Copilot Studio: 10 configurações incorretas críticas

Introdução: porque isto importa

Os agentes do Copilot Studio estão a tornar-se rapidamente parte integrante dos fluxos de trabalho operacionais — a obter dados, a acionar ações e a interagir com sistemas internos à escala. Essa mesma automação também cria novos caminhos de ataque quando os agentes são partilhados indevidamente, executados com privilégios excessivos ou contornam controlos padrão de governance. A equipa de Microsoft Defender Security Research está a ver estes problemas “no terreno”, muitas vezes sem alertas óbvios, tornando essencial a descoberta proativa e a gestão de postura.

O que há de novo: 10 riscos comuns em agentes do Copilot Studio (e como os detetar)

A Microsoft publicou uma lista prática das 10 principais configurações incorretas de agentes e mapeou cada uma para Microsoft Defender Advanced Hunting Community Queries (Security portal → Advanced hunting → Queries → Community queries → pasta AI Agent). Os principais riscos incluem:

1. Partilha demasiado ampla (toda a organização ou grandes grupos) – aumenta a superfície de ataque e permite utilização não intencional.
2. Sem autenticação obrigatória – cria pontos de entrada públicos/anónimos e potencial fuga de dados.
3. Ações HTTP Request arriscadas – chamadas para endpoints de conectores, não-HTTPS ou portas não padrão podem contornar a governance de conectores e os controlos de identidade.
4. Caminhos de exfiltração de dados por email – agentes que enviam email para valores controlados por AI ou caixas de correio externas podem permitir exfiltração impulsionada por prompt injection.
5. Agentes/ações/ligações inativos – componentes obsoletos tornam-se uma superfície de ataque oculta com privilégios persistentes.
6. Autenticação do autor (maker) – enfraquece a separação de funções e pode permitir escalada de privilégios.
7. Credenciais hard-coded em tópicos/ações – aumenta a probabilidade de fuga e reutilização de credenciais.
8. Ferramentas Model Context Protocol (MCP) configuradas – podem introduzir caminhos de acesso não documentados e interações não intencionais com sistemas.
9. Orquestração generativa sem instruções – maior risco de desvio de comportamento e abuso de prompts.
10. Agentes órfãos (sem owner ativo) – governance fraca e acesso não gerido ao longo do tempo.

Impacto para administradores de TI e equipas de segurança

• Lacuna de visibilidade: estas configurações incorretas muitas vezes não parecem maliciosas durante a criação e podem não acionar alertas tradicionais.
• Exposição de identidade e dados: acesso não autenticado, credenciais do maker e partilha ampla podem transformar um agente num pivô de baixa fricção para dados organizacionais.
• Contorno de governance: ações HTTP diretas podem contornar proteções de conectores do Power Platform (validação, throttling, imposição de identidade).
• Risco operacional: agentes órfãos ou inativos preservam lógica de negócio e acessos muito depois de a propriedade e a intenção serem incertas.

Itens de ação / próximos passos

1. Execute as AI Agent Community Queries agora e estabeleça uma baseline dos resultados (comece por: partilha a nível da organização, agentes sem autenticação, autenticação do autor, credenciais hard-coded).
2. Reforce a partilha e a autenticação: imponha acesso de menor privilégio e exija autenticação para todos os agentes em produção.
3. Reveja a utilização de HTTP Request: prefira conectores governados; sinalize não-HTTPS e portas não padrão para remediação imediata.
4. Controle cenários de email de saída: restrinja destinatários externos, valide inputs dinâmicos e monitorize padrões ao estilo prompt injection.
5. Estabeleça governance do ciclo de vida: inventarie agentes, remova ou atribua novo owner a agentes órfãos e desative ligações/ações inativas.

Ao tratar a configuração de agentes como parte da sua postura de segurança — e ao procurar continuamente estes padrões — pode reduzir a exposição antes de os atacantes a operacionalizarem.