AI agents should not send email with AI-controlled inputs
Hvorfor dette er viktig
KI-agenter bør ikke ha ubegrenset mulighet til å sende e-poster med innhold generert av KI eller påvirket av brukerinnspill. Uten tilstrekkelige kontroller kan en agent manipuleres til å sende uautoriserte e-poster, noe som potensielt kan føre til eksfiltrering av sensitiv information eller initiering av phishing-kampanjer. IT-administratorer må sørge for at e-postfunksjonalitet er strengt regulert for å forhindre misbruk.
Hva Aether365 sjekker
Denne kontrollen skanner alle Copilot Studio-agenter konfigurert i Microsoft 365-leietakeren din for e-postverktøy der mottaker-, emne- eller innholdsfeltet er dynamisk styrt av KI-generert innhold. Du vil se dette funnet i Aether365-dashbordet under microsoft-365-kontrollene.
Slik fikser du det
- Gå gjennom hver Copilot Studio-agent i miljøet ditt og identifiser de med e-postverktøy.
- For agenter som ikke har et legitimt forretningsbehov for å sende e-post, fjerner du e-postverktøyet helt fra agentens konfigurasjon.
- For agenter som trenger e-postfunksjonalitet, begrenser du mottakere til en fast, forhåndsdefinert liste i stedet for å tillate dynamisk innspill fra brukere eller KI-generert innhold.
- Konfigurer Data Loss Prevention (DLP) policyer i Power Platform Admin Center for å blokkere Outlook-koblingen for agenter som ikke skal være autorisert til å sende e-post.
- Valider at kun godkjente agenter har e-postfunksjonalitet aktivert etter at endringer er gjort.
Samsvar
- Annet (intern sikkerhetsbaseline)