AI agents should not have hard-coded credentials in topics
Dlaczego to jest ważne
Gdy agenty AI zawierają zakodowane na stałe poświadczenia, klucze API lub sekrety, wartości te są ujawniane w definicjach tematów agenta. Stanowi to zagrożenie bezpieczeństwa, ponieważ każda osoba mająca dostęp do agenta może wyświetlić lub wyodrębnić poufne informacje. Zastąpienie tych poświadczeń bezpiecznymi alternatywami zapobiega nieautoryzowanemu dostępowi i naruszeniom danych.
Co sprawdza Aether365
To sprawdzenie skanuje wszystkie tematy agentów Copilot Studio w Twojej dzierżawie Microsoft 365 w poszukiwaniu wzorców wskazujących na zakodowane na stałe poświadczenia, klucze API, parametry połączeń lub inne sekrety. Pojawia się w panelu Aether365 w sekcji sprawdzeń microsoft-365.
Jak to naprawić
- Zidentyfikuj wszystkie przypadki zakodowanych na stałe poświadczeń w tematach agentów, korzystając z wyników skanowania Aether365.
- Usuń zakodowane na stałe wartości z każdego tematu.
- Utwórz zmienne środowiskowe Power Platform dla wartości konfiguracyjnych, takich jak adresy URL i parametry niebędące sekretami.
- Przechowuj wszystkie sekrety, klucze API i parametry połączeń w Azure Key Vault.
- Skonfiguruj łączniki niestandardowe, aby używały uwierzytelniania OAuth lub klucza API, które odwołują się do zmiennych środowiskowych lub sekretów Key Vault, przechowując poświadczenia poza definicją tematu agenta.
- Przetestuj agenta, aby potwierdzić, że wszystkie połączenia i akcje nadal działają poprawnie.
Zgodność
- Inne: To sprawdzenie jest częścią najlepszych praktyk bezpieczeństwa Aether365 dla Microsoft 365