Tracecat项目中的Python脚本动作详解：安全执行自定义代码

Tracecat项目中的Python脚本动作详解：安全执行自定义代码

脚本动作概述

在自动化工作流中，执行自定义代码是常见需求。Tracecat项目通过core.script.run_python动作提供了安全执行Python代码的能力，这对于需要灵活处理数据的场景特别有价值。该功能基于WebAssembly沙箱环境实现，使用Pyodide作为执行引擎，既保证了代码执行的隔离性，又能利用丰富的Python生态系统。

核心特性与技术实现

安全执行环境

Tracecat采用WebAssembly沙箱技术隔离Python脚本执行，这种设计有三大优势：

1. 系统隔离：脚本无法访问宿主机的文件系统或进程
2. 资源控制：可限制CPU、内存使用量，防止资源耗尽
3. 网络限制：默认禁止网络访问，避免安全风险

依赖管理机制

通过dependencies字段可以声明所需的第三方Python包，系统会在执行前自动安装这些依赖。值得注意的是：

• 网络访问默认关闭，需要显式设置allow_network: true才能下载包
• 依赖解析基于Pyodide的包仓库，支持大多数主流Python库
• 依赖安装会占用执行时间，应考虑在timeout_seconds中预留足够时间

脚本编写规范

函数结构要求

Tracecat对Python脚本有明确的函数结构要求：

1. 必须包含至少一个函数：这是最基本的执行单元
2. 多函数必须定义main：当脚本包含多个函数时，必须有一个名为main的函数作为入口点
3. 返回值限制：函数返回值必须是JSON可序列化的数据类型，包括基本类型(str/int/float/bool)和容器类型(list/dict)

输入参数处理

输入参数通过inputs字段传递，系统会将其映射到函数的参数上。参数处理遵循以下规则：

• 名称匹配：inputs的键名必须与函数参数名完全一致
• 类型转换：系统不会自动进行类型转换，需要开发者在函数内处理
• 默认值支持：函数参数可以定义默认值，当输入缺失时使用
• 多余参数忽略：输入中多余的键值对会被静默忽略

配置参数详解

| 配置项 | 类型 | 说明 | 必填 | 默认值 | |-------|------|-----|-----|-------| | script | string | Python代码字符串 | 是 | 无 | | inputs | object | 函数参数键值对 | 否 | 空对象 | | dependencies | array | 需要安装的Python包列表 | 否 | 空数组 | | timeout_seconds | integer | 执行超时时间(秒) | 否 | 30 | | allow_network | boolean | 是否允许网络访问 | 否 | false |

最佳实践示例

基础运算场景

script: |
  def calculate_discount(base_price, discount_rate):
      """计算折扣后价格"""
      if discount_rate < 0 or discount_rate > 1:
          raise ValueError("折扣率必须在0-1之间")
      return base_price * (1 - discount_rate)
  
  def main(price, rate):
      return {
          "original_price": price,
          "final_price": calculate_discount(price, rate)
      }
inputs:
  price: 299.99
  rate: 0.2

数据处理场景（使用第三方库）

script: |
  def analyze_data(data_points):
      import numpy as np
      arr = np.array(data_points)
      return {
          "mean": float(np.mean(arr)),
          "std_dev": float(np.std(arr)),
          "min": float(np.min(arr)),
          "max": float(np.max(arr))
      }
  
  def main():
      data = [12.5, 13.7, 11.9, 15.2, 14.1]
      return analyze_data(data)
dependencies:
  - numpy
allow_network: true
timeout_seconds: 45

条件分支处理

script: |
  def process_order(item, quantity, is_member=False):
      base_price = {
          "A001": 99.99,
          "A002": 149.99,
          "B001": 199.99
      }.get(item, 0)
      
      if not base_price:
          return {"error": "无效商品编码"}
      
      total = base_price * quantity
      if is_member:
          total *= 0.9  # 会员9折
      
      return {
          "item": item,
          "unit_price": base_price,
          "quantity": quantity,
          "total": round(total, 2),
          "is_member": is_member
      }
  
  def main(item_code, qty, membership):
      return process_order(item_code, qty, membership)
inputs:
  item_code: "A002"
  qty: 3
  membership: true

常见问题与解决方案

1. 执行超时问题：

   • 复杂计算应增加timeout_seconds值
   • 大数据处理应考虑分块处理
   • 网络请求需设置合理超时

2. 依赖安装失败：

   • 确认包名拼写正确
   • 检查Pyodide是否支持该包
   • 确保allow_network已启用

3. 参数传递问题：

   • 检查函数参数名与inputs键名完全匹配
   • 必要参数应设置默认值或标记为必需
   • 复杂对象需确保可JSON序列化

4. 返回值问题：

   • 自定义类实例无法直接返回，应先转换为dict
   • 二进制数据应编码为base64字符串
   • 大结果集应考虑分页返回

Tracecat的Python脚本动作为自动化流程提供了强大的扩展能力，通过合理设计脚本结构和参数传递，可以实现复杂的业务逻辑处理，同时保持执行环境的安全性和稳定性。