AI agents should not send email with AI-controlled inputs
Чому це важливо
Агенти на основі штучного інтелекту не повинні мати необмежену здатність надсилати електронні листи з вмістом, створеним AI або під впливом введених користувачем даних. Без належного контролю агент може бути використаний для надсилання несанкціонованих листів, що потенційно призведе до витоку конфіденційних даних або запуску фішингових кампаній. ІТ-адміністратори повинні забезпечити жорстке регулювання можливостей надсилання електронних листів для запобігання зловживанням.
Що перевіряє Aether365
Ця перевірка сканує всі агенти Copilot Studio, налаштовані у вашому Microsoft 365 tenant, на наявність інструментів для надсилання електронних листів, де поле одержувача, теми або вмісту динамічно контролюється вмістом, згенерованим AI. Ви побачите цей висновок на панелі моніторингу Aether365 у розділі перевірок microsoft-365.
Як виправити
- Перегляньте кожного агента Copilot Studio у вашому середовищі та визначте тих, хто має інструменти для надсилання електронних листів.
- Для агентів, які не мають законної бізнес-потреби надсилати листи, повністю видаліть інструмент надсилання з конфігурації агента.
- Для агентів, які потребують можливостей електронної пошти, обмежте одержувачів фіксованим, попередньо визначеним списком замість дозволу динамічного введення даних від користувачів або вмісту, згенерованого AI.
- Налаштуйте політики запобігання втраті даних (DLP) у Power Platform Admin Center, щоб заблокувати з'єднувач Outlook для агентів, які не повинні мати дозвіл на надсилання електронних листів.
- Після внесення змін переконайтеся, що лише схвалені агенти мають активовані можливості надсилання електронних листів.
Відповідність вимогам
- Інше (внутрішній базовий рівень безпеки)