函数调用让AI接入真实系统
本文系统讲解 Gemini 函数调用机制,涵盖工具定义、参数生成、后端校验、权限控制和分阶段落地方案,帮助开发者将 AI 安全接入订单、库存、工单等真实业务系统。
在很多团队首次使用大语言模型时,最常见的做法是把模型当作一个“会说话的问答助手”。这种方式虽然方便,但如果希望 AI 真正完成业务操作——例如查询订单、检查库存、创建工单——模型本身不能也不应该直接操作数据库或敏感系统。函数调用(Function Calling)机制正是为了解决这个问题:把模型理解到的用户意图,转换为安全、可控、可审计的业务动作。
本文系统讲解 Gemini 函数调用的基本原理、最小可用工具定义、服务端校验机制和生产环境落地注意事项。相比普通聊天问答,函数调用更接近真实业务系统中的“智能调度层”:模型负责理解用户需求和生成结构化调用参数,后端系统负责权限校验、业务执行和结果返回。只有把这两部分边界划清,AI 才能真正进入订单、客服、库存、CRM 等复杂业务流程。
一、为什么要使用函数调用?
在传统问答模式下,模型只能返回文字解释。例如用户提出:
“帮我看订单 A20260610017 为什么未发货,如果缺货就建一个加急工单。”
如果没有函数调用能力,模型最多只能根据上下文推测“可能是库存不足、物流延迟或系统状态未更新”,但它无法真正查询订单,也不能创建工单。这样一来,AI 仍然停留在“解释问题”的阶段,不能进入“处理问题”的阶段。
函数调用机制的核心价值主要体现在三个方面:
- 自然语言 → 结构化动作:模型把用户输入解析为具体函数调用和参数,例如查询订单、检查库存、创建工单等。
- 安全执行由后端承担:模型只负责提出调用建议,真正的权限、数据访问、事务处理和执行逻辑仍由业务系统完成。
- 支持多步业务流程:模型可以根据前一步函数返回结果,继续判断下一步操作,例如先查订单,再查库存,最后生成工单草稿。 这意味着函数调用不是让模型“直接操作系统”,而是让模型在明确规则下调用后端暴露出来的安全工具。
二、最小可用工具定义示例
要让模型能够正确调用业务能力,首先需要向模型提供一组可调用函数定义。函数定义需要包含名称、描述、参数类型、必填字段等信息。模型会根据这些定义判断当前用户需求应该调用哪个工具,以及应该传入什么参数。 下面是一个面向订单与售后场景的最小可用工具列表:
[
{
"name": "get_order_status",
"description": "查询订单状态、支付和发货信息",
"parameters": {
"type": "object",
"properties": {
"order_id": {"type": "string"}
},
"required": ["order_id"]
}
},
{
"name": "check_inventory",
"description": "查询指定 SKU 的库存情况",
"parameters": {
"type": "object",
"properties": {
"sku": {"type": "string"}
},
"required": ["sku"]
}
},
{
"name": "create_ticket",
"description": "创建售后工单",
"parameters": {
"type": "object",
"properties": {
"customer_id": {"type": "string"},
"order_id": {"type": "string"},
"priority": {"type": "string", "enum": ["normal","urgent"]},
"reason": {"type": "string"}
},
"required": ["customer_id","reason"]
}
}
]
这段定义看似简单,但有几个关键点。
首先,函数名称要清晰直观。比如 get_order_status 比 queryData 更容易让模型理解它的用途。其次,description 要写成业务语义,而不是接口内部实现说明。模型需要知道这个函数“能做什么”,而不是知道它背后怎么查数据库。最后,参数约束一定要明确,尤其是 required 字段和 enum 枚举值,这些约束能减少模型生成错误参数的概率。
当用户提出“帮我查询订单 A20260610017 的发货状态”时,模型可能生成如下函数调用结果:
{
"name": "get_order_status",
"arguments": {
"order_id": "A20260610017"
}
}
业务系统拿到这个结构化结果后,再根据函数名和参数调用真实后端接口,并把返回结果交给模型继续组织成用户能理解的回复。
三、服务端校验与安全
函数调用机制中,执行权限始终应该保留在后端系统,而不是交给模型。模型生成的函数调用只能被视为“建议动作”,不能直接等同于可信指令。因此,服务端至少要做四层校验。
第一是参数校验。例如订单号是否符合格式,SKU 是否存在,手机号是否脱敏,工单原因是否为空。即使模型生成了看似合理的参数,也必须由后端做严格检查。
第二是身份校验。用户是否有权限查询该订单?客服是否有权限创建加急工单?普通运营人员是否可以查看库存数据?这些都必须结合账号体系和权限系统判断。
第三是动作校验。查询类操作风险较低,但退款、修改订单、锁定库存、取消发货等操作属于高风险动作,不能由模型一次性自动完成。更稳妥的做法是先生成草稿或审批单,再由人工确认。
第四是结果校验。后端执行完成后,应返回明确状态,例如 success、failed、permission_denied、not_found 等,避免模型把失败结果当成成功结果继续推理。
换句话说,函数调用真正可靠的前提,不是模型足够聪明,而是系统边界足够清晰。
四、真实生产环境接入建议
在生产环境中,团队通常不会只接入一个模型,而是可能同时使用 Gemini、OpenAI、DeepSeek 等不同模型能力。此时可以通过 koalaapi 作为 API 中转服务,集中管理多模型接口调用,减少重复配置不同 SDK 或接口格式的工作量。
除了模型接入方式,真实业务落地还需要重点关注以下问题:
- 账号和计费管理:不同平台的计费方式、额度管理、账单统计方式不同,团队需要提前规划预算和调用策略。
- 网络与访问稳定性:跨境或远程模型调用可能产生延迟,关键业务流程应设计超时、重试和降级方案。
- 数据合规与脱敏:CRM、订单、手机号、地址等信息涉及敏感数据,传入模型前应进行必要脱敏。
- 模型版本管理:模型升级、接口变更、参数格式调整都可能影响生产环境,需要记录版本并保留回滚方案。
- 日志与审计:所有函数调用都应保留请求、参数、执行结果和操作者信息,方便后续排查问题。
对于订单、库存、售后这类业务系统来说,AI 只是流程中的一环,而不是整个系统的控制中心。生产环境的关键不是“让模型能调用多少接口”,而是“每一次调用是否可控、可查、可回滚”。
五、功能落地分阶段
函数调用不建议一开始就接入高风险操作,比较稳妥的方式是分阶段推进。
第一阶段:以查询为主。 先让模型接入低风险读操作,例如查询客户信息、订单状态、物流进度、库存数量等。这类操作不会改变业务数据,适合用于验证模型理解能力和参数生成准确率。
第二阶段:加入低风险写操作。 例如创建草稿工单、生成回访记录、补充客服备注等。这类操作虽然会写入系统,但影响范围较小,可以通过人工审核或草稿机制控制风险。
第三阶段:再考虑高风险操作。 退款、修改订单、库存锁定、取消发货等操作必须结合权限系统、审批流和风控规则。即使模型能够理解用户意图,也不应直接执行这类动作。
这种分阶段实施方式,可以在控制风险的前提下逐步扩大 AI 的业务参与范围,也便于团队积累真实调用数据,持续优化函数定义和参数校验规则。
六、工程化建议
要让函数调用真正进入生产环境,还需要补充一些工程化能力。
- 缓存机制 对重复 Prompt 或重复查询请求做哈希缓存,减少重复调用,提高系统响应效率。
import hashlib
def prompt_hash(prompt: str) -> str:
return hashlib.sha256(prompt.encode("utf-8")).hexdigest()
-
调用日志 记录模型来源、函数名称、请求参数、耗时、执行状态、错误信息和 token 消耗,方便后续排查问题和统计成本。
-
人工审核 对高风险动作增加人工确认,例如退款、加急工单、订单修改等,不允许模型直接完成最终提交。
-
自动模型选择 根据任务复杂度选择不同模型。简单查询、字段提取、参数整理可以使用轻量模型;复杂流程判断、长对话理解和多步骤推理可以使用更强模型。
-
错误兜底机制 当函数调用失败时,不要让模型编造结果,而应明确提示用户“查询失败”“权限不足”或“系统暂不可用”,并给出下一步处理建议。
这些设计能让函数调用从 Demo 变成可维护的业务能力。
七、总结
函数调用机制把大模型从“聊天助手”升级为可以参与业务流程的智能代理。它的核心不是让模型直接控制业务系统,而是通过结构化函数定义,让模型把自然语言意图转换为明确动作,再由后端系统完成权限校验、业务执行和结果返回。
对于开发者和团队来说,真正重要的是三点:第一,函数定义要清晰,让模型知道能调用什么;第二,后端校验要严格,让系统知道什么能执行;第三,落地节奏要分阶段,避免一开始就把高风险操作交给 AI。
AI 模型不是最终决策者,而是辅助开发者理解需求、拆解流程和驱动业务动作的工具。只有正确规划函数调用、接口封装、权限边界和多模型接入,才能让 AI 在生产环境中发挥实际价值,同时确保业务安全和合规。
