AI agents should not have hard-coded credentials in topics
Varför detta är viktigt
När AI-agenter innehåller hårdkodade autentiseringsuppgifter, API-nycklar eller hemligheter exponeras dessa värden inom agentens ämnesdefinitioner. Detta skapar en säkerhetsrisk eftersom alla med åtkomst till agenten kan visa eller extrahera känslig information. Att ersätta dessa autentiseringsuppgifter med säkra alternativ förhindrar obehörig åtkomst och dataintrång.
Vad Aether365 kontrollerar
Denna kontroll genomsöker alla Copilot Studio-agentämnen i din Microsoft 365-klient efter mönster som indikerar hårdkodade autentiseringsuppgifter, API-nycklar, anslutningssträngar eller andra hemligheter. Den visas i din Aether365-instrumentpanel under microsoft-365-kontroller.
Så här åtgärdar du
- Identifiera alla förekomster av hårdkodade autentiseringsuppgifter i dina agentämnen med hjälp av Aether365-skanningsresultaten.
- Ta bort de hårdkodade värdena från varje ämne.
- Skapa Power Platform-miljövariabler för konfigurationsvärden som webbadresser och icke-hemliga parametrar.
- Lagra alla hemligheter, API-nycklar och anslutningssträngar i Azure Key Vault.
- Konfigurera anpassade anslutningar för att använda OAuth- eller API-nyckelautentisering som refererar till miljövariablerna eller Key Vault-hemligheterna, så att autentiseringsuppgifterna hålls utanför agentens ämnesdefinition.
- Testa agenten för att bekräfta att alla anslutningar och åtgärder fortfarande fungerar korrekt.
Regelefterlevnad
- Övrigt: Denna kontroll ingår i Aether365:s säkerhetsrekommendationer för Microsoft 365