 MCP 工具集
- 精选的特定用途集合,如
hermes-acp
get_tool_definitions() 如何过滤工具
主要入口为 model_tools.get_tool_definitions(enabled_toolsets, disabled_toolsets, quiet_mode):
-
若提供了
enabled_toolsets— 只包含这些工具集中的工具。每个工具集名称通过resolve_toolset()解析,将复合工具集展开为单个工具名称。 -
若提供了
disabled_toolsets— 从所有工具集开始,减去禁用的工具集。 -
若两者均未提供 — 包含所有已知工具集。
-
注册表过滤 — 将解析后的工具名称集合传给
registry.get_definitions(),后者应用check_fn过滤并返回 OpenAI 格式的 schema。 -
动态 schema 修补 — 过滤后,
execute_code和browser_navigate的 schema 会被动态调整,只引用实际通过过滤的工具(防止模型幻觉出不可用的工具)。
旧版工具集名称
带有 _tools 后缀的旧版工具集名称(例如 web_tools、terminal_tools)通过 _LEGACY_TOOLSET_MAP 映射到其现代工具名称,以保持向后兼容性。
分发
在运行时,工具通过中央注册表进行分发,但部分 Agent 级工具(如记忆/待办事项/会话搜索处理)例外,由 Agent 循环直接处理。
分发流程:模型 tool_call → handler 执行
当模型返回 tool_call 时,流程如下:
Model response with tool_call
↓
run_agent.py agent loop
↓
model_tools.handle_function_call(name, args, task_id, user_task)
↓
[Agent-loop tools?] → handled directly by agent loop (todo, memory, session_search, delegate_task)
↓
[Plugin pre-hook] → invoke_hook("pre_tool_call", ...)
↓
registry.dispatch(name, args, **kwargs)
↓
Look up ToolEntry by name
↓
[Async handler?] → bridge via _run_async()
[Sync handler?] → call directly
↓
Return result string (or JSON error)
↓
[Plugin post-hook] → invoke_hook("post_tool_call", ...)
错误包装
所有工具执行在两个层级被包装在错误处理中:
-
registry.dispatch()— 捕获 handler 抛出的任何异常,并以 JSON 形式返回{"error": "Tool execution failed: ExceptionType: message"}。 -
handle_function_call()— 将整个分发过程包装在次级 try/except 中,返回{"error": "Error executing tool_name: message"}。
这确保模型始终收到格式良好的 JSON 字符串,而不是未处理的异常。
Agent 循环工具
四个工具在注册表分发之前被拦截,因为它们需要 Agent 级别的状态(TodoStore、MemoryStore 等):
todo— 规划/任务跟踪memory— 持久化记忆写入session_search— 跨会话召回delegate_task— 生成子 Agent 会话
这些工具的 schema 仍在注册表中注册(供 get_tool_definitions 使用),但如果分发流程意外直接到达它们,其 handler 会返回一个存根错误。
异步桥接
当工具 handler 是异步的时,_run_async() 将其桥接到同步分发路径:
- CLI 路径(无运行中的事件循环) — 使用持久化事件循环以保持缓存的异步客户端存活
- 网关路径(有运行中的事件循环) — 通过
asyncio.run()创建一次性线程 - 工作线程(并行工具) — 使用存储在线程本地存储中的每线程持久化事件循环
DANGEROUS_PATTERNS 审批流程
终端工具集成了 tools/approval.py 中定义的危险命令审批系统:
-
模式检测 —
DANGEROUS_PATTERNS是一个(正则表达式, 描述)元组列表,覆盖破坏性操作:- 递归删除(
rm -rf) - 文件系统格式化(
mkfs、dd) - SQL 破坏性操作(
DROP TABLE、不带WHERE的DELETE FROM) - 系统配置覆写(
> /etc/) - 服务操控(
systemctl stop) - 远程代码执行(
curl | sh) - fork 炸弹、进程终止等
- 递归删除(
-
检测 — 在执行任何终端命令之前,
detect_dangerous_command(command)会检查所有模式。 -
审批提示 — 若找到匹配:
- CLI 模式 — 交互提示询问用户是否批准、拒绝或永久允许
- 网关模式 — 异步审批回调将请求发送到消息平台
- 智能审批 — 可选地,辅助 LLM 可自动批准匹配模式但实际低风险的命令(例如
rm -rf node_modules/虽匹配"递归删除",但实际上是安全的)
-
会话状态 — 审批按会话跟踪。一旦您在某会话中批准了"递归删除",后续的
rm -rf命令不会再次提示。 -
永久允许列表 — "永久允许"选项会将该模式写入
config.yaml的command_allowlist,跨会话持久化。
终端/运行时环境
终端系统支持多种后端:
- local(本地)
- docker
- ssh
- singularity
- modal
- daytona
- vercel_sandbox
还支持:
- 每任务 cwd 覆盖
- 后台进程管理
- PTY 模式
- 危险命令的审批回调
并发
工具调用可以顺序执行,也可以并发执行,具体取决于工具组合和交互需求。