AI agents should not have hard-coded credentials in topics
Neden Önemlidir?
AI aracıları (agent) sabit kodlanmış kimlik bilgileri, API anahtarları veya sırlar içerdiğinde, bu değerler aracı (agent) konu tanımları içinde açığa çıkar. Bu, aracıya (agent) erişimi olan herkesin hassas bilgileri görebilmesi veya çıkarabilmesi nedeniyle bir güvenlik riski oluşturur. Bu kimlik bilgilerini güvenli alternatiflerle değiştirmek, yetkisiz erişimi ve veri ihlallerini önler.
Aether365 Neleri Kontrol Eder?
Bu kontrol, Microsoft 365 kiracınızdaki tüm Copilot Studio aracı (agent) konularını sabit kodlanmış kimlik bilgileri, API anahtarları, bağlantı dizeleri veya diğer sırları gösteren kalıplar açısından tarar. Aether365 panonuzda microsoft-365 kontrolleri altında görünür.
Nasıl Düzeltilir?
- Aether365 tarama sonuçlarını kullanarak aracı (agent) konularınızdaki tüm sabit kodlanmış kimlik bilgisi örneklerini belirleyin.
- Her konudaki sabit kodlanmış değerleri kaldırın.
- URL'ler ve gizli olmayan parametreler gibi yapılandırma değerleri için Power Platform ortam değişkenleri oluşturun.
- Tüm sırları, API anahtarlarını ve bağlantı dizelerini Azure Key Vault'da saklayın.
- Ortam değişkenlerine veya Key Vault sırlarına başvuran OAuth veya API anahtarı kimlik doğrulaması kullanacak şekilde özel bağlayıcıları (custom connectors) yapılandırın; böylece kimlik bilgileri aracı (agent) konu tanımı dışında kalır.
- Tüm bağlantıların ve eylemlerin hala doğru çalıştığını doğrulamak için aracıyı (agent) test edin.
Uyumluluk
- Diğer: Bu kontrol, Aether365'in Microsoft 365 için güvenlik en iyi uygulamalarının bir parçasıdır