AI agents should not have hard-coded credentials in topics
Perché è Importante
Quando gli agenti AI contengono credenziali hard-coded, chiavi API o segreti, tali valori vengono esposti nelle definizioni degli argomenti dell'agente. Questo crea un rischio di sicurezza perché chiunque abbia accesso all'agente può visualizzare o estrarre informazioni sensibili. Sostituire queste credenziali con alternative sicure previene accessi non autorizzati e violazioni dei dati.
Cosa Controlla Aether365
Questa verifica analizza tutti gli argomenti degli agenti di Copilot Studio nel tenant Microsoft 365 alla ricerca di pattern che indicano credenziali hard-coded, chiavi API, stringhe di connessione o altri segreti. Appare nella dashboard di Aether365 sotto i controlli di Microsoft 365.
Come Risolvere
- Identificare tutte le occorrenze di credenziali hard-coded negli argomenti dell'agente utilizzando i risultati della scansione di Aether365.
- Rimuovere i valori hard-coded da ciascun argomento.
- Creare variabili di ambiente di Power Platform per valori di configurazione come URL e parametri non segreti.
- Memorizzare tutti i segreti, le chiavi API e le stringhe di connessione in Azure Key Vault.
- Configurare connettori personalizzati per utilizzare autenticazione OAuth o con chiave API che fa riferimento alle variabili di ambiente o ai segreti di Key Vault, mantenendo le credenziali al di fuori della definizione degli argomenti dell'agente.
- Testare l'agente per verificare che tutte le connessioni e le azioni funzionino correttamente.
Conformità
- Altro: Questo controllo fa parte delle best practice di sicurezza di Aether365 per Microsoft 365