AI agents should not use MCP server tools without review
Perché è Importante
Gli agenti di Copilot Studio integrati con server MCP esterni possono introdurre rischi nella supply chain qualora tali endpoint vengano compromessi o non siano attendibili. Un attaccante in controllo di un server MCP potrebbe manipolare il comportamento dell'agente, esfiltrare dati o eseguire azioni non autorizzate. La verifica di tutte le integrazioni con server MCP è essenziale per mantenere il controllo sugli agenti AI e proteggere l'organizzazione da vulnerabilità di terze parti.
Cosa Controlla Aether365
Questo controllo verifica se nel tenant sono presenti agenti di Copilot Studio con integrazioni a server MCP non ancora sottoposte a verifica di conformità di sicurezza. Compare nel dashboard di Aether365 nella categoria "microsoft-365" con gravità Media.
Come Risolvere
- Accedi al portale di Microsoft Copilot Studio e vai all'elenco degli agenti.
- Per ogni agente segnalato, aprilo e seleziona la scheda "Actions".
- Esamina tutte le voci relative ai server MCP elencate nella sezione "MCP Server Tools".
- Per ciascun server MCP, conferma che l'URL dell'endpoint sia di proprietà della tua organizzazione o di un partner fidato.
- Verifica che l'endpoint sia ospitato su infrastruttura controllata e utilizzi HTTPS con autenticazione adeguata.
- Se un server MCP non soddisfa questi criteri, rimuovilo dalla configurazione dell'agente.
- Valuta la possibilità di sostituire gli strumenti MCP con connettori personalizzati di Power Platform, che offrono applicazione delle policy DLP e controlli di governance.
Conformità
- Non applicabile a framework normativi specifici. Si tratta di una best practice di sicurezza per la gestione delle integrazioni con agenti AI.