AI agents should not have hard-coded credentials in topics
Miksi Tämä on Tärkeää
Kun tekoälyagentit sisältävät kovakoodattuja tunnistetietoja, API-avaimia tai salaisuuksia, nämä arvot ovat näkyvillä agentin aihemäärityksissä. Tämä aiheuttaa tietoturvariskin, koska kuka tahansa, jolla on pääsy agenttiin, voi tarkastella tai poimia arkaluonteisia tietoja. Korvaamalla nämä tunnistetiedot turvallisilla vaihtoehdoilla estetään luvaton pääsy ja tietomurrot.
Mitä Aether365 Tarkistaa
Tämä tarkistus skannaa kaikki Copilot Studio -agenttien aiheet Microsoft 365 -vuokraajassasi tunnistaakseen kuvioita, jotka viittaavat kovakoodattuihin tunnistetietoihin, API-avaimiin, yhteysmerkkijonoihin tai muihin salaisuuksiin. Se näkyy Aether365-hallintapaneelissasi microsoft-365-tarkistusten alla.
Korjaaminen
- Tunnista kaikki kovakoodattujen tunnistetietojen esiintymät agenttisi aiheissa Aether365-skannaustulosten avulla.
- Poista kovakoodatut arvot jokaisesta aiheesta.
- Luo Power Platform -ympäristömuuttujat konfiguraatioarvoille, kuten URL-osoitteille ja ei-salaisille parametreille.
- Tallenna kaikki salaisuudet, API-avaimet ja yhteysmerkkijonot Azure Key Vaultiin.
- Määritä mukautetut liittimet käyttämään OAuth- tai API-avainautentikointia, joka viittaa ympäristömuuttujiin tai Key Vault -salaisuuksiin, pitäen tunnistetiedot agentin aihemäärityksen ulkopuolella.
- Testaa agenttia varmistaaksesi, että kaikki yhteydet ja toiminnot toimivat edelleen oikein.
Vaatimustenmukaisuus
- Muut: Tämä tarkistus on osa Aether365:n tietoturvan parhaita käytäntöjä Microsoft 365:lle