AI agents should not have hard-coded credentials in topics
Por Que Isso é Importante
Quando agentes de IA contêm credenciais, chaves de API ou segredos codificados diretamente, esses valores ficam expostos nas definições de tópicos do agente. Isso cria um risco de segurança, pois qualquer pessoa com acesso ao agente pode visualizar ou extrair informações confidenciais. Substituir essas credenciais por alternativas seguras evita acessos não autorizados e violações de dados.
O Que o Aether365 Verifica
Esta verificação examina todos os tópicos de agente do Copilot Studio no seu locatário do Microsoft 365 em busca de padrões que indiquem credenciais, chaves de API, strings de conexão ou outros segredos codificados. Ela aparece no seu painel do Aether365 na seção de verificações do microsoft-365.
Como Corrigir
- Identifique todas as instâncias de credenciais codificadas nos tópicos do seu agente usando os resultados da varredura do Aether365.
- Remova os valores codificados de cada tópico.
- Crie variáveis de ambiente do Power Platform para valores de configuração, como URLs e parâmetros não confidenciais.
- Armazene todos os segredos, chaves de API e strings de conexão no Azure Key Vault.
- Configure conectores personalizados para usar autenticação OAuth ou chave de API que faça referência às variáveis de ambiente ou segredos do Key Vault, mantendo as credenciais fora da definição do tópico do agente.
- Teste o agente para confirmar que todas as conexões e ações continuam funcionando corretamente.
Conformidade
- Outros: Esta verificação faz parte das práticas recomendadas de segurança do Aether365 para Microsoft 365