AI agents should not have hard-coded credentials in topics
Чому це важливо
Коли AI-агенти містять жорстко прописані облікові дані, ключі API або секрети, ці значення стають доступними у визначеннях тем агента. Це створює ризик безпеки, оскільки будь-хто з доступом до агента може переглянути або вилучити конфіденційну інформацію. Заміна цих облікових даних на безпечні альтернативи запобігає несанкціонованому доступу та витоку даних.
Що перевіряє Aether365
Ця перевірка сканує всі теми агентів Copilot Studio у вашому клієнті Microsoft 365 на наявність патернів, які вказують на жорстко прописані облікові дані, ключі API, рядки підключення або інші секрети. Вона відображається на панелі керування Aether365 у розділі перевірок microsoft-365.
Як виправити
- Визначте всі випадки жорстко прописаних облікових даних у темах вашого агента за допомогою результатів сканування Aether365.
- Видаліть жорстко прописані значення з кожної теми.
- Створіть змінні середовища Power Platform для значень конфігурації, таких як URL-адреси та несекретні параметри.
- Зберігайте всі секрети, ключі API та рядки підключення в Azure Key Vault.
- Налаштуйте спеціальні конектори для використання автентифікації OAuth або ключа API, яка посилається на змінні середовища або секрети Key Vault, тримаючи облікові дані за межами визначення теми агента.
- Протестуйте агента, щоб підтвердити, що всі з'єднання та дії працюють правильно.
Відповідність вимогам
- Інше: Ця перевірка є частиною найкращих практик безпеки Aether365 для Microsoft 365