AI agents should not use author (maker) authentication for connections
Kodėl tai svarbu
Kai dirbtinio intelekto agentai naudoja autoriaus autentifikavimą jungties įrankiams, jie veikia pagal kūrėjo, o ne galutinio naudotojo teises. Tai reiškia, kad su agentu sąveikaujantis naudotojas gali netyčia pasiekti duomenis ar paslaugas, viršijančias jo įgaliotą sritį. IT administratoriams tai yra reikšminga saugumo spraga, galinti lemti teisių išplėtimą ar netyčinį duomenų atskleidimą.
Ką tikrina Aether365
Šis patikrinimas nuskenuoja visus Copilot Studio agentus jūsų Microsoft 365 nuomotojo aplinkoje, siekdamas nustatyti jungties įrankius, sukonfigūruotus su autoriaus autentifikavimu, o ne galutinio naudotojo autentifikavimu. Šį rezultatą pamatysite Aether365 valdymo skydelyje po Microsoft 365 patikrinimais kaip AE.1118.
Kaip ištaisyti
- Prisijunkite prie Copilot Studio ir eikite į skyrių Agents.
- Pasirinkite agentą, kurio jungties įrankiai pažymėti šio patikrinimo metu.
- Po agento skirtuku Tools raskite kiekvieną jungtį, nurodytą rezultatuose.
- Kiekvienai jungčiai pakeiskite autentifikavimo nustatymą iš "Agent author authentication" į "User authentication".
- Išsaugokite pakeitimus ir išbandykite agentą, kad patvirtintumėte, jog jungtis dabar naudoja pokalbį vedančio naudotojo kredencialus.
Atitiktis
- Sistema: Kita (Microsoft saugumo geriausia praktika Copilot Studio)
- Nuorodos: Nepateikta