AI agents should not have hard-coded credentials in topics

Proč na tom záleží

Pokud AI agenti obsahují pevně zakódované přihlašovací údaje, klíče API nebo tajné kódy, jsou tyto hodnoty vystaveny v definicích témat agenta. To představuje bezpečnostní riziko, protože každý, kdo má přístup k agentovi, může citlivé informace zobrazit nebo extrahovat. Nahrazení těchto přihlašovacích údajů bezpečnými alternativami zabraňuje neoprávněnému přístupu a únikům dat.

Co Aether365 kontroluje

Tato kontrola prohledává všechna témata agentů Copilot Studio ve vašem tenantovi Microsoft 365 a hledá vzory, které indikují pevně zakódované přihlašovací údaje, klíče API, připojovací řetězce nebo jiné tajné kódy. Zobrazuje se ve vašem dashboardu Aether365 v sekci microsoft-365 checks.

Jak to opravit

1. Identifikujte všechny instance pevně zakódovaných přihlašovacích údajů v tématech vašich agentů pomocí výsledků skenování Aether365.
2. Odstraňte pevně zakódované hodnoty z každého tématu.
3. Vytvořte proměnné prostředí Power Platform pro konfigurační hodnoty, jako jsou adresy URL a netajné parametry.
4. Všechny tajné kódy, klíče API a připojovací řetězce uložte do služby Azure Key Vault.
5. Nakonfigurujte vlastní konektory tak, aby používaly ověřování OAuth nebo klíč API s odkazem na proměnné prostředí nebo tajné kódy Key Vault, čímž zajistíte, že přihlašovací údaje zůstanou mimo definici tématu agenta.
6. Otestujte agenta, abyste se ujistili, že všechna připojení a akce stále fungují správně.

Compliance

• Ostatní: Tato kontrola je součástí bezpečnostních osvědčených postupů Aether365 pro Microsoft 365

Související zdroje

• Použití proměnných prostředí v Power Platform

Microsoft references

• Environmentvariables
• Security top 10