AI agents should not have hard-coded credentials in topics

Prečo je to dôležité

Keď agenti umelej inteligencie obsahujú pevne zakódované poverenia, API kľúče alebo tajomstvá, tieto hodnoty sú vystavené v definíciách tém agenta. To predstavuje bezpečnostné riziko, pretože každý, kto má prístup k agentovi, môže zobraziť alebo extrahovať citlivé informácie. Nahradenie týchto poverení bezpečnými alternatívami predchádza neoprávnenému prístupu a únikom údajov.

Čo kontroluje Aether365

Táto kontrola prehľadáva všetky témy agentov Copilot Studio vo vašom Microsoft 365 tenante a hľadá vzory naznačujúce pevne zakódované poverenia, API kľúče, reťazce pripojenia alebo iné tajomstvá. Zobrazuje sa vo vašom dashboarde Aether365 v rámci kontrol pre Microsoft 365.

Ako to opraviť

1. Identifikujte všetky prípady pevne zakódovaných poverení vo vašich témach agentov pomocou výsledkov skenovania Aether365.
2. Odstráňte pevne zakódované hodnoty z každej témy.
3. Vytvorte premenné prostredia Power Platform pre konfiguračné hodnoty, ako sú URL adresy a iné necitlivé parametre.
4. Uložte všetky tajomstvá, API kľúče a reťazce pripojenia do Azure Key Vault.
5. Nakonfigurujte vlastné konektory na používanie autentifikácie OAuth alebo API kľúča, ktorá odkazuje na premenné prostredia alebo tajomstvá z Key Vault, pričom poverenia zostanú mimo definície témy agenta.
6. Otestujte agenta, aby ste potvrdili, že všetky pripojenia a akcie stále fungujú správne.

Súlad s predpismi

• Iné: Táto kontrola je súčasťou bezpečnostných osvedčených postupov Aether365 pre Microsoft 365

Súvisiace zdroje

• Používanie premenných prostredia v Power Platform

Microsoft references

• Environmentvariables
• Security top 10