AI agents should not use MCP server tools without review
Чому це важливо
Агенти Copilot Studio, інтегровані із зовнішніми MCP-серверами, можуть створювати ризики для ланцюга постачання, якщо ці кінцеві точки скомпрометовані або ненадійні. Зловмисник, який контролює MCP-сервер, може маніпулювати поведінкою агента, викрадати дані або виконувати несанкціоновані дії. Перевірка всіх інтеграцій MCP-серверів є обов'язковою для підтримки контролю над вашими AI-агентами та захисту організації від вразливостей сторонніх постачальників.
Що перевіряє Aether365
Ця перевірка визначає, чи містять агенти Copilot Studio у вашому клієнті інтеграції інструментів MCP-серверів, які не були перевірені на відповідність вимогам безпеки. Вона відображається на панелі Aether365 у категорії "microsoft-365" із серйозністю "Medium".
Як виправити
- Увійдіть на портал Microsoft Copilot Studio та перейдіть до списку агентів.
- Для кожного позначеного агента відкрийте його та виберіть вкладку "Actions".
- Перегляньте всі записи MCP-серверів у розділі "MCP Server Tools".
- Для кожного MCP-сервера підтвердьте, що URL-адреса кінцевої точки належить вашій організації або довіреному партнеру.
- Переконайтеся, що кінцева точка розміщена на інфраструктурі, яку ви контролюєте, та використовує HTTPS з належною автентифікацією.
- Якщо MCP-сервер не відповідає цим критеріям, видаліть його з конфігурації агента.
- Розгляньте можливість заміни інструментів MCP на спеціальні з'єднувачі Power Platform, які забезпечують застосування політик DLP та засоби управління.
Відповідність
- Не застосовується до конкретних нормативних рамок. Це найкраща практика безпеки для керування інтеграціями AI-агентів.