Security

Copilot Studio Security: 10 misconfigurazioni da correggere

3 min di lettura

Riepilogo

Microsoft evidenzia 10 misconfigurazioni comuni in Copilot Studio che possono esporre gli agenti a condivisioni eccessive, accessi anonimi, richieste HTTP rischiose e percorsi di esfiltrazione dati. La novità conta perché l’azienda ha anche pubblicato query pronte in Microsoft Defender Advanced Hunting per individuare questi problemi in modo proattivo, aiutando i team di sicurezza a rafforzare la postura prima che vengano sfruttati senza alert evidenti.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione: perché è importante

Gli agenti di Copilot Studio stanno diventando rapidamente parte integrante dei flussi operativi—recuperano dati, attivano azioni e interagiscono con sistemi interni su larga scala. La stessa automazione crea anche nuovi percorsi di attacco quando gli agenti vengono condivisi in modo improprio, eseguiti con privilegi eccessivi o quando aggirano i controlli standard di governance. Il team di Defender Security Research di Microsoft sta osservando questi problemi “in the wild”, spesso senza alert evidenti, rendendo essenziali la scoperta proattiva e la gestione della postura.

Novità: 10 rischi comuni degli agenti di Copilot Studio (e come rilevarli)

Microsoft ha pubblicato una lista pratica delle 10 principali configurazioni errate degli agenti e ha mappato ciascuna a Microsoft Defender Advanced Hunting Community Queries (Security portal → Advanced huntingQueriesCommunity queries → cartella AI Agent). I rischi principali includono:

  1. Condivisione troppo ampia (intera organizzazione o gruppi grandi) – amplia la superficie di attacco e abilita utilizzi non intenzionali.
  2. Nessuna autenticazione richiesta – crea punti di ingresso pubblici/anonimi e potenziali perdite di dati.
  3. Azioni HTTP Request rischiose – chiamate a endpoint dei connector, non-HTTPS o porte non standard possono aggirare la governance dei connector e i controlli su identità.
  4. Percorsi di esfiltrazione dati via email – agenti che inviano email a valori controllati dall’AI o a mailbox esterne possono abilitare esfiltrazione guidata da prompt injection.
  5. Agenti/azioni/connessioni inattivi – componenti obsoleti diventano una superficie di attacco nascosta con privilegi residui.
  6. Autenticazione dell’autore (maker) – indebolisce la separation of duties e può abilitare privilege escalation.
  7. Credenziali hard-coded in topic/azioni – aumenta la probabilità di leakage e riutilizzo delle credenziali.
  8. Strumenti Model Context Protocol (MCP) configurati – possono introdurre percorsi di accesso non documentati e interazioni di sistema non intenzionali.
  9. Generative orchestration senza istruzioni – rischio più elevato di deriva del comportamento e abuso dei prompt.
  10. Agenti orfani (nessun owner attivo) – governance debole e accesso non gestito nel tempo.

Impatto per gli amministratori IT e i team di sicurezza

  • Gap di visibilità: queste configurazioni errate spesso non sembrano malevole durante la creazione e potrebbero non attivare alert tradizionali.
  • Esposizione di identità e dati: accesso non autenticato, credenziali del maker e condivisione ampia possono trasformare un agente in un pivot a basso attrito verso i dati aziendali.
  • Bypass della governance: azioni HTTP dirette possono eludere le protezioni dei connector di Power Platform (validazione, throttling, applicazione dell’identità).
  • Rischio operativo: agenti orfani o inattivi preservano logica di business e accesso molto dopo che ownership e intent non sono più chiari.

Azioni consigliate / prossimi passi

  1. Esegui ora le AI Agent Community Queries e crea una baseline dei risultati (parti da: condivisione a tutta l’organizzazione, agenti senza autenticazione, author authentication, credenziali hard-coded).
  2. Rafforza condivisione e autenticazione: applica il principio del least privilege e richiedi autenticazione per tutti gli agenti in produzione.
  3. Rivedi l’uso di HTTP Request: preferisci connector governati; segnala non-HTTPS e porte non standard per remediation immediata.
  4. Controlla gli scenari di email in uscita: limita i destinatari esterni, valida gli input dinamici e monitora pattern in stile prompt injection.
  5. Definisci una governance del ciclo di vita: inventaria gli agenti, rimuovi o assegna un nuovo owner agli agenti orfani e dismetti connessioni/azioni inattive.

Trattando la configurazione degli agenti come parte della tua postura di sicurezza—e facendo hunting continuo di questi pattern—puoi ridurre l’esposizione prima che gli attaccanti la rendano operativa.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team
Copilot StudioMicrosoft DefenderAdvanced HuntingAI securityPower Platform governance

Articoli correlati

Security

Compromissione supply chain Trivy: guida Defender

Microsoft ha pubblicato linee guida per il rilevamento, l’indagine e la mitigazione della compromissione della supply chain di Trivy del marzo 2026, che ha interessato il binario Trivy e le GitHub Actions correlate. L’incidente è rilevante perché ha trasformato uno strumento di sicurezza CI/CD affidabile in un mezzo per rubare credenziali da pipeline di build, ambienti cloud e sistemi di sviluppo, continuando però a sembrare operativo normalmente.

Security

{{Governance degli AI agent: allineare gli intenti}}

{{Microsoft delinea un modello di governance per gli AI agent che allinea l’intento dell’utente, dello sviluppatore, basato sul ruolo e dell’organizzazione. Il framework aiuta le aziende a mantenere gli agent utili, sicuri e conformi definendo confini comportamentali e un chiaro ordine di precedenza quando sorgono conflitti.}}

Security

Microsoft Defender predictive shielding ferma ransomware GPO

Microsoft ha descritto un caso reale di ransomware in cui il predictive shielding di Defender ha rilevato l’abuso dannoso di Group Policy Object prima dell’inizio della crittografia. Rafforzando la propagazione dei GPO e interrompendo gli account compromessi, Defender ha bloccato circa il 97% dei tentativi di crittografia e ha impedito che qualsiasi dispositivo venisse cifrato tramite il percorso di distribuzione GPO.

Security

Sicurezza end-to-end per l’AI agentica con Microsoft

Microsoft ha presentato al RSAC 2026 una strategia di sicurezza end-to-end per l’AI agentica, annunciando la disponibilità generale di Agent 365 dal 1° maggio come piattaforma di controllo per osservare, proteggere e governare gli agenti AI su larga scala. La novità conta perché, insieme a strumenti come Security Dashboard for AI ed Entra Internet Access Shadow AI Detection, offre alle aziende maggiore visibilità sui rischi, aiuta a limitare l’accesso e la condivisione eccessiva dei dati e rafforza la difesa contro minacce AI emergenti.

Security

Microsoft Open Source CTI-REALM per AI Detection

Microsoft has open-sourced CTI-REALM, a new benchmark designed to test whether AI agents can perform real detection engineering work from cyber threat intelligence reports, not just answer cybersecurity questions. It matters because it evaluates end-to-end operational tasks across Linux, Azure Kubernetes Service, and Azure cloud environments, giving security teams a more realistic way to measure how useful AI may be for SOC and detection workflows.

Security

Microsoft Zero Trust for AI: workshop e architettura

Microsoft ha presentato Zero Trust for AI, una guida che estende i principi di Zero Trust agli ambienti AI per aiutare le aziende a proteggere modelli, agenti, dati e decisioni automatizzate. La novità più rilevante è l’aggiunta di un pilastro dedicato all’AI nel Zero Trust Workshop, con 700 controlli di sicurezza, 116 gruppi logici e 33 swim lane funzionali: un aggiornamento importante perché offre ai team IT e sicurezza un framework pratico per valutare i rischi dell’AI e applicare controlli coerenti su processi e tecnologie.