LibreChat is joining ClickHouse to power the open-source Agentic Data Stack 🎉 Learn more
LibreChat
ConfigurazioneLibreChat YAMLStruttura dell'oggettoStruttura dell'oggetto Actions

Struttura dell'oggetto Actions

Le Actions possono essere utilizzate per creare dinamicamente strumenti a partire da specifiche OpenAPI. La struttura dell'oggetto actions consente di specificare i domini consentiti per le azioni di agenti/assistenti.

Maggiori informazioni: Agents - Actions

Esempio

# Example Actions Object Structure
actions:
  # Strict whitelist mode:
  # allowedDomains:
  #   - "swapi.dev"
  #   - "librechat.ai"
  #   - "google.com"
  #   - "https://api.example.com:8443"  # With protocol and port

  # Default SSRF mode with private service exemptions:
  allowedAddresses:
    - "host.docker.internal:11434"    # Permit one private host on one port
    - "10.0.0.5:8080"                 # Permit one private IP on one port

allowedDomains

Chiave:

KeyTypeDescriptionExample
allowedDomainsArray of StringsUn elenco che specifica i domini consentiti per le azioni di agenti/assistenti.When configured, only listed domains are allowed. When not configured, SSRF targets are blocked but all other domains are allowed.

Opzionale

Contesto di sicurezza (Protezione SSRF)

LibreChat include la protezione SSRF (Server-Side Request Forgery) con il seguente comportamento:

Quando allowedDomains NON è configurato:

  • I target soggetti a SSRF sono bloccati per impostazione predefinita
  • Tutti gli altri domini esterni sono consentiti

Quando allowedDomains È configurato:

  • Solo i domini presenti nell'elenco sono consentiti
  • Gli obiettivi interni/SSRF possono essere consentiti aggiungendoli esplicitamente all'elenco

Gli obiettivi SSRF bloccati includono:

  • Indirizzi Localhost (localhost, 127.0.0.1, ::1)
  • Intervalli IP privati (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
  • Indirizzi link-local (169.254.0.0/16, include gli IP dei metadati cloud)
  • TLD interni (.internal, .local, .localhost)
  • Nomi comuni di servizi interni (redis, mongodb, postgres, api, ecc.)

Se le tue azioni devono accedere a servizi interni, aggiungile alla whitelist rigorosa allowedDomains, oppure lascia allowedDomains non impostato e aggiungi lo specifico servizio privato a allowedAddresses.

Formati dei pattern

L'array allowedDomains supporta diversi formati:

  1. Solo dominio - Consente tutti i protocolli e le porte:

    allowedDomains:
  - "api.example.com"

  2. Con protocollo - Limita a uno specifico protocollo:

    allowedDomains:
  - "https://api.example.com"

  3. Con protocollo e porta - Limita a uno specifico protocollo e porta:

    allowedDomains:
  - "https://api.example.com:8443"

  4. Indirizzi interni (devono essere esplicitamente consentiti):

    allowedDomains:
  - "192.168.1.100"
  - "internal-api.local"

Esempio:

allowedDomains:
  - "swapi.dev"
  - "librechat.ai"
  - "google.com"
  - "https://secure-api.example.com:443"
  - "192.168.1.50"  # Internal service (explicitly allowed)

allowedAddresses

allowedAddresses è una lista di eccezioni per il blocco degli IP privati SSRF, non una whitelist di domini. È lo strumento corretto quando si desidera consentire uno o due servizi privati/interni specifici senza limitare ciò che le proprie Actions possono raggiungere su Internet pubblico.

Quando usarlo invece di allowedDomains

allowedDomains è una whitelist rigorosa: quando è impostata, sono raggiungibili solo le voci elencate. Aggiungere un IP privato per consentire, ad esempio, un'API interna self-hosted, blocca anche ogni endpoint di azione pubblica che non è stato anch'esso elencato.

allowedAddresses viene utilizzato solo quando allowedDomains non è configurato. Permette specifici target privati host:port lasciando il resto di internet pubblico raggiungibile tramite la policy SSRF predefinita.

actions:
  allowedAddresses:
    - "host.docker.internal:11434"
    - "10.0.0.5:8080"
  # allowedDomains is intentionally not set — public destinations
  # remain reachable, only listed private host:port services are exempted.

Se allowedDomains è configurato, esso è autorevole: i servizi privati devono essere elencati lì invece di fare affidamento su allowedAddresses.

Voci accettabili

  • Hostnames con porta: host.docker.internal:11434, ollama.internal:8080, localhost:11434
  • Letterali IPv4 privati con porta: 10.0.0.5:8080, 127.0.0.1:11434, 192.168.1.10:443, 169.254.169.254:80
  • Letterali IPv6 privati tra parentesi con porta: [::1]:11434, [fc00::1]:8080, [fe80::1]:8080

Voci rifiutate (validate al caricamento della configurazione)

  • URL / percorsi / intervalli CIDR: http://10.0.0.5, 10.0.0.0/24, /path
  • Hostname o IP semplici: localhost, 10.0.0.5, ::1, [::1] — ogni voce deve includere una porta
  • Porte non valide: localhost:0, localhost:65536, localhost:http
  • Letterali IP pubblici: 8.8.8.8:53, 1.1.1.1:53, [2001:4860::8888]:443 — il campo è limitato allo spazio IP privato; gli IP pubblici non sono target SSRF e un'esenzione per IP pubblici non ha alcuno scopo difensivo

Attendibilità hostname

Una voce di hostname si fida di qualsiasi IP a cui tale hostname risolve in fase di runtime sulla porta indicata. Se il DNS per un hostname elencato viene ruotato o dirottato per puntare a un IP privato differente, l'esenzione seguirà tale modifica. Elenca solo gli hostname di cui controlli il DNS. Preferisci gli IP letterali quando puoi.

Com’è questa guida?

Modifica su GitHub

Struttura dell'oggetto endpoint Agents

Pagina precedente

Struttura dell'oggetto MCP Servers

Pagina successiva

In questa pagina

EsempioallowedDomainsContesto di sicurezza (Protezione SSRF)Formati dei patternallowedAddressesQuando usarlo invece di allowedDomainsVoci accettabiliVoci rifiutate (validate al caricamento della configurazione)Attendibilità hostname