Copilot Studio: 10 chybných konfigurací a detekce

Úvod: proč je to důležité

Agenti Copilot Studio se rychle stávají součástí provozních workflow – dotazují se na data, spouštějí akce a ve velkém měřítku interagují se systémy. Defender Security Research Team upozorňuje, že malé, dobře míněné volby konfigurace (široké sdílení, slabé ověřování, rizikové akce) se mohou nenápadně změnit ve vysoce dopadové body expozice. Dobrá zpráva: Microsoft Defender vám může pomoci tyto stavy včas detekovat pomocí Advanced Hunting Community Queries.

Co je nového: 10 chybných konfigurací, na které se zaměřit

Microsoft publikoval „one-page view“ nejčastějších rizik agentů Copilot Studio pozorovaných v reálných prostředích spolu s odpovídajícími detekcemi v Microsoft Defender Advanced Hunting (Security portal → Advanced hunting → Queries → Community Queries → složka AI Agent).

Mezi zdůrazněná klíčová rizika patří:

• Příliš široké sdílení (sdíleno celé organizaci nebo širokým skupinám): zvyšuje útočnou plochu a riziko nechtěného použití.
• Bez nutnosti autentizace: z agenta se stává veřejný/anonymní vstupní bod, který může odhalit interní data nebo logiku.
• Rizikové akce HTTP Request: použití ne-HTTPS, nestandardních portů nebo přímých volání na endpointy, které by měly být spravovány přes connectors – obcházení zásad a ochran identity.
• Cesty k exfiltraci dat přes e-mail: agenti, kteří mohou odesílat e-mail na vstupy ovládané útočníkem nebo do externích mailboxů (obzvlášť nebezpečné při prompt injection).
• Neaktivní agenti, akce nebo připojení: „zapomenutí“ publikovaní agenti a zastaralá připojení vytvářejí skrytý, privilegovaný přístup.
• Autentizace autora (maker) v produkci: narušuje separation of duties a může fakticky běžet se zvýšenými oprávněními makerů.
• Hard-coded přihlašovací údaje v topics/actions: přímé riziko úniku přihlašovacích údajů.
• Nakonfigurované nástroje Model Context Protocol (MCP): mohou zavést nezdokumentované přístupové cesty a nechtěné interakce se systémy.
• Generative orchestration bez instrukcí: zvyšuje pravděpodobnost odchylky chování nebo promptem vyvolaných nebezpečných akcí.
• Orphaned agenti (bez aktivního vlastníka): slabá governance, žádný odpovědný správce a vyšší riziko zastaralé logiky.

Dopad na IT adminy a bezpečnostní týmy

Pro adminy spravující Power Platform a zabezpečení Microsoft 365 je klíčové zjištění, že security posture agentů je nyní součástí správy identity a dat (identity and data governance). Chybné konfigurace mohou vytvářet nové přístupové cesty, které tradiční inventáře aplikací, předpoklady kolem conditional access nebo zásady pro connectors nemusí plně zachytit – zejména když agenti rychle vznikají z iniciativy makerů.

Akční kroky / co dál

1. Spusťte Community Queries v Defender’s Advanced Hunting (složka AI Agent) a vytvořte baseline zjištění napříč prostředími.
2. Upřednostněte nápravu pro: neautentizované agenty, sdílení napříč organizací, agenty s maker-auth a jakoukoli schopnost posílat e-mail mimo organizaci.
3. Prověřte používání HTTP Request a tam, kde je to možné, nahraďte za řízené connectors; vynucujte HTTPS a standardní porty.
4. Ukliďte neaktivní/orphaned prostředky: vyřaďte nepoužívané agenty/akce a rotujte/odstraňte zastaralá připojení.
5. Nastavte provozní guardrails: vyžadujte pojmenované vlastnictví, zdokumentovaný účel, připojení podle principu least privilege a povinné instrukce pro generative orchestration.