AI agents should not send email with AI-controlled inputs
Proč na tom záleží
Agenti AI by neměli mít neomezenou možnost odesílat e-maily s obsahem generovaným umělou inteligencí nebo ovlivněným vstupem od uživatele. Bez odpovídajících kontrol by mohl být agent zneužit k odesílání neautorizovaných e-mailů, což by mohlo vést k exfiltraci citlivých dat nebo spouštění phishingových kampaní. Správci IT musí zajistit, aby možnosti odesílání e-mailů byly důsledně řízeny, aby se zabránilo jejich zneužití.
Co Aether365 kontroluje
Tato kontrola prohledává všechny agenty Copilot Studio nakonfigurované ve vašem tenantovi Microsoft 365 na nástroje pro odesílání e-mailů, kde je příjemce, předmět nebo tělo dynamicky řízeno obsahem generovaným AI. Tento nález uvidíte v přehledu Aether365 v sekci kontrol microsoft-365.
Jak opravit
- Zkontrolujte každého agenta Copilot Studio ve svém prostředí a identifikujte ty, kteří mají nástroje pro odesílání e-mailů.
- U agentů, kteří nemají legitimní obchodní potřebu odesílat e-maily, odeberte nástroj pro odesílání e-mailů zcela z konfigurace agenta.
- U agentů, kteří vyžadují možnosti e-mailu, omezte příjemce na pevný, předdefinovaný senamísto umožnění dynamického vstupu od uživatelů nebo obsahu generovaného AI.
- Nakonfigurujte zásady ochrany před ztrátou dat (DLP) v Power Platform Admin Center, abyste zablokovali konektor Outlook pro agenty, kteří by neměli být oprávněni odesílat e-maily.
- Po provedení změn ověřte, že pouze schválení agenti mají povolené možnosti odesílání e-mailů.
Compliance
- Jiné (interní bezpečnostní směrnice)