Security

Copilot Studio: 10 błędnych konfiguracji i wykrywanie

3 min czytania

Podsumowanie

Microsoft ostrzega, że agenci tworzeni w Copilot Studio mogą przez drobne błędy konfiguracji — takie jak nadmierne udostępnianie, słabe uwierzytelnianie czy niebezpieczne akcje — otwierać nowe ścieżki dostępu do danych i zwiększać powierzchnię ataku. Firma wskazuje 10 najczęstszych problemów oraz pokazuje, jak wykrywać je za pomocą Defender Advanced Hunting Community Queries i ograniczać ryzyko poprzez mechanizmy takie jak Managed Environments i limity udostępniania, co ma znaczenie dla organizacji szybko wdrażających narzędzia AI w modelu low-code.

Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

Wprowadzenie: dlaczego to ma znaczenie

Agenci szybko stają się nową płaszczyzną sterowania dla dostępu do danych i automatyzacji przepływów pracy — często tworzeni i wdrażani w krótkim czasie przy użyciu narzędzi low-code, takich jak Copilot Studio. Microsoft ostrzega, że drobne wybory konfiguracyjne (szerokie udostępnianie, niebezpieczne akcje, słabe uwierzytelnianie, nieaktualne przypisanie właściciela) mogą tworzyć ścieżki tożsamości i dostępu do danych, których tradycyjne mechanizmy bezpieczeństwa mogą nie monitorować. Efekt: błędnie skonfigurowani agenci mogą po cichu zwiększać powierzchnię ataku i umożliwiać nadużycia sterowane promptami lub eksfiltrację danych.

Co nowego: 10 typowych błędnych konfiguracji agentów (i jak je wykrywać)

Microsoft opisuje dziesięć błędnych konfiguracji „spotykanych w praktyce” i mapuje każdą z nich na Defender Advanced Hunting Community Queries (Security portal → Advanced hunting → Queries → Community Queries → folder AI Agent) oraz rekomendowane działania naprawcze w Copilot Studio/Power Platform.

Kluczowe motywy obejmują:

1) Nadmierne udostępnianie i słabe granice dostępu

  • Ryzyko: Agenci udostępniani całej organizacji lub szerokim grupom.
  • Wykrywanie: Zapytania takie jak AI Agents – Organization or Multitenant Shared.
  • Ograniczanie ryzyka: Używaj Managed Environments i agent sharing limits; weryfikuj strategię środowisk i zakres udostępniania.

2) Brakujące lub niespójne uwierzytelnianie

  • Ryzyko: Agenci, którzy nie wymagają uwierzytelniania, stają się publicznym punktem wejścia.
  • Wykrywanie: AI Agents – No Authentication Required.
  • Ograniczanie ryzyka: Wymuszaj agent authentication at the environment level (uwierzytelnianie jest domyślnie włączone — nie luzuj go do testów bez zabezpieczeń).

3) Ryzykowne akcje, konektory i ścieżki eksfiltracji

  • Ryzyko: Akcje HTTP Request z niebezpiecznymi ustawieniami (bez HTTPS, niestandardowe porty) lub akcje e-mail umożliwiające eksfiltrację danych.
  • Wykrywanie: Zapytania obejmujące wzorce żądań HTTP oraz e-mail do podmiotów zewnętrznych/wejścia kontrolowane przez AI.
  • Ograniczanie ryzyka: Stosuj Data Policies / Advanced Connector Policies oraz rozważ Microsoft Defender Real-time Protection i kontrolę akcji konektorów.

4) Dryf ładu: uśpieni, osieroceni i nadmiernie uprzywilejowani agenci

  • Ryzyko: Uśpieni agenci/połączenia, uwierzytelnianie autora (maker), osieroceni agenci z wyłączonymi właścicielami, zakodowane na stałe poświadczenia.
  • Wykrywanie: Zapytania dla uśpionych/niemodyfikowanych agentów, author auth, hardcoded credentials, orphaned owners.
  • Ograniczanie ryzyka: Regularnie przeglądaj inwentarz, ograniczaj poświadczenia maker, przechowuj sekrety w Azure Key Vault przez zmienne środowiskowe oraz izoluj/wycofuj nieaktualne agenty.

5) Nowe narzędzia i ryzyka orkiestracji

  • Ryzyko: Narzędzia MCP i generatywna orkiestracja bez jasnych instrukcji (dryf zachowania/nadużycia promptów).
  • Wykrywanie: Skonfigurowane MCP oraz orkiestracja bez instrukcji.
  • Ograniczanie ryzyka: Ograniczaj narzędzia MCP przez polityki; polegaj na wbudowanych zabezpieczeniach (np. Azure Prompt Shield/RAI controls) i publikuj z jasnymi instrukcjami.

Znaczenie dla administratorów IT i zespołów bezpieczeństwa

  • Spodziewaj się, że agenci wprowadzą nietradycyjne ścieżki dostępu (konektory, narzędzia MCP, akcje e-mail), które mogą omijać starsze mechanizmy monitorowania.
  • Tempo low-code zwiększa prawdopodobieństwo błędnej konfiguracji na dużą skalę, zwłaszcza w wielu środowiskach Power Platform.
  • Problemy ładu (własność, uśpienie, poświadczenia maker) mogą tworzyć trwałe, trudne do zauważenia ryzyko.

Rekomendowane kolejne kroki

  1. Uruchom AI Agent Community Queries w Defender Advanced Hunting i ustal bazę wyników dla każdego środowiska.
  2. Wymuś uwierzytelnianie na poziomie środowiska i przejrzyj wszelkie wyjątki.
  3. Wdróż/zweryfikuj Managed Environments, sharing limits oraz Data/Connector policies.
  4. Sprawdź author authentication, hardcoded secrets oraz orphaned/dormant agents; napraw i wycofaj tam, gdzie to właściwe.
  5. Udokumentuj wytyczne bezpiecznego tworzenia dla maker (dobre praktyki HTTP, obsługa sekretów, jakość instrukcji) i dodaj je do wewnętrznego onboardingu.

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Microsoft Defender Security Research Team
Copilot StudioMicrosoft DefenderAdvanced HuntingPower Platform governanceAI security

Powiązane artykuły

Security

Kompromitacja łańcucha dostaw Trivy: wskazówki Defender

Microsoft opublikował wskazówki dotyczące wykrywania, badania i ograniczania skutków kompromitacji łańcucha dostaw Trivy z marca 2026 r., która dotknęła binarkę Trivy i powiązane GitHub Actions. Incydent jest istotny, ponieważ wykorzystał zaufane narzędzia bezpieczeństwa CI/CD do kradzieży poświadczeń z potoków buildów, środowisk chmurowych i systemów deweloperskich, jednocześnie pozornie działając normalnie.

Security

Governance AI agentów: zgodność intencji i bezpieczeństwo

Microsoft przedstawia model governance dla AI agents, który łączy intencje użytkownika, dewelopera, role-based oraz organizacji. Framework pomaga firmom utrzymać agentów jako użytecznych, bezpiecznych i zgodnych z wymaganiami, definiując granice zachowań oraz jasną hierarchię priorytetów w razie konfliktów.

Security

{{Microsoft Defender predictive shielding blokuje GPO ransomware}}

{{Microsoft opisał rzeczywisty przypadek ransomware, w którym predictive shielding w Defender wykrył złośliwe nadużycie Group Policy Object jeszcze przed rozpoczęciem szyfrowania. Dzięki wzmocnieniu propagacji GPO i zakłóceniu działania przejętych kont Defender zablokował około 97% prób szyfrowania i nie dopuścił do zaszyfrowania żadnych urządzeń przez ścieżkę dostarczania opartą na GPO.}}

Security

Zabezpieczenia agentic AI od Microsoft na RSAC 2026

Microsoft na RSAC 2026 zaprezentował strategię zabezpieczania agentic AI w firmach, obejmującą ochronę agentów, tożsamości, danych i infrastruktury, a także potwierdził premierę Agent 365 w modelu general availability od 1 maja. To ważne, bo wraz z rosnącym wdrożeniem AI w przedsiębiorstwach organizacje potrzebują narzędzi do centralnego zarządzania ryzykiem, wykrywania nieautoryzowanego użycia AI i ograniczania nadmiernego udostępniania danych.

Security

CTI-REALM open source: benchmark AI do detekcji

Microsoft udostępnił open source benchmark CTI-REALM, który sprawdza, czy agenci AI potrafią wykonywać realną pracę z obszaru inżynierii detekcji — od analizy raportów threat intelligence po tworzenie i walidację reguł detekcji. To ważne dla zespołów SOC i bezpieczeństwa, ponieważ zamiast mierzyć wyłącznie wiedzę modelu, narzędzie ocenia jego skuteczność w praktycznych zadaniach operacyjnych w środowiskach takich jak Linux, AKS i chmura Azure.

Security

Zero Trust for AI od Microsoft: warsztaty i ocena

Microsoft wprowadza wytyczne Zero Trust for AI, które przenoszą zasady Zero Trust na modele, agentów, dane i zautomatyzowane decyzje, aby pomóc firmom bezpiecznie wdrażać AI. Firma rozszerzyła też Zero Trust Workshop o dedykowany filar AI oraz rozbudowane oceny i kontrolki, co ma ułatwić zespołom IT i bezpieczeństwa identyfikację ryzyk takich jak prompt injection czy data poisoning oraz lepsze planowanie zabezpieczeń.