AI agents should not have hard-coded credentials in topics
Warum dies wichtig ist
Wenn KI-Agenten fest codierte Anmeldedaten, API-Schlüssel oder Geheimnisse enthalten, werden diese Werte innerhalb der Agententhemendefinitionen offengelegt. Dies stellt ein Sicherheitsrisiko dar, da jeder mit Zugriff auf den Agenten vertrauliche Informationen einsehen oder extrahieren kann. Das Ersetzen dieser Anmeldedaten durch sichere Alternativen verhindert unbefugten Zugriff und Datenschutzverletzungen.
Was Aether365 prüft
Diese Prüfung durchsucht alle Copilot Studio-Agententhemen in Ihrem Microsoft 365-Mandanten nach Mustern, die auf fest codierte Anmeldedaten, API-Schlüssel, Verbindungszeichenfolgen oder andere Geheimnisse hinweisen. Sie wird in Ihrem Aether365-Dashboard unter dem Bereich microsoft-365-Prüfungen angezeigt.
Behebung
- Identifizieren Sie mithilfe der Aether365-Scannergebnisse alle Instanzen fest codierter Anmeldedaten in Ihren Agententhemen.
- Entfernen Sie die fest codierten Werte aus jedem Thema.
- Erstellen Sie Power Platform-Umgebungsvariablen für Konfigurationswerte wie URLs und nicht geheime Parameter.
- Speichern Sie alle Geheimnisse, API-Schlüssel und Verbindungszeichenfolgen in Azure Key Vault.
- Konfigurieren Sie benutzerdefinierte Connectors so, dass sie OAuth- oder API-Schlüsselauthentifizierung verwenden, die auf die Umgebungsvariablen oder Key Vault-Geheimnisse verweist, und halten Sie Anmeldedaten außerhalb der Agententhemendefinition.
- Testen Sie den Agenten, um sicherzustellen, dass alle Verbindungen und Aktionen weiterhin korrekt funktionieren.
Compliance
- Sonstiges: Diese Prüfung ist Teil der Aether365-Sicherheitsbest Practices für Microsoft 365