工具
AI 在聊天中可调用的浏览器与数据工具——按类别分组,采用四级风险模型与人工确认。
工具是 Cordy 助手在对话中可以对你的浏览器执行的操作——读取当前页面、列出你的标签页、搜索书签、打开网址。模型判断何时用工具有帮助,调用它,并用结果作答。任何会改动你浏览器的操作,都需经过你的批准。
概览
当你提出需要实时浏览器数据的问题(「这个页面上有什么?」「找到我那个关于发票的标签页」)时,助手会调用相应的工具,记录中会出现一行紧凑的工具调用行,显示它做了什么。只读的公开操作自动运行;敏感、写入或破坏性操作会先暂停等待你确认。
开启与关闭工具
工具在设置 → AI 工具(以及 Agent 与浏览器工具区)中控制。启用浏览器工具开关让助手可以使用它们;关闭后即为完全无浏览器访问的纯聊天助手。设置页面按类别列出每个工具及其风险级别。
工具清单
Cordy 目前提供十三个工具,按类别分组:
浏览器
| 工具 | 作用 | 风险 |
|---|---|---|
getCurrentTab | 读取当前标签页的标题和网址 | 公开读取 |
getTabContent | 读取当前页面的可见文本 | 公开读取 |
标签页
| 工具 | 作用 | 风险 |
|---|---|---|
listOpenTabs | 列出当前打开的标签页 | 敏感读取 |
openUrl | 在新标签页打开网址(仅 http/https) | 写入 |
createTab | 新建一个空白标签页 | 写入 |
switchToTab | 切换到某个已打开的标签页 | 写入 |
closeTab | 关闭指定的标签页 | 破坏性 |
书签与历史
| 工具 | 作用 | 风险 |
|---|---|---|
searchBookmarks | 按关键词搜索你的书签 | 敏感读取 |
searchHistory | 按关键词搜索你的浏览历史 | 敏感读取 |
数据
| 工具 | 作用 | 风险 |
|---|---|---|
cleanSiteData | 清除某站点的缓存、Cookie 和存储 | 破坏性 |
会话
| 工具 | 作用 | 风险 |
|---|---|---|
searchConversations | 搜索你与 Cordy 的历史对话 | 公开读取 |
listConversations | 列出最近的会话 | 公开读取 |
getConversationMessages | 读取某次历史会话的完整消息 | 公开读取 |
风险级别与批准
每个工具被划入四个风险级别之一,据此决定是否需要你许可:
- 公开读取——自动运行,不提示(读取当前页面、搜索你自己的对话)。
- 敏感读取和写入——暂停并显示批准卡片。你可以选择本会话记住并批准,在本会话结束前不再就该工具询问。
- 破坏性(
closeTab、cleanSiteData)——每一次都需要批准;按设计没有「记住」选项。
Cordy 采用失败即拒绝(fail-closed):任何没有明确策略的工具都按破坏性处理。它绝不会偏向执行未经批准的操作。
在聊天中批准操作
当助手想运行受限工具时,其消息上会出现批准卡片:「允许此浏览器操作?」 查看后选择批准、拒绝,或(在允许处)本会话记住并批准。被拒绝的操作会清楚标记为已拒绝——会告知助手它未运行,而不允许它假装成功。当某个工具在等待你的决定时,输入框会提醒你先作出响应再继续。
本地模型只获得更小的只读集合
工具支持取决于模型:
- 支持工具调用的云端模型获得上述完整集合,并走批准流程。
- 本地设备端模型被刻意限制为仅五个公开读取工具——写入、敏感和破坏性工具被完全保留(不提供),因为本地路径没有批准界面。原则很简单:宁可保留能力,也不执行未经批准的操作。
- Chrome 内置的 Gemini Nano 完全不支持工具调用。
工具做不到什么
- 没有网络搜索工具。 助手可以打开网址并读取当前页面,但无法自行查询搜索引擎。要搜索网络,请使用命令面板的
/web-search,它会打开你的默认引擎。 - 工具无法绕过上述风险模型对你的浏览器进行操作。
智能体
除一次性工具外,Cordy 还有智能体——由自然语言触发的多步 AI 任务。目前随附的是书签分类,它会批量整理你的书签(见 书签)。智能体位于设置 → AI 工具 → 智能体下。
隐私
工具在你的浏览器本地运行。工具返回的任何数据(页面文本、标签页标题、书签)都被视为不可信上下文,且只有作为你发送的消息的一部分才会到达你的服务商。不会在后台收集任何内容,破坏性操作始终需要你明确批准。见 隐私与权限。