夜雨聆风
随着大模型、企业知识库、RAG、Agent 智能体、AI 办公自动化和业务流程智能化不断发展,越来越多企业开始关注一个更实际的问题:AI 能不能不只是回答问题,还能读取文件、查询数据库、调用业务系统、生成报告,甚至推动一个流程往下走?这背后的关键能力,就是工具调用。对于可信企业智能体来说,工具调用就像给 AI 接上了一双手,让它从“会说”走向“能做”。
人类之所以能不断扩大能力边界,是因为学会了使用工具。石器、火、车轮、机器、计算机,每一次工具升级,都让人类能完成过去很难完成的事情。
对 AI 来说也是一样。一个只会生成文字的大模型,更像是一个“会说话的大脑”;只有接上文件、数据库、业务系统和流程工具之后,它才真正具备了替企业完成任务的能力。
在上一篇文章中,我们讲到,企业 AI 正在从“可信知识库”走向“可信企业智能体”。可信知识库解决的是 AI 能不能看懂资料的问题,而可信企业智能体进一步解决的是 AI 能不能基于资料完成任务的问题。这个升级的关键,不只是大模型本身变聪明了,更重要的是 AI 开始能够连接企业里的文件、数据库、接口、系统和流程。
过去很多企业做 AI 应用,重点放在“问答效果”上。比如员工问一个问题,AI 从知识库里找资料,再生成答案。这一步当然重要,但它还停留在“回答问题”的阶段。真正的企业工作往往不是问完就结束,而是要继续查数据、比对信息、填写表格、生成材料、发起审批、同步系统。AI 要想进入这些工作,就必须具备调用工具的能力。
01
为什么普通 AI 只能“说”,不能“做”?
普通大模型的本质,是根据输入内容生成文本。你问它“怎么分析客户流失风险”,它可以给出一套分析框架;你问它“怎么准备项目申报材料”,它可以列出材料清单;你问它“怎么检查代码问题”,它可以告诉你大致步骤。
但问题在于,它本身并不能直接进入企业系统。它不知道客户最近有没有回款,不能自己打开合同文件,不能读取最新销售表,也不能调用项目管理系统查看任务进度。它可以告诉你应该查什么,但不能替你查;它可以告诉你应该怎么做,但不能真正执行。
这也是很多企业 AI 应用在早期容易遇到的瓶颈:看起来能聊,实际工作中却只能停留在建议层面。员工仍然要自己打开系统、下载文件、复制数据、整理表格、生成报告。AI 只是提供了一段文字,并没有真正减少业务流程中的操作成本。
可信企业智能体要突破的,就是这个瓶颈。它要让 AI 不只停留在语言层面,而是能够通过受控的工具,进入真实业务环境。也就是说,AI 不是直接获得无限权限,而是在企业设定好的范围内,调用明确授权的工具,完成具体任务。
02
工具调用是什么?
工具调用可以理解为:企业提前给 AI 配好一组可使用的工具,并告诉 AI 每个工具能做什么、需要哪些参数、返回什么结果。AI 在执行任务时,会根据当前目标判断是否需要调用工具。如果需要,它会生成一个结构化的调用请求,由系统执行工具,再把结果返回给 AI,AI 再根据结果继续判断下一步。
举个简单例子。用户问:“帮我查一下某个客户最近的合作情况。”如果没有工具,AI 只能根据已有上下文泛泛回答。接入工具后,它可以先调用客户信息查询工具,获取客户基本情况;再调用合同查询工具,查看历史合同;再调用回款查询工具,查看最近付款状态;最后结合这些结果生成客户合作分析。
这里的关键是,AI 并不是直接“自由访问”企业所有系统,而是在企业授权的工具范围内行动。
每个工具都有明确的名称、用途、参数和权限边界。比如,客户查询工具只能查客户信息,不能修改客户资料;合同读取工具只能读取合同摘要,不能下载原始敏感文件;数据分析工具只能查询授权范围内的数据,不能越权访问其他部门内容。
所以,工具调用不是简单地把系统权限全部交给 AI,而是把企业能力封装成一个个可控的接口,让 AI 在规则内使用。工具越清楚,智能体越容易判断;权限越明确,企业越容易放心。
03
工具 Schema:AI 使用工具前,需要一份“说明书”
一个工具能不能被 AI 正确使用,不只取决于工具本身能做什么,还取决于这份工具说明是否清楚。在智能体系统中,工具通常会用结构化方式描述,包括工具名称、工具用途、输入参数、参数类型、是否必填、返回结果等信息。这份结构化描述,可以理解为 AI 使用工具前看到的“说明书”。
比如,一个设备巡检工具可以被定义为 query_device_status,它的说明是“查询指定设备的运行状态”,输入参数包括 device_id 和 time_range。device_id 表示设备编号,time_range 表示查询时间范围。这样的工具定义越清晰,模型就越容易判断什么时候该调用它、应该传入什么参数、返回结果应该如何理解。
在企业场景中也是一样。如果工具叫 check,模型很难判断它是检查合同、检查库存还是检查设备状态。如果工具叫 query_device_status,它的用途就清楚很多。工具名称、工具描述和参数说明,实际上会直接影响智能体的可靠性。
因此,工具设计不是一个简单的接口开发问题,而是企业智能体工程化中的关键环节。一个写得好的工具说明,就是 AI 的 API 文档;一个设计模糊的工具,很容易导致智能体误用、漏用或传错参数。
04
给 AI 接工具,本质是给它接业务能力
很多人听到工具调用,会以为这只是一个技术功能。但在企业场景中,工具调用本质上是把企业已有的业务能力开放给 AI。
企业内部本来就有很多系统和数据,比如 CRM、ERP、OA、项目管理系统、知识库、数据库、代码仓库、文档系统、审批系统、财务系统、客服系统。
过去,这些系统主要由员工手动操作。员工需要自己登录系统,输入查询条件,导出结果,再把不同系统的信息拼在一起。
当这些能力被封装成工具后,智能体就可以按照任务目标自动调用:
销售智能体可以请求调用 CRM 和销售数据工具,生成客户跟进建议;
项目智能体可以请求调用文档库和项目系统,生成申报材料和进度报告;
财务智能体可以请求调用报表查询工具,解释收入、成本和利润变化;
研发智能体可以请求调用代码搜索、文件读取和测试工具,辅助定位问题。
这样一来,AI 才真正开始进入企业工作流。它不只是坐在旁边回答问题,而是可以在授权范围内,帮助员工完成一些跨系统、跨文档、跨流程的工作。
比如,过去员工要完成一份客户分析,可能要打开 CRM 查客户信息,打开合同系统看合作记录,打开财务系统看回款,再打开文档模板写报告。接入工具之后,企业智能体可以把这些动作组织起来,先完成初步整理。员工的角色也从“到处查资料、手动拼结果”,变成“确认分析是否合理、决定下一步怎么做”。
05
工具设计得好,智能体才可靠
企业智能体能不能好用,很大程度上取决于工具设计得好不好。工具不是越多越好,也不是权限越大越好。一个可靠的智能体系统,需要把工具设计得清晰、稳定、可控。
首先,工具名称要清楚。AI 需要根据工具名称判断什么时候使用它。如果一个工具叫 process_data,模型很难判断它到底是处理销售数据、财务数据、生产数据还是客服数据。如果工具叫 query_invoice_status,它的用途就清楚很多。
其次,工具说明要准确。工具描述就像给 AI 的使用说明书。它要告诉 AI 这个工具适合什么场景,不适合什么场景,需要输入哪些参数,返回结果代表什么。如果说明不清楚,AI 就容易用错工具,或者传入错误参数。
1. 工具返回结果要结构化。企业场景中,工具不要只返回一大段混乱文本,最好返回清晰的字段、状态、时间、来源和结果说明。这样 AI 才能基于结果继续推理,也方便后续审计和追踪。
2. 工具边界要明确。比如读取工具只能读取,写入工具需要审批,删除工具默认禁用,外部网络访问需要严格限制。对可信企业智能体来说,工具调用必须和权限控制一起设计。只有这样,AI 才能在能做事的同时不越界。
一个好的工具设计,应该像给员工设计岗位权限一样。该查的能查,该写的要审批,不该碰的坚决不能碰。企业智能体不是越自由越好,而是越清楚、越可控、越可追踪越好。
06
工具调用如何改变企业 AI 应用?
工具调用带来的最大变化,是企业 AI 从“信息服务”走向“任务服务”。
以前,AI 应用更多像一个智能搜索框。用户问问题,AI 返回答案。这个过程能提升信息获取效率,但很多后续动作仍然需要人工完成。
有了工具调用后,AI 可以参与任务过程。比如,员工不再只是问“这个月销售情况怎么样”,而是可以让智能体直接读取销售数据、识别异常区域、对比上月变化、生成分析摘要,并输出一份可以放进周报的内容。
再比如,企业准备项目申报时,员工不再只是问“申报书应该怎么写”,而是可以让智能体读取申报指南、匹配申报条件、整理团队成果、生成初稿框架,并列出缺失材料。AI 的价值不再只是给建议,而是参与材料准备过程。
再比如,在研发场景中,智能体可以读取代码库结构,搜索相关文件,定位某个功能的实现位置,检查是否存在 TODO 或潜在问题,再生成修改建议。对于团队来说,这类能力可以减少大量重复性的检索和整理工作。
就是工具调用带来的变化:AI 从“帮我想一想”,走向“帮我做一部分”。它不一定完全替代人,但可以先把查找、整理、比对、生成、检查这些耗时工作做起来,让员工把精力放在判断、决策和确认上。
07
为什么工具调用必须强调“可信”?
工具调用让 AI 变得更有用,也让风险变得更现实。一个只能回答问题的 AI,即使回答错了,通常还需要人去执行。但一个能调用工具的智能体,如果没有边界,就可能直接造成错误操作。
比如,它可能读取了不该读取的敏感文件,可能把内部数据带入外部请求,可能调用了错误接口,也可能在任务过程中执行了超出授权范围的操作。对于企业来说,这些问题不能靠“模型自觉”解决,而要靠系统设计解决。
可信企业智能体需要在工具调用前就设计好几层约束。第一层是工具权限,明确哪些工具可以用,哪些工具不能用。第二层是参数检查,避免 AI 访问敏感路径、敏感文件或越权数据。第三层是人工审批,对于写入、删除、外部发送等高风险动作,必须让人确认。第四层是日志审计,记录每一次工具调用的时间、参数、结果和状态。
这也是为什么我们一直强调“可信企业智能体”。企业真正需要的不是一个什么都能点、什么都能查、什么都能改的 AI,而是一个在授权范围内可靠执行的 AI。
换句话说,工具调用不是让 AI 拥有无限行动能力,而是让 AI 在企业认可的边界内,把本来需要人工重复操作的任务自动化。
08
从工具调用开始,企业智能体才能形成闭环
企业智能体的价值,不在于单次回答有多漂亮,而在于能不能完成一个业务闭环。这个闭环通常包括理解目标、调用工具、获取结果、继续判断、生成输出、必要时交给人工确认。
比如,一个客户分析智能体的闭环,可以是读取客户资料、查询订单记录、分析回款状态、识别风险因素、生成跟进建议。一个项目申报智能体的闭环,可以是读取申报通知、匹配企业条件、整理成果材料、生成初稿、输出缺失清单。一个知识运营智能体的闭环,可以是发现旧资料、检查知识库版本、生成更新建议、记录用户反馈。
这些闭环的起点,往往就是工具调用。没有工具,AI 只能停留在回答层;有了工具,AI 才能进入任务层。工具越贴近企业真实业务,智能体就越能解决实际问题。
当然,这里的前提仍然是可信。工具要经过设计,权限要提前划定,过程要可追踪,结果要可验证。只有这样,企业才敢把更多任务交给智能体。
从可信知识库到可信企业智能体,工具调用就是中间最关键的桥梁。知识库让 AI 看懂企业资料,工具调用让 AI 有能力基于这些资料继续行动。
结语
AI 要干活,先要接上工具。
人类因为会使用工具,才不断扩大自己的能力边界。AI 也是一样。一个只会生成文字的大模型,可以帮助企业回答问题;但只有接上文件、数据库、系统接口和业务流程工具之后,它才能真正开始参与企业工作。
从可信知识库到可信企业智能体,最关键的一步,就是让 AI 从“看资料”走向“用工具”。知识库给 AI 提供可信的知识基础,工具调用让 AI 能够基于这些知识执行任务。两者结合起来,企业 AI 才能真正从问答系统升级为业务助手。
但工具调用不是简单地把企业系统开放给 AI。它需要清晰的工具定义、稳定的接口设计、合理的权限控制、必要的人工审批和完整的过程审计。企业智能体越接近真实业务,越需要在设计阶段把“能做什么、不能做什么、怎么追踪、怎么纠错”想清楚。
接下来,我们会继续讨论可信企业智能体的执行机制:AI 接上工具之后,究竟是如何一步步推进任务的?它如何在“思考、行动、观察”的循环中不断获取信息、修正判断、完成目标?这就是下一篇要讲的智能体行动循环。
——企业现状与需求调查问卷——
如果您的企业正在建设 AI 知识库、企业智能问答、智能体 Agent、AI 办公自动化或业务流程智能化应用,也遇到过 AI 只能回答问题、无法调用业务系统,任务执行容易跑偏,权限边界不好控制,敏感数据存在泄露风险,智能体执行过程无法追踪,或者多个业务系统之间难以形成自动化闭环等问题,欢迎与我们交流。
我们定期在中山大学开设企业智能化转型产学研沙龙,邀请教授专家和企业负责人一起讨论可信知识库、可信企业智能体、Agentic RAG、工具调用、权限控制、安全审计和企业智能化落地问题。扫码填写相关信息提交申请,我们将有专人邀请您参加研讨会。
研究中心可信智能体技术专家
陈文清
中山大学软件工程学院副教授
2022年7月入选中山大学百人计划,加入软件工程学院;主要研究方向包括自然语言处理、因果推断、大语言模型、智慧医疗、智慧司法等,目前聚焦基于因果推断的大语言模型偏差分析与缓解。主持国家自然科学基金青年科学基金项目、广东省自然科学基金面上项目等纵向课题,并主持若干项大模型横向科研课题,参与国家重点研发计划、上海市级科技重大专项等项目,获ACM珠海新星奖。在顶级会议及期刊发表论文30余篇,获国家发明专利授权7项。主导开发电力大模型、金融大模型、化学大模型等大模型和智能体产品。
产学研合作联系
林老师 手机/微信:15986852262
往期内容
图片来源于网络,如有侵权请联系删除
技术支持:何笑雨
编辑:刘颖、叶健文、吴伟佳
