AI agents should not have hard-coded credentials in topics
Hvorfor dette er vigtigt
Når AI-agenter indeholder hårdkodede legitimationsoplysninger, API-nøgler eller hemmeligheder, bliver disse værdier eksponeret i agentens emnedefinitioner. Dette skaber en sikkerhedsrisiko, fordi alle med adgang til agenten kan se eller udtrække følsomme oplysninger. At erstatte disse legitimationsoplysninger med sikre alternativer forhindrer uautoriseret adgang og databrud.
Hvad Aether365 kontrollerer
Denne kontrol scanner alle Copilot Studio-agentemner i din Microsoft 365-lejer efter mønstre, der indikerer hårdkodede legitimationsoplysninger, API-nøgler, forbindelsesstrenge eller andre hemmeligheder. Den vises i dit Aether365-dashboard under microsoft-365 checks.
Sådan rettes det
- Identificer alle forekomster af hårdkodede legitimationsoplysninger i dine agentemner ved hjælp af Aether365-scanresultaterne.
- Fjern de hårdkodede værdier fra hvert emne.
- Opret Power Platform-miljøvariabler til konfigurationsværdier som URL'er og ikke-hemmelige parametre.
- Gem alle hemmeligheder, API-nøgler og forbindelsesstrenge i Azure Key Vault.
- Konfigurer brugerdefinerede connectorer til at bruge OAuth- eller API-nøgleautentificering, der refererer til miljøvariabler eller Key Vault-hemmeligheder, så legitimationsoplysninger holdes uden for agentens emnedefinition.
- Test agenten for at bekræfte, at alle forbindelser og handlinger stadig fungerer korrekt.
Overholdelse
- Andet: Denne kontrol er en del af Aether365's sikkerhedsbedste praksisser for Microsoft 365