AI agents should not have hard-coded credentials in topics
Zakaj je to pomembno
Ko agenti umetne inteligence vsebujejo trdo kodirane poverilnice, API ključe ali skrivnosti, so te vrednosti izpostavljene v definicijah tem agenta. To predstavlja varnostno tveganje, saj lahko vsakdo z dostopom do agenta vidi ali izvleče občutljive informacije. Zamenjava teh poverilnic z varnimi alternativami preprečuje nepooblaščen dostop in podatkovne vdore.
Kaj preverja Aether365
To preverjanje pregleda vse teme agentov Copilot Studio v vašem najemniku Microsoft 365 za vzorce, ki nakazujejo trdo kodirane poverilnice, API ključe, povezovalne nize ali druge skrivnosti. Pojavi se na nadzorni plošči Aether365 pod razdelkom microsoft-365 checks.
Kako popraviti
- Ugotovite vse primere trdo kodiranih poverilnic v temah vaših agentov z uporabo rezultatov skeniranja Aether365.
- Odstranite trdo kodirane vrednosti iz vsake teme.
- Ustvarite spremenljivke okolja Power Platform za konfiguracijske vrednosti, kot so URL-ji in neobčutljivi parametri.
- Shranite vse skrivnosti, API ključe in povezovalne nize v Azure Key Vault.
- Konfigurirajte po meri ustvarjene povezovalnike za uporabo OAuth ali API ključne avtentikacije, ki se sklicuje na spremenljivke okolja ali skrivnosti Key Vault, s čimer poverilnice ostanejo izven definicije teme agenta.
- Preizkusite agenta, da potrdite, da vse povezave in dejanja še vedno delujejo pravilno.
Skladnost
- Drugo: To preverjanje je del varnostnih najboljših praks Aether365 za Microsoft 365