agent-browser安全限制

agent-browser 的 SSRF 保护默认严格阻止访问 localhost、回环地址与所有内网 IP，这是内置安全机制，无法通过简单 URL 变形绕过。

一、被阻止的地址范围

• 回环地址：127.0.0.1、localhost、[::1]、0.0.0.0
• 私有内网 IP：
  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16
• 链路本地与云元数据：169.254.x.x、metadata.google.internal 等

二、允许访问本地/内网的官方方法（Vercel agent-browser）

1. 使用 --allow-private-network 参数（推荐）

启动时添加该参数，显式放行私有网络：

      

        

          
            复制
          
        
        
agent-browser --allow-private-network open http://localhost:8080
agent-browser --allow-private-network open http://192.168.1.100:3000

      
    

2. 配置文件方式

在 ~/.agent-browser/config.json 中：

      

        

          
            复制
          
        
        
{
  "allowPrivateNetwork": true
}

      
    

三、安全风险提示（必须知晓）

• SSRF 漏洞风险：关闭保护后，若 AI 处理不可信网页/提示词，可能被诱导访问内网敏感服务
• 仅在可信环境使用：仅限开发/测试、本地服务调试；严禁在生产/公网环境关闭 SSRF 保护

四、替代方案（不关闭 SSRF）

• 内网服务映射公网（Cloudflare Tunnel / ngrok）
• 用外部代理中转访问本地
• 部署 agent-browser 在内网机器运行

总结

直接使用 --allow-private-network 即可放行 localhost/内网，这是官方支持的安全开关。调试完建议恢复默认严格模式。