AI agents should not have hard-coded credentials in topics
Waarom dit belangrijk is
Wanneer AI-agenten hardgecodeerde inloggegevens, API-sleutels of geheimen bevatten, worden deze waarden zichtbaar in de onderwerpdefinities van de agent. Dit vormt een beveiligingsrisico omdat iedereen met toegang tot de agent gevoelige informatie kan bekijken of extraheren. Door deze inloggegevens te vervangen door veilige alternatieven voorkomt u ongeautoriseerde toegang en datalekken.
Wat Aether365 controleert
Deze controle scant alle Copilot Studio-agentonderwerpen in uw Microsoft 365-tenant op patronen die wijzen op hardgecodeerde inloggegevens, API-sleutels, verbindingsreeksen of andere geheimen. Deze verschijnt in uw Aether365-dashboard onder microsoft-365-controles.
Hoe u dit kunt oplossen
- Identificeer alle gevallen van hardgecodeerde inloggegevens in uw agentonderwerpen met behulp van de Aether365-scanresultaten.
- Verwijder de hardgecodeerde waarden uit elk onderwerp.
- Maak Power Platform-omgevingsvariabelen voor configuratiewaarden zoals URL's en niet-geheime parameters.
- Sla alle geheimen, API-sleutels en verbindingsreeksen op in Azure Key Vault.
- Configureer aangepaste connectors om OAuth- of API-sleutelauthenticatie te gebruiken die verwijst naar de omgevingsvariabelen of Key Vault-geheimen, zodat inloggegevens buiten de onderwerpdefinitie van de agent blijven.
- Test de agent om te bevestigen dat alle verbindingen en acties nog correct functioneren.
Compliance
- Overig: Deze controle maakt deel uit van de Aether365-beveiligingsbest practices voor Microsoft 365