AI如何长出手脚
图解导读:工具让AI能做事,权限决定它能做多少
模型本体擅长生成文字;一旦接上工具、技能和插件,它就能搜索网页、读取文件、操作表格、调用服务。所谓"AI长出手脚",不是模型突然有了魔法,而是它获得了连接外部世界的接口。
因此,最小权限原则会变得非常重要。总结文本可以自动执行,发送邮件可能需要确认,删除文件、支付费用、公开发布通常必须禁止或严格审批。不是不信任AI,而是任何会产生现实后果的动作都需要边界。
模型本身能做什么,不能做什么
一个纯粹的语言模型,能做的事情归结为一件:根据输入的文字,生成输出的文字。
| 模型本体擅长的 | 需要工具才能做的 |
|---|---|
| 理解和生成文本 | 读取实时数据 |
| 翻译、摘要、问答 | 访问互联网 |
| 推理、代码生成 | 操作文件系统 |
| 风格转换、创意写作 | 执行代码 |
| 结构化输出生成 | 发送消息、调用外部服务 |
模型只能处理信息,不能改变现实。这不是缺陷,而是架构设计。改变现实的能力来自工具,而工具的使用必须受到控制。
理解这个边界非常重要:当你在ChatGPT里问"今天武汉天气怎么样",如果它给了你一个回答,这个回答要么来自工具调用(搜索),要么来自编造(幻觉)。纯模型本身不可能"知道"今天的天气。
Tool Use:让AI调用外部能力
Tool Use的核心:让模型在生成文字之外,还可以请求调用一个外部工具。
Tool Use的执行过程
- 你问AI:"今天武汉天气怎么样?"
- 模型判断需要工具,生成结构化请求:
{"tool": "get_weather", "city": "武汉"} - 运行时层调用真正的天气API
- 结果返回模型
- 模型用自然语言回答你
模型负责决策,工具负责执行,两者分工明确。 就像一个管理者和一个技术员工的关系 -- 管理者决定"我们需要这个数据",技术员工负责"去把数据拿回来"。
同一个模型在不同产品中能做的事差别很大,原因不是模型不同,而是配备的工具不同。就像同一个司机,开轿车和开卡车能做的事情完全不同。中国信通院关于智能体的文章把"使用工具"列为大模型智能体的重要能力之一,认为它能帮助大模型克服"有脑无手"的短板[1]。
MCP:AI工具世界的"USB-C"
MCP(Model Context Protocol)是Anthropic在2024年底发布的一个开放标准,让AI应用和外部工具用统一的方式沟通。Anthropic官方说明称,MCP旨在为AI助手连接数据源、业务工具和开发环境提供通用开放标准[2]。
在MCP出现之前,每个AI产品接入每个工具都需要单独的适配器。这就像早期的手机充电线 -- 每个品牌一种接口。MCP就是AI工具世界的"USB-C":一个标准接口适配所有工具。
三个角色:
- MCP Host -- 你使用的AI应用(如Claude Desktop、Cursor)
- MCP Client -- 嵌入Host中的通信组件
- MCP Server -- 包装了具体工具能力的服务
MCP Server提供三种能力:
- 工具(Tools) -- AI可以主动调用的功能(动词):搜索、发送、计算
- 资源(Resources) -- AI可以读取的数据源(名词):文件、数据库、API返回值
- 提示模板(Prompts) -- 使用指导:告诉AI如何最有效地使用这些工具
Tool -> Skill -> Plugin 的层次
| 层次 | 定义 | 类比 |
|---|---|---|
| Tool | 单个功能(一个API调用) | 单个音符 |
| Skill | 多个Tool的编排 + 领域知识 | 一首乐曲 |
| Plugin | Tool + Skill + 认证 + UI | 完整的乐队演出 |
Skills的价值
你可以把自己的专业经验"教给"AI。新闻传播学生可以写一份审稿Skill:检查五个W是否完整、数据来源是否可靠、标题是否准确。法学生可以写一份合同审查Skill:检查主体资格、关键条款、违约责任和争议解决。模型提供通用智能,Skill提供领域规范 -- 两者结合产生的效果远大于任何一方单独的能力。
Hooks:关键节点的守护者
Hook在AI行为的关键节点设置自动触发的检查。不是AI主动发起的,而是事件驱动的自动控制。
- 安全检查Hook:阻止AI访问敏感目录
- 代码质量Hook:AI修改代码后自动运行格式化检查
- 费用监控Hook:Token消耗超预算时暂停执行
- 内容审核Hook:AI生成的对外内容自动经过敏感词检查
Hook就像高速公路上的护栏。正常行驶时你感受不到它的存在,但当你偏离车道时,它会把你拦住。
权限与最小权限原则
最小权限原则
任何实体在执行任务时,只应该被授予完成该任务所必需的最小权限。AI只需要读你的日历?不要给它修改权限。只需要访问一个仓库?不要授权所有仓库。只需要读取文件?不要给写入权限。
OAuth是标准化的授权协议:你允许AI在特定范围内代表你访问服务,但不需要把密码给它。这就像你给酒店前台一把只能打开你房间的门卡,而不是酒店的万能钥匙。如果你用过微信登录第三方App时弹出的授权确认页面("允许该应用获取你的昵称和头像"),那就是OAuth在日常生活中的体现。
实用准则:
- 授权前仔细阅读权限范围
- 优先选择只读权限
- 定期清理不再使用的授权
- 敏感数据使用本地模型
全国网络安全标准化技术委员会在2024年发布的《生成式人工智能服务安全基本要求》中,对语料安全、模型安全、安全措施和安全评估提出了具体要求[3]。把这些要求落实到普通用户身上,就是尽量减少授权范围、保留人工确认节点、定期检查授权状态。
No-code自动化
Zapier、Make、n8n等平台让非工程背景的用户通过可视化界面搭建AI工作流。国内的类似平台包括Coze(字节跳动)、智谱清言的工作流功能等。
实用场景
每天自动检索最新论文 -> AI生成摘要和相关度评估 -> 高相关度论文发送到你的邮箱。整个流程不需要写一行代码。
或者:客户咨询 -> AI自动分类问题类型 -> 匹配知识库中的标准回答 -> 需要人工处理的转发给对应同事。
本章核心回顾
- 纯粹的语言模型只能"文字进、文字出",工具是跨越边界的桥梁
- Tool Use:模型决策 + 工具执行的协作机制
- MCP是AI工具连接的标准化协议
- Skill把领域知识封装为可复用能力,Plugin是完整能力包
- 最小权限原则:只授予完成任务所需的最少权限
- No-code平台让普通学生也能搭建AI工作流
AI要读我的日历才能帮我安排会议,直接给它所有权限吧 -- 读写邮件、联系人、文件都开放,方便以后用。
'最小权限原则'在AI工具使用中意味着什么?
MCP(Model Context Protocol)的作用类似于什么?
设想你的专业领域中一个重复性的工作流程。试着设计一个No-code自动化方案:触发条件是什么?中间需要AI做什么?最终输出是什么?哪些环节需要人工审核?
参考文献
中国信通院董晓飞等. (2024). 智能体推动大模型应用普惠向实. https://finance.sina.com.cn/roll/2024-11-29/doc-incxsxxw8904248.shtml ↩︎
Anthropic. (2024). Introducing the Model Context Protocol. https://www.anthropic.com/news/model-context-protocol ↩︎
全国网络安全标准化技术委员会. (2024).《生成式人工智能服务安全基本要求》(TC260-003). https://www.tc260.org.cn/upload/2024-03-01/1709282398070082466.pdf ↩︎