Copilot Studio-agenter: 10 feil Defender kan oppdage

Introduksjon: derfor er dette viktig

Copilot Studio-agenter blir raskt bygget inn i operative arbeidsflyter—de spør etter data, utløser handlinger og samhandler med systemer i stor skala. Defender Security Research Team advarer om at små, velmente konfigurasjonsvalg (bred deling, svak autentisering, risikable handlinger) i det stille kan bli eksponeringer med stor konsekvens. Den gode nyheten: Microsoft Defender kan hjelpe deg med å oppdage disse forholdene tidlig ved å bruke Advanced Hunting Community Queries.

Hva er nytt: 10 feilkonfigurasjoner å jakte på

Microsoft har publisert en «one-page view» av de vanligste Copilot Studio-agentrisikoene observert i reelle miljøer, sammen med tilhørende deteksjoner i Microsoft Defender Advanced Hunting (Security portal → Advanced hunting → Queries → Community Queries → AI Agent-mappen).

Viktige risikoer som fremheves inkluderer:

• For bred deling (delt til hele organisasjonen eller brede grupper): øker angrepsflaten og utilsiktet bruk.
• Ingen autentisering kreves: gjør en agent til et offentlig/anonymt inngangspunkt som kan eksponere interne data eller logikk.
• Risikable HTTP Request-handlinger: bruk av ikke-HTTPS, ikke-standard porter, eller direkte kall til endepunkter som bør styres via connectors—omgår policy- og identitetssikringer.
• E-postbaserte veier for dataeksfiltrasjon: agenter som kan sende e-post til angriper-kontrollerte mottakere eller eksterne postbokser (spesielt farlig ved prompt injection).
• Sovende agenter, handlinger eller tilkoblinger: «glemte» publiserte agenter og utdaterte tilkoblinger skaper skjult, privilegert tilgang.
• Forfatter- (maker-)autentisering i produksjon: bryter arbeidsdeling og kan i praksis kjøre med forhøyede maker-rettigheter.
• Hardkodede legitimasjoner i topics/actions: direkte risiko for lekkasje av legitimasjon.
• Model Context Protocol (MCP)-verktøy konfigurert: kan introdusere udokumenterte tilgangsveier og utilsiktede systeminteraksjoner.
• Generative orchestration uten instruksjoner: øker sannsynligheten for atferdsdrift eller prompt-drevne utrygge handlinger.
• Foreldreløse agenter (ingen aktiv eier): svak styring, ingen ansvarlig forvalter, og høyere risiko for utdatert logikk.

Konsekvens for IT-administratorer og sikkerhetsteam

For administratorer som forvalter Power Platform og Microsoft 365-sikkerhet, er hovedpoenget at sikkerhetsposisjonen til agenter nå er en del av identitets- og datastyring. Feilkonfigurasjoner kan skape nye tilgangsveier som tradisjonelle app-inventarer, antakelser om Conditional Access eller connector-policyer ikke fanger fullt ut—særlig når agenter raskt opprettes av makers.

Tiltak / neste steg

1. Kjør Community Queries i Defenders Advanced Hunting (AI Agent-mappen) og etabler et grunnlag for funn på tvers av miljøer.
2. Prioriter utbedring for: agenter uten autentisering, org-vid deling, maker-auth-agenter og all ekstern e-postfunksjonalitet.
3. Gå gjennom HTTP Request-bruk og erstatt med styrte connectors der det er mulig; håndhev HTTPS og standard porter.
4. Rydd opp i sovende/foreldreløse ressurser: avvikle ubrukte agenter/handlinger og roter/fjern utdaterte tilkoblinger.
5. Etabler operasjonelle rammer (guardrails): krev navngitt eierskap, dokumentert formål, tilkoblinger med minst mulige rettigheter, og obligatoriske instruksjoner for generative orchestration.