Copilot Studio: 10 błędnych konfiguracji do wykrycia

Wprowadzenie: dlaczego to ma znaczenie

Agenci Copilot Studio szybko stają się częścią operacyjnych przepływów pracy — odpytywania danych, uruchamiania akcji i interakcji z systemami na dużą skalę. Zespół Defender Security Research ostrzega, że drobne, podejmowane w dobrej wierze decyzje konfiguracyjne (szerokie udostępnianie, słabe uwierzytelnianie, ryzykowne akcje) mogą po cichu stać się punktami ekspozycji o dużym wpływie. Dobra wiadomość: Microsoft Defender może pomóc wykrywać te warunki wcześnie, korzystając z Advanced Hunting Community Queries.

Co nowego: 10 błędnych konfiguracji, których warto szukać

Microsoft opublikował „one-page view” najczęstszych ryzyk agentów Copilot Studio zaobserwowanych w rzeczywistych środowiskach, wraz z odpowiadającymi im detekcjami w Microsoft Defender Advanced Hunting (Security portal → Advanced hunting → Queries → Community Queries → folder AI Agent).

Wyróżnione kluczowe ryzyka obejmują:

• Zbyt szerokie udostępnianie (udostępnione całej organizacji lub szerokim grupom): zwiększa powierzchnię ataku i ryzyko niezamierzonego użycia.
• Brak wymaganego uwierzytelniania: zamienia agenta w publiczny/anonimowy punkt wejścia, który może ujawniać wewnętrzne dane lub logikę.
• Ryzykowne akcje HTTP Request: używanie nie-HTTPS, niestandardowych portów lub bezpośrednich wywołań do endpointów, które powinny być zarządzane przez konektory — z pominięciem zasad i zabezpieczeń tożsamości.
• Ścieżki eksfiltracji danych przez e-mail: agenci, którzy mogą wysyłać e-mail do wejść kontrolowanych przez atakującego lub na zewnętrzne skrzynki (szczególnie niebezpieczne przy prompt injection).
• Nieaktywne agenty, akcje lub połączenia: „zapomniani” opublikowani agenci i przestarzałe połączenia tworzą ukryty, uprzywilejowany dostęp.
• Uwierzytelnianie autora (maker) w środowisku produkcyjnym: łamie separację obowiązków i może w praktyce uruchamiać działania z podwyższonymi uprawnieniami makera.
• Zaszyte na stałe poświadczenia w tematach/akcjach: bezpośrednie ryzyko wycieku poświadczeń.
• Skonfigurowane narzędzia Model Context Protocol (MCP): mogą wprowadzać nieudokumentowane ścieżki dostępu i niezamierzone interakcje z systemami.
• Generative orchestration bez instrukcji: zwiększa prawdopodobieństwo dryfu zachowania lub niebezpiecznych akcji wywołanych przez prompt.
• Osieroceni agenci (bez aktywnego właściciela): słaby ład (governance), brak odpowiedzialnego opiekuna i większe ryzyko nieaktualnej logiki.

Wpływ na administratorów IT i zespoły bezpieczeństwa

Dla administratorów zarządzających Power Platform i bezpieczeństwem Microsoft 365 kluczowy wniosek jest taki, że pozycja bezpieczeństwa agentów jest teraz częścią ładu tożsamości i danych. Błędne konfiguracje mogą tworzyć nowe ścieżki dostępu, których tradycyjne inwentaryzacje aplikacji, założenia dotyczące conditional access czy polityki konektorów mogą nie obejmować w pełni — zwłaszcza gdy agenci są szybko tworzeni przez makerów.

Działania / kolejne kroki

1. Uruchom Community Queries w Advanced Hunting w Defender (folder AI Agent) i zbuduj bazowy obraz wyników w środowiskach.
2. Nadaj priorytet remediacji dla: agentów bez uwierzytelniania, udostępniania na całą organizację, agentów z uwierzytelnianiem maker oraz wszelkiej funkcji wysyłki e-mail na zewnątrz.
3. Przejrzyj użycie HTTP Request i tam, gdzie to możliwe, zastąp je zarządzanymi konektorami; wymuś HTTPS i standardowe porty.
4. Posprzątaj nieaktywne/osierocone zasoby: wycofaj nieużywane agenty/akcje oraz rotuj/usuń przestarzałe połączenia.
5. Ustanów operacyjne guardrails: wymagaj imiennego właściciela, udokumentowanego celu, połączeń zgodnych z zasadą least privilege oraz obowiązkowych instrukcji dla generative orchestration.