AI agents should not have hard-coded credentials in topics
Por Que Es Importante
Cuando los agentes de IA contienen credenciales codificadas, claves de API o secretos, esos valores quedan expuestos dentro de las definiciones de temas del agente. Esto genera un riesgo de seguridad porque cualquier persona con acceso al agente puede ver o extraer información sensible. Reemplazar estas credenciales por alternativas seguras previene el acceso no autorizado y las filtraciones de datos.
Que Comprueba Aether365
Esta comprobación analiza todos los temas de agentes de Copilot Studio en su inquilino de Microsoft 365 en busca de patrones que indiquen credenciales codificadas, claves de API, cadenas de conexión u otros secretos. Aparece en su panel de Aether365 bajo comprobaciones de microsoft-365.
Como Solucionarlo
- Identifique todas las instancias de credenciales codificadas en los temas de sus agentes utilizando los resultados del escaneo de Aether365.
- Elimine los valores codificados de cada tema.
- Cree variables de entorno de Power Platform para valores de configuración como URL y parámetros no secretos.
- Almacene todos los secretos, claves de API y cadenas de conexión en Azure Key Vault.
- Configure conectores personalizados para usar autenticación OAuth o por clave de API que haga referencia a las variables de entorno o secretos de Key Vault, manteniendo las credenciales fuera de la definición del tema del agente.
- Pruebe el agente para confirmar que todas las conexiones y acciones siguen funcionando correctamente.
Cumplimiento
- Otros: Esta comprobación forma parte de las mejores practicas de seguridad de Aether365 para Microsoft 365