Security

Copilot Studio Misconfigurations: 10 Risks to Detect

3 min di lettura

Riepilogo

Microsoft has outlined 10 common Copilot Studio misconfigurations that can expose organizations to identity abuse, prompt-driven attacks, and data exfiltration, especially as low-code AI agents become a new control plane for accessing data and automating workflows. The guidance matters because it pairs each risk with Defender Advanced Hunting community queries and recommended mitigations, giving security teams concrete ways to find and fix weak sharing, authentication, ownership, and action settings before they silently expand the attack surface.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduction: why this matters

Agents stanno rapidamente diventando un nuovo control plane per l’accesso ai dati e l’automazione dei workflow, spesso creati e distribuiti rapidamente tramite strumenti low-code come Copilot Studio. Microsoft avverte che piccole scelte di configurazione (condivisione ampia, azioni non sicure, autenticazione debole, proprietà non aggiornata) possono creare percorsi di identità e di accesso ai dati che i controlli di sicurezza tradizionali potrebbero non monitorare. L’effetto netto: agent configurati in modo errato possono espandere silenziosamente la superficie di attacco e abilitare abusi guidati da prompt o esfiltrazione di dati.

What’s new: 10 common agent misconfigurations (and how to detect them)

Microsoft documenta dieci errate configurazioni “in the wild” e mappa ciascuna a Defender Advanced Hunting Community Queries (Security portal → Advanced hunting → Queries → Community Queries → AI Agent folder), oltre alle mitigazioni consigliate in Copilot Studio/Power Platform.

I temi chiave includono:

1) Oversharing and weak access boundaries

  • Risk: Agent condivisi con l’intera organizzazione o con gruppi molto ampi.
  • Detect: Query come AI Agents – Organization or Multitenant Shared.
  • Mitigate: Usare Managed Environments e i limiti di condivisione degli agent; validare la strategia degli environment e l’ambito di condivisione.

2) Missing or inconsistent authentication

  • Risk: Agent che non richiedono autenticazione diventano un punto di ingresso pubblico.
  • Detect: AI Agents – No Authentication Required.
  • Mitigate: Applicare l’autenticazione degli agent a livello di environment (l’autenticazione è attiva per impostazione predefinita: non disattivarla per test senza guardrail).

3) Risky actions, connectors, and exfiltration paths

  • Risk: Azioni HTTP Request con impostazioni non sicure (non-HTTPS, porte non standard) o azioni email che abilitano l’esfiltrazione dei dati.
  • Detect: Query che coprono pattern di HTTP request e email verso destinatari esterni/inputs controllati dall’AI.
  • Mitigate: Applicare Data Policies / Advanced Connector Policies e considerare Microsoft Defender Real-time Protection e i controlli sulle azioni dei connector.

4) Governance drift: dormant, orphaned, and over-privileged agents

  • Risk: Agent/connessioni dormienti, autenticazione dell’autore (maker), agent orfani con proprietari disabilitati, credenziali hardcoded.
  • Detect: Query per agent dormienti/non modificati, author auth, credenziali hardcoded, proprietari orfani.
  • Mitigate: Riesaminare regolarmente l’inventario, limitare le credenziali dei maker, archiviare i segreti in Azure Key Vault tramite environment variables e mettere in quarantena/disattivare gli agent obsoleti.

5) New tooling and orchestration risks

  • Risk: Tool MCP e orchestrazione generativa senza istruzioni chiare (behavior drift/prompt abuse).
  • Detect: MCP configurato e orchestrazione senza istruzioni.
  • Mitigate: Limitare i tool MCP tramite policy; fare affidamento sui guardrail integrati (ad es. Azure Prompt Shield/controlli RAI) e pubblicare con istruzioni chiare.

Impact for IT admins and security teams

  • È prevedibile che gli agent introducano percorsi di accesso non tradizionali (connector, tool MCP, azioni email) che possono aggirare il monitoraggio legacy.
  • La velocità del low-code aumenta la probabilità di errata configurazione su larga scala, soprattutto su più Power Platform environments.
  • Problemi di governance (proprietà, dormienza, credenziali dei maker) possono creare un rischio persistente e difficile da vedere.
  1. Eseguire le AI Agent Community Queries in Defender Advanced Hunting e creare una baseline dei risultati per environment.
  2. Applicare l’autenticazione a livello di environment e rivedere eventuali eccezioni.
  3. Implementare/validare Managed Environments, limiti di condivisione e Data/Connector policies.
  4. Verificare author authentication, segreti hardcoded e agent orfani/dormienti; correggere e dismettere dove opportuno.
  5. Documentare linee guida di build sicura per i maker (best practice HTTP, gestione dei segreti, qualità delle istruzioni) e aggiungerle all’onboarding interno.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team
Copilot StudioMicrosoft DefenderAdvanced HuntingPower Platform governanceAI security

Articoli correlati

Security

Compromissione supply chain Trivy: guida Defender

Microsoft ha pubblicato linee guida per il rilevamento, l’indagine e la mitigazione della compromissione della supply chain di Trivy del marzo 2026, che ha interessato il binario Trivy e le GitHub Actions correlate. L’incidente è rilevante perché ha trasformato uno strumento di sicurezza CI/CD affidabile in un mezzo per rubare credenziali da pipeline di build, ambienti cloud e sistemi di sviluppo, continuando però a sembrare operativo normalmente.

Security

{{Governance degli AI agent: allineare gli intenti}}

{{Microsoft delinea un modello di governance per gli AI agent che allinea l’intento dell’utente, dello sviluppatore, basato sul ruolo e dell’organizzazione. Il framework aiuta le aziende a mantenere gli agent utili, sicuri e conformi definendo confini comportamentali e un chiaro ordine di precedenza quando sorgono conflitti.}}

Security

Microsoft Defender predictive shielding ferma ransomware GPO

Microsoft ha descritto un caso reale di ransomware in cui il predictive shielding di Defender ha rilevato l’abuso dannoso di Group Policy Object prima dell’inizio della crittografia. Rafforzando la propagazione dei GPO e interrompendo gli account compromessi, Defender ha bloccato circa il 97% dei tentativi di crittografia e ha impedito che qualsiasi dispositivo venisse cifrato tramite il percorso di distribuzione GPO.

Security

Sicurezza end-to-end per l’AI agentica con Microsoft

Microsoft ha presentato al RSAC 2026 una strategia di sicurezza end-to-end per l’AI agentica, annunciando la disponibilità generale di Agent 365 dal 1° maggio come piattaforma di controllo per osservare, proteggere e governare gli agenti AI su larga scala. La novità conta perché, insieme a strumenti come Security Dashboard for AI ed Entra Internet Access Shadow AI Detection, offre alle aziende maggiore visibilità sui rischi, aiuta a limitare l’accesso e la condivisione eccessiva dei dati e rafforza la difesa contro minacce AI emergenti.

Security

Microsoft Open Source CTI-REALM per AI Detection

Microsoft has open-sourced CTI-REALM, a new benchmark designed to test whether AI agents can perform real detection engineering work from cyber threat intelligence reports, not just answer cybersecurity questions. It matters because it evaluates end-to-end operational tasks across Linux, Azure Kubernetes Service, and Azure cloud environments, giving security teams a more realistic way to measure how useful AI may be for SOC and detection workflows.

Security

Microsoft Zero Trust for AI: workshop e architettura

Microsoft ha presentato Zero Trust for AI, una guida che estende i principi di Zero Trust agli ambienti AI per aiutare le aziende a proteggere modelli, agenti, dati e decisioni automatizzate. La novità più rilevante è l’aggiunta di un pilastro dedicato all’AI nel Zero Trust Workshop, con 700 controlli di sicurezza, 116 gruppi logici e 33 swim lane funzionali: un aggiornamento importante perché offre ai team IT e sicurezza un framework pratico per valutare i rischi dell’AI e applicare controlli coerenti su processi e tecnologie.