夜雨聆风
Claude Code 源码深度拆解② | 40+工具模块:Bash作为通用适配器的设计哲学
为什么Claude Code不给模型100个专项工具,而是把Bash当作万能适配器?
一、问题的起点:Agent需要多少工具?
构建AI Agent时,一个本能的思路是:给模型配备尽可能多的专项工具——写Python有Python工具,操作Git有Git工具,查询数据库有数据库工具,发邮件有邮件工具……
这条路的尽头是什么?Claude Code源码给出的答案是:40个工具就够了,其中最核心的是一个——BashTool。
翻开泄露的源码,/src/tools/目录下整齐排列着40多个工具模块:
tools/├── BashTool.ts # Shell命令执行(9707行)├── FileEditTool.ts # 文件编辑├── FileReadTool.ts # 文件读取├── FileWriteTool.ts # 文件写入├── GrepTool.ts # 文本搜索(基于ripgrep)├── GlobTool.ts # 文件名模式匹配├── AgentTool.ts # 子Agent生成├── MCPTool.ts # MCP协议集成├── WebFetchTool.ts # 网页抓取├── WebSearchTool.ts # 网络搜索├── TodoWriteTool.ts # 任务列表管理├── AskUserTool.ts # 向用户提问└── ...(共40+个)表面上看是“40个工具”,但深入源码会发现一个反直觉的设计:BashTool一个文件就占了9707行代码,比其他所有工具加起来都复杂。为什么?
因为BashTool不是“又一个工具”——它是通用适配器,是连接模型能力与操作系统能力的桥梁。
二、工具系统的模块化设计
2.1 每个工具都是自包含的独立单元
Claude Code的工具系统采用了严格的模块化设计。以BashTool.ts为例,每个工具文件都遵循统一的结构:
// 简化的工具接口定义(基于源码推断)interface Tool { name: string; description: string; // 不是简单的一句话 inputSchema: z.ZodSchema; // Zod v4 严格验证 permissionLevel: Permission; // 独立权限门控 execute: (input: any, context: ToolContext) => Promise<ToolResult>; // 可选的生命周期钩子 onApprove?: () => void; onReject?: () => void;}关键设计点:
- 无共享可变状态
:工具之间不通过全局变量通信,每次调用都是独立的 - Schema即文档
: inputSchema不仅是验证层,更是模型理解工具能力的“说明书” - 权限内嵌
:每个工具自带权限声明,不依赖全局策略
2.2 工具描述是一门工程艺术
Claude Code的工具描述不是简单的函数签名注释,而是精心调优的prompt工程产物。以BashTool的描述为例:
// 来自源码的description字段(重构)description: `Execute a bash command in the user's shell.WHEN TO USE THIS TOOL:- When you need to run any CLI command: git, npm, python, docker, etc.- When you need to inspect the file system: ls, cat, find, tree- When you need to install dependencies or run scripts- When FileReadTool is not enough and you need more complex file operationsWHEN NOT TO USE THIS TOOL:- For simple file reading: use FileReadTool (faster and safer)- For searching code: use GrepTool (optimized for code search)IMPORTANT:- Commands run in a persistent shell session. Environment variables and working directory persist between calls.- Use \`&&\` to chain commands, \`;\` for sequential execution.- Long-running commands will be terminated after 30 seconds unless you explicitly request background execution.OUTPUT:- Returns stdout, stderr, and exit code.- Stdout truncated at 10000 characters.- Stderr is NOT automatically considered an error. Check exit code.`这种描述的工程价值:
- 告诉模型“什么时候用”比告诉模型“怎么用”更重要
- 明确“什么时候不用”防止模型滥用工具
- 声明副作用(持久化shell会话)让模型建立正确的心智模型
- 输出格式说明让模型能正确解析结果
对Agent开发的启发:工具描述就是产品力。同样的模型,工具描述写得好,成功率能提升一个档次。
三、BashTool:9707行的通用适配器
3.1 为什么要用Bash作为万能适配器?
这是一个反直觉但极其优雅的设计选择。假设你给Agent配备以下专项工具:
- PythonTool: 执行Python代码- NodeTool: 执行Node.js代码 - GitCommitTool: 提交Git- GitPushTool: 推送Git- NpmInstallTool: 安装npm包- DockerBuildTool: 构建Docker镜像...问题是:
- 永远不够
:开发者总会用到你没封装的工具 - 维护成本爆炸
:每个CLI工具的更新都需要同步更新你的封装 - 模型学习成本高
:100个工具意味着100段描述要读 - 权限管理复杂
:每个工具都要单独配置权限策略
Claude Code的做法是:只给Bash,让模型自己组合。
// 模型可以这样用BashToolawait bash({ command: "git status --porcelain" })await bash({ command: "npm test 2>&1 | grep -i fail" })await bash({ command: "python -c 'import sys; print(sys.version)'" })await bash({ command: "docker ps --format 'table {{.Names}}\t{{.Status}}'" })Bash成为了任何CLI工具的代理。模型不需要知道有GitTool,它只需要知道“我想看git状态,用git status”。
3.2 BashTool的安全架构:22个验证器
但Bash也是最危险的工具——它能做任何事。所以Claude Code为BashTool构建了最复杂的安全层,横跨3个文件共9707行代码:
BashTool.ts (核心逻辑)├── BashCommandParser.ts (AST解析)├── BashPermissionChecker.ts (权限检查)└── 22个独立验证器每条bash命令执行前,经过以下流程:
用户输入命令 ↓┌─────────────────────────────┐│ tree-sitter WASM解析AST │ ← 将命令字符串解析为语法树└─────────────────────────────┘ ↓┌─────────────────────────────┐│ 22个验证器逐一检查 ││ - CommandInjectionChecker │ 检查命令注入│ - FileWriteChecker │ 检查文件写入│ - NetworkAccessChecker │ 检查网络访问│ - PrivilegeEscalationChecker│ 检查提权尝试│ - ... (共22个) │└─────────────────────────────┘ ↓┌─────────────────────────────┐│ 权限门控决策 ││ - 允许: 直接执行 ││ - 询问: 弹出用户确认 ││ - 拒绝: 返回错误 │└─────────────────────────────┘ ↓ 执行命令关键代码片段(基于源码推断):
class BashPermissionChecker { private validators: CommandValidator[] = [ new CommandInjectionValidator(), new FileSystemValidator(), new NetworkValidator(), new PrivilegeValidator(), new DestructiveCommandValidator(), // rm -rf, dd, mkfs... new PackageManagerValidator(), new GitForceValidator(), // git push --force // ... 共22个 ]; async check(command: string, context: ToolContext): Promise<PermissionResult> { const ast = await this.parser.parse(command); for (const validator of this.validators) { const result = validator.check(ast, context); if (result.risk === RiskLevel.REJECT) { return { allowed: false, reason: result.reason }; } if (result.risk === RiskLevel.ASK) { return { allowed: 'ask', reason: result.reason }; } } return { allowed: true }; }}3.3 一个真实的解析器差异漏洞
源码中记录了一个值得深思的安全漏洞:
// 旧解析器将 \r 视为命令分隔符const OLD_PARSER_DELIMITERS = [';', '&&', '||', '\r'];// 但Bash不认为 \r 是分隔符,它只是空白字符// 攻击者可构造:// harmless_cmd\rrm -rf /// 旧解析器: 看到\r,认为"harmless_cmd"是一个独立命令,检查通过// 实际Bash: 执行 harmless_cmd 然后执行 rm -rf /更关键的是,源码注释显示:旧解析器并未退役,仍在8个文件中做安全决策。
// 源码中的注释// TODO: Phase out old parser entirely. Currently still used in:// - BashPermissionChecker.ts (legacy path)// - CommandSanitizer.ts// - ... 6 more files// Tracked in SEC-1234这告诉我们:即便是顶级AI公司,安全债务也是真实存在的。
四、工具调用流程:从模型输出到执行结果
4.1 完整的工具调用链路
┌──────────────────────────────────────────────────────────┐│ QueryEngine(TAOR循环) │└──────────────────────────────────────────────────────────┘ │ ▼ ┌───────────────────────────────┐ │ 模型返回: tool_use 块 │ │ { │ │ "name": "Bash", │ │ "input": { │ │ "command": "git status" │ │ } │ │ } │ └───────────────────────────────┘ │ ▼ ┌───────────────────────────────┐ │ ToolRegistry.get("Bash") │ │ - 验证inputSchema │ │ - 检查permissionLevel │ └───────────────────────────────┘ │ ▼ ┌───────────────────────────────┐ │ BashTool.execute() │ │ - 22个验证器检查 │ │ - 用户确认(如需要) │ │ - 执行命令 │ └───────────────────────────────┘ │ ▼ ┌───────────────────────────────┐ │ 返回 ToolResult │ │ { │ │ "stdout": "...", │ │ "stderr": "...", │ │ "exitCode": 0 │ │ } │ └───────────────────────────────┘ │ ▼ ┌───────────────────────────────┐ │ 注入回上下文,继续TAOR循环 │ └───────────────────────────────┘4.2 工具注册表的设计
// 简化的ToolRegistry实现class ToolRegistry { private tools: Map<string, Tool> = new Map(); register(tool: Tool) { // 每个工具独立注册 this.tools.set(tool.name, tool); } get(name: string): Tool | undefined { return this.tools.get(name); } // 生成给模型的工具列表描述 generateToolListForPrompt(): string { const descriptions: string[] = []; for (const tool of this.tools.values()) { descriptions.push(this.formatToolDescription(tool)); } return descriptions.join('\n\n---\n\n'); } private formatToolDescription(tool: Tool): string { // 这里的格式直接影响模型对工具的理解 return `## ${tool.name}${tool.description}**Input Schema:**\`\`\`json${JSON.stringify(tool.inputSchema.shape, null, 2)}\`\`\``; }}五、对Agent开发的核心启示
5.1 工具设计的三条原则
从Claude Code的工具系统可以提炼出三条原则:
原则一:能力原语优于专项工具
❌ 错误做法:给模型50个专项工具✅ 正确做法:只给Read/Write/Execute/Connect四种原语原则二:工具描述决定工具效果
❌ 错误做法:description: "Execute a bash command"✅ 正确做法:包含WHENTO USE、WHENNOTTO USE、副作用说明、输出格式原则三:安全内嵌于工具而非外包于框架
❌ 错误做法:所有工具共用一个全局安全检查器✅ 正确做法:每个工具自带权限声明,危险工具自带多层验证5.2 Bash作为通用适配器的适用场景
|
|
|
|
|---|---|---|
|
|
|
ls
cat, find, grep 等已经足够成熟 |
|
|
|
git
|
|
|
|
npm
pip, cargo 统一通过shell调用 |
|
|
|
python
node 直接运行 |
|
|
|
|
|
|
|
|
|
|
|
|
5.3 你自己的Agent如何借鉴
// 一个简化的Agent工具系统示例class MyAgentToolSystem { private tools: Tool[] = []; constructor() { // 只注册核心工具 this.registerTool(new BashTool({ allowedCommands: ['git', 'npm', 'python', 'node', 'ls', 'cat'], blockedCommands: ['rm -rf', 'sudo', 'curl'], })); this.registerTool(new FileReadTool()); this.registerTool(new FileWriteTool({ requireConfirmation: true, maxFileSize: 10 * 1024 * 1024, // 10MB })); // 不要试图封装一切 // 让Bash处理剩下的 } getToolDescriptions(): string { // 精心编写每个工具的描述 return this.tools.map(t => t.getDescription()).join('\n\n'); }}六、小结
Claude Code的工具系统告诉我们一个反直觉的真相:
最好的Agent工具系统,不是给模型最多的工具,而是给模型最少的、最通用的工具。
BashTool的9707行代码,本质上是把“通用性”和“安全性”这一对矛盾体,通过工程化手段强行捏合在一起。它的复杂性不在“执行命令”,而在“安全地执行任何命令”。
对于正在构建Agent的开发者来说:
- 从Bash开始
:先用Bash验证你的Agent能做多少事 - 专项工具是优化而非起点
:只有当某个操作频繁且Bash实现太危险/太慢时,才考虑专项工具 - 工具描述就是你的prompt工程能力
:同样的模型,描述写得好,表现能差一个档次
下一篇预告:我们将深入Claude Code的核心引擎——46000行的QueryEngine.ts,拆解TAOR循环的设计细节,看它是如何让模型“自己决定下一步”的。
延伸思考:如果你的Agent只能有3个工具,你会选哪三个?Bash + FileRead + FileWrite 是否足够覆盖80%的场景?欢迎在评论区讨论。