Ошибки конфигурации Copilot Studio: 10 рисков

Introduction: why this matters

Агенты Copilot Studio быстро встраиваются в операционные рабочие процессы — запрашивают данные, запускают действия и взаимодействуют с системами в масштабе. Команда Defender Security Research Team предупреждает, что небольшие, сделанные из лучших побуждений решения в настройках (слишком широкое предоставление доступа, слабая аутентификация, рискованные действия) могут незаметно превратиться в точки высокого риска. Хорошая новость: Microsoft Defender может помочь обнаружить такие состояния на раннем этапе с помощью Advanced Hunting Community Queries.

What’s new: 10 misconfigurations to hunt for

Microsoft опубликовала «одностраничный обзор» наиболее распространённых рисков агентов Copilot Studio, наблюдаемых в реальных средах, вместе с соответствующими обнаружениями в Microsoft Defender Advanced Hunting (Security portal → Advanced hunting → Queries → Community Queries → папка AI Agent).

Среди ключевых рисков отмечены:

• Слишком широкое предоставление доступа (доступ для всей организации или больших групп): увеличивает поверхность атаки и вероятность непреднамеренного использования.
• Отсутствие требования аутентификации: превращает агента в публичную/анонимную точку входа, которая может раскрывать внутренние данные или логику.
• Рискованные действия HTTP Request: использование не-HTTPS, нестандартных портов или прямых вызовов к endpoint’ам, которые должны управляться через connectors — в обход политик и защитных механизмов идентификации.
• Каналы эксфильтрации данных через email: агенты, которые могут отправлять письма на вводимые атакующим адреса или во внешние почтовые ящики (особенно опасно при prompt injection).
• Неактивные агенты, действия или подключения: «забытые» опубликованные агенты и устаревшие подключения создают скрытый, привилегированный доступ.
• Аутентификация автора (maker) в production: нарушает разделение обязанностей и фактически может выполнять действия с повышенными правами maker.
• Жёстко прописанные учётные данные в topics/actions: прямой риск утечки credentials.
• Настроенные инструменты Model Context Protocol (MCP): могут добавлять недокументированные пути доступа и непреднамеренные взаимодействия с системами.
• Generative orchestration без инструкций: повышает вероятность «дрейфа» поведения или небезопасных действий, спровоцированных prompt’ами.
• «Осиротевшие» агенты (без активного владельца): слабое управление, отсутствие ответственного сопровождения и повышенный риск устаревшей логики.

Impact on IT admins and security teams

Для администраторов, управляющих Power Platform и безопасностью Microsoft 365, ключевой вывод в том, что состояние безопасности агентов теперь является частью управления идентификацией и данными. Ошибки конфигурации могут создавать новые пути доступа, которые традиционные инвентаризации приложений, допущения conditional access или политики connectors могут не полностью охватывать — особенно когда агенты быстро создаются makers.

Action items / next steps

1. Запустите Community Queries в Advanced Hunting Defender (папка AI Agent) и сформируйте базовую картину (baseline) по находкам во всех средах.
2. Приоритизируйте устранение для: агентов без аутентификации, общего доступа на всю организацию, агентов с maker-auth и любых возможностей отправки email наружу.
3. Пересмотрите использование HTTP Request и по возможности замените на управляемые connectors; обеспечьте HTTPS и стандартные порты.
4. Очистите неактивные/осиротевшие активы: выведите из эксплуатации неиспользуемые агенты/действия и выполните ротацию/удаление устаревших подключений.
5. Внедрите операционные guardrails: требуйте назначенного владельца, документированного назначения, подключений по принципу least privilege и обязательных инструкций для generative orchestration.