Security

Copilot Studio: 10 błędnych konfiguracji agentów

3 min czytania

Podsumowanie

Microsoft opisuje 10 najczęstszych błędnych konfiguracji agentów Copilot Studio, które mogą prowadzić do nieautoryzowanego dostępu, eksfiltracji danych i obchodzenia zasad bezpieczeństwa, m.in. przez zbyt szerokie udostępnianie, brak uwierzytelniania czy ryzykowne akcje HTTP. To ważne, ponieważ agenci AI coraz częściej mają dostęp do systemów i danych firmowych, a Microsoft udostępnił gotowe zapytania Defender Advanced Hunting, które pomagają szybko wykrywać te zagrożenia i poprawić posture bezpieczeństwa.

Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

Wprowadzenie: dlaczego to ma znaczenie

Agenci Copilot Studio szybko stają się elementem wbudowanym w przepływy operacyjne — pobierają dane, wyzwalają akcje i wchodzą w interakcje z systemami wewnętrznymi na dużą skalę. Ta sama automatyzacja tworzy jednak nowe ścieżki ataku, gdy agenci są udostępniani zbyt szeroko, działają z nadmiernymi uprawnieniami lub omijają standardowe mechanizmy ładu (governance). Zespół Defender Security Research w Microsoft obserwuje te problemy „w terenie”, często bez oczywistych alertów, co sprawia, że proaktywne wykrywanie i zarządzanie posture staje się kluczowe.

Co nowego: 10 typowych ryzyk agentów Copilot Studio (i jak je wykrywać)

Microsoft opublikował praktyczną listę top 10 błędnych konfiguracji agentów i przypisał każdą z nich do Microsoft Defender Advanced Hunting Community Queries (Security portal → Advanced huntingQueriesCommunity queries → folder AI Agent). Kluczowe ryzyka obejmują:

  1. Zbyt szerokie udostępnianie (cała organizacja lub duże grupy) – zwiększa powierzchnię ataku i umożliwia niezamierzone użycie.
  2. Brak wymogu uwierzytelnienia – tworzy publiczne/anonimowe punkty wejścia i ryzyko wycieku danych.
  3. Ryzykowne akcje HTTP Request – wywołania do endpointów konektorów, użycie non-HTTPS lub niestandardowych portów mogą omijać governance konektorów oraz kontrolę tożsamości.
  4. Ścieżki eksfiltracji danych przez e-mail – agenci wysyłający e-mail do wartości kontrolowanych przez AI lub do zewnętrznych skrzynek mogą umożliwiać eksfiltrację sterowaną prompt injection.
  5. Uśpieni agenci/akcje/połączenia – przestarzałe komponenty stają się ukrytą powierzchnią ataku z utrzymującymi się uprawnieniami.
  6. Uwierzytelnienie autora (maker) – osłabia rozdział obowiązków i może umożliwiać eskalację uprawnień.
  7. Zakodowane na stałe poświadczenia w tematach/akcjach – zwiększają prawdopodobieństwo wycieku i ponownego użycia poświadczeń.
  8. Skonfigurowane narzędzia Model Context Protocol (MCP) – mogą wprowadzać nieudokumentowane ścieżki dostępu i niezamierzone interakcje z systemami.
  9. Orkiestracja generatywna bez instrukcji – wyższe ryzyko dryfu zachowania i nadużyć promptów.
  10. Osieroceni agenci (brak aktywnego właściciela) – słabe governance i niezarządzany dostęp w czasie.

Wpływ na administratorów IT i zespoły security

  • Luka w widoczności: te błędne konfiguracje często nie wyglądają na złośliwe w trakcie tworzenia i mogą nie uruchamiać tradycyjnych alertów.
  • Ekspozycja tożsamości i danych: nieuwierzytelniony dostęp, poświadczenia maker oraz szerokie udostępnianie mogą zamienić agenta w „łatwy” pivot do danych organizacji.
  • Omijanie governance: bezpośrednie akcje HTTP mogą obchodzić mechanizmy ochronne konektorów Power Platform (walidacja, throttling, wymuszanie tożsamości).
  • Ryzyko operacyjne: osieroceni lub uśpieni agenci zachowują logikę biznesową i dostęp długo po tym, gdy właścicielstwo i intencja są niejasne.

Działania / kolejne kroki

  1. Uruchom teraz AI Agent Community Queries i ustal bazę wyników (zacznij od: udostępnianie w całej organizacji, agenci bez uwierzytelnienia, uwierzytelnienie autora, zakodowane na stałe poświadczenia).
  2. Zaostrz udostępnianie i uwierzytelnianie: wymuszaj zasadę najmniejszych uprawnień i wymagaj uwierzytelnienia dla wszystkich agentów produkcyjnych.
  3. Przejrzyj użycie HTTP Request: preferuj konektory objęte governance; oznacz non-HTTPS i niestandardowe porty do natychmiastowej naprawy.
  4. Kontroluj scenariusze wychodzącej poczty: ogranicz zewnętrznych odbiorców, waliduj dynamiczne dane wejściowe i monitoruj wzorce w stylu prompt-injection.
  5. Ustanów governance cyklu życia: zinwentaryzuj agentów, usuń lub przypisz na nowo właściciela osieroconym agentom oraz wycofaj uśpione połączenia/akcje.

Traktując konfigurację agentów jako element posture bezpieczeństwa — i stale polując na te wzorce — możesz zmniejszyć ekspozycję, zanim atakujący zaczną je wykorzystywać operacyjnie.

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Microsoft Defender Security Research Team
Copilot StudioMicrosoft DefenderAdvanced HuntingAI securityPower Platform governance

Powiązane artykuły

Security

Kompromitacja łańcucha dostaw Trivy: wskazówki Defender

Microsoft opublikował wskazówki dotyczące wykrywania, badania i ograniczania skutków kompromitacji łańcucha dostaw Trivy z marca 2026 r., która dotknęła binarkę Trivy i powiązane GitHub Actions. Incydent jest istotny, ponieważ wykorzystał zaufane narzędzia bezpieczeństwa CI/CD do kradzieży poświadczeń z potoków buildów, środowisk chmurowych i systemów deweloperskich, jednocześnie pozornie działając normalnie.

Security

Governance AI agentów: zgodność intencji i bezpieczeństwo

Microsoft przedstawia model governance dla AI agents, który łączy intencje użytkownika, dewelopera, role-based oraz organizacji. Framework pomaga firmom utrzymać agentów jako użytecznych, bezpiecznych i zgodnych z wymaganiami, definiując granice zachowań oraz jasną hierarchię priorytetów w razie konfliktów.

Security

{{Microsoft Defender predictive shielding blokuje GPO ransomware}}

{{Microsoft opisał rzeczywisty przypadek ransomware, w którym predictive shielding w Defender wykrył złośliwe nadużycie Group Policy Object jeszcze przed rozpoczęciem szyfrowania. Dzięki wzmocnieniu propagacji GPO i zakłóceniu działania przejętych kont Defender zablokował około 97% prób szyfrowania i nie dopuścił do zaszyfrowania żadnych urządzeń przez ścieżkę dostarczania opartą na GPO.}}

Security

Zabezpieczenia agentic AI od Microsoft na RSAC 2026

Microsoft na RSAC 2026 zaprezentował strategię zabezpieczania agentic AI w firmach, obejmującą ochronę agentów, tożsamości, danych i infrastruktury, a także potwierdził premierę Agent 365 w modelu general availability od 1 maja. To ważne, bo wraz z rosnącym wdrożeniem AI w przedsiębiorstwach organizacje potrzebują narzędzi do centralnego zarządzania ryzykiem, wykrywania nieautoryzowanego użycia AI i ograniczania nadmiernego udostępniania danych.

Security

CTI-REALM open source: benchmark AI do detekcji

Microsoft udostępnił open source benchmark CTI-REALM, który sprawdza, czy agenci AI potrafią wykonywać realną pracę z obszaru inżynierii detekcji — od analizy raportów threat intelligence po tworzenie i walidację reguł detekcji. To ważne dla zespołów SOC i bezpieczeństwa, ponieważ zamiast mierzyć wyłącznie wiedzę modelu, narzędzie ocenia jego skuteczność w praktycznych zadaniach operacyjnych w środowiskach takich jak Linux, AKS i chmura Azure.

Security

Zero Trust for AI od Microsoft: warsztaty i ocena

Microsoft wprowadza wytyczne Zero Trust for AI, które przenoszą zasady Zero Trust na modele, agentów, dane i zautomatyzowane decyzje, aby pomóc firmom bezpiecznie wdrażać AI. Firma rozszerzyła też Zero Trust Workshop o dedykowany filar AI oraz rozbudowane oceny i kontrolki, co ma ułatwić zespołom IT i bezpieczeństwa identyfikację ryzyk takich jak prompt injection czy data poisoning oraz lepsze planowanie zabezpieczeń.