AI agents should not have hard-coded credentials in topics

Hvorfor Dette Er Viktig

Når AI-agenter inneholder hardkodede legitimasjoner, API-nøkler eller hemmeligheter, blir disse verdiene eksponert i agentens emnedefinisjoner. Dette skaper en sikkerhetsrisiko fordi alle som har tilgang til agenten kan se eller hente ut sensitiv informasjon. Å erstatte disse legitimasjonene med sikre alternativer forhindrer uautorisert tilgang og datalekkasjer.

Hva Aether365 Sjekker

Denne kontrollen skanner alle Copilot Studio-agentemner i din Microsoft 365-leietaker etter mønstre som indikerer hardkodede legitimasjoner, API-nøkler, tilkoblingsstrenger eller andre hemmeligheter. Den vises i Aether365-kontrollpanelet under microsoft-365-kontroller.

Slik Løser Du Det

1. Identifiser alle tilfeller av hardkodede legitimasjoner i agentemnene dine ved hjelp av Aether365-skanningsresultatene.
2. Fjern de hardkodede verdiene fra hvert emne.
3. Opprett Power Platform-miljøvariabler for konfigurasjonsverdier som URL-er og ikke-hemmelige parametere.
4. Lagre alle hemmeligheter, API-nøkler og tilkoblingsstrenger i Azure Key Vault.
5. Konfigurer tilpassede koblinger til å bruke OAuth- eller API-nøkkelautentisering som refererer til miljøvariablene eller Key Vault-hemmelighetene, slik at legitimasjoner holdes utenfor agentens emnedefinisjon.
6. Test agenten for å bekrefte at alle tilkoblinger og handlinger fortsatt fungerer som de skal.

Samsvar

• Annet: Denne kontrollen er en del av Aether365s sikkerhetsbeste praksis for Microsoft 365

Relaterte Ressurser

• Bruk miljøvariabler i Power Platform

Microsoft references

• Environmentvariables
• Security top 10