Security

10 ошибок конфигурации Copilot Studio: как защититься

3 мин. чтения

Кратко

Microsoft предупредила о 10 типичных ошибках конфигурации агентов Copilot Studio — от слишком широких прав доступа и отсутствия аутентификации до рискованных HTTP-запросов и каналов утечки данных через email. Это важно, потому что такие недочёты могут незаметно открыть путь к компрометации внутренних систем, поэтому компания также дала готовые запросы в Microsoft Defender Advanced Hunting для проактивного поиска и устранения этих рисков.

Нужна помощь с Security?Поговорить с экспертом

Введение: почему это важно

Агенты Copilot Studio быстро встраиваются в операционные рабочие процессы — извлекают данные, запускают действия и взаимодействуют с внутренними системами в масштабе. Та же автоматизация создаёт новые пути атаки, когда агенты расшариваются слишком широко, работают с избыточными привилегиями или обходят стандартные механизмы управления и контроля. Команда Microsoft Defender Security Research наблюдает эти проблемы «в реальных средах», часто без очевидных оповещений, поэтому проактивное обнаружение и управление конфигурационной устойчивостью становятся критически важными.

Что нового: 10 распространённых рисков агентов Copilot Studio (и как их обнаружить)

Microsoft опубликовала практический список top-10 ошибок конфигурации агентов и сопоставила каждую из них с Microsoft Defender Advanced Hunting Community Queries (Security portal → Advanced huntingQueriesCommunity queries → папка AI Agent). Ключевые риски включают:

  1. Слишком широкое предоставление доступа (вся организация или большие группы) – расширяет поверхность атаки и допускает непреднамеренное использование.
  2. Отсутствие требования аутентификации – создаёт публичные/анонимные точки входа и потенциальную утечку данных.
  3. Рискованные действия HTTP Request – вызовы к endpoints коннекторов, не-HTTPS или нестандартные порты могут обходить governance коннекторов и контроли идентичности.
  4. Каналы эксфильтрации данных через email – отправка email на значения, контролируемые ИИ, или во внешние почтовые ящики может позволить эксфильтрацию, вызванную prompt injection.
  5. Неиспользуемые (dormant) агенты/действия/подключения – устаревшие компоненты становятся скрытой поверхностью атаки с сохраняющимися привилегиями.
  6. Аутентификация автора (maker) – подрывает разделение обязанностей и может привести к эскалации привилегий.
  7. Зашитые (hard-coded) учётные данные в темах/действиях – повышает вероятность утечки и повторного использования учётных данных.
  8. Настроенные инструменты Model Context Protocol (MCP) – могут вводить недокументированные пути доступа и непреднамеренные взаимодействия с системами.
  9. Generative orchestration без инструкций – более высокий риск дрейфа поведения и злоупотреблений через prompt.
  10. Осиротевшие (orphaned) агенты (нет активного владельца) – слабый governance и неконтролируемый доступ со временем.

Влияние на ИТ-администраторов и команды безопасности

  • Пробел в видимости: эти ошибки конфигурации часто не выглядят злонамеренными при создании и могут не запускать традиционные оповещения.
  • Риски для идентичности и данных: неаутентифицированный доступ, учётные данные maker и широкое предоставление доступа могут превратить агента в низкопороговую точку входа к данным организации.
  • Обход governance: прямые HTTP actions могут обходить защиты коннекторов Power Platform (валидация, ограничение частоты, enforcement идентичности).
  • Операционные риски: осиротевшие или неиспользуемые агенты сохраняют бизнес-логику и доступ задолго после того, как владелец и исходное назначение становятся неочевидными.

Рекомендованные действия / следующие шаги

  1. Запустите AI Agent Community Queries сейчас и зафиксируйте baseline результатов (начните с: org-wide sharing, no-auth agents, author authentication, hard-coded credentials).
  2. Ужесточите предоставление доступа и аутентификацию: внедрите least-privilege и требуйте аутентификацию для всех production-агентов.
  3. Проверьте использование HTTP Request: отдавайте предпочтение управляемым коннекторам; помечайте не-HTTPS и нестандартные порты для немедленного устранения.
  4. Контролируйте сценарии исходящей почты: ограничьте внешних получателей, валидируйте динамические входные данные и мониторьте паттерны в стиле prompt injection.
  5. Внедрите lifecycle governance: инвентаризируйте агентов, удаляйте или назначайте нового владельца orphaned-агентам и выводите из эксплуатации dormant connections/actions.

Рассматривая конфигурацию агента как часть вашей security posture — и постоянно выполняя hunting по этим паттернам — вы сможете снизить экспозицию до того, как злоумышленники начнут её эксплуатировать.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Microsoft Defender Security Research Team
Copilot StudioMicrosoft DefenderAdvanced HuntingAI securityPower Platform governance

Похожие статьи

Security

Компрометация цепочки поставок Trivy: рекомендации Defender

Microsoft опубликовала рекомендации по обнаружению, расследованию и смягчению последствий компрометации цепочки поставок Trivy в марте 2026 года, затронувшей бинарный файл Trivy и связанные GitHub Actions. Инцидент важен тем, что доверенный инструмент безопасности CI/CD был использован для кражи учетных данных из пайплайнов сборки, облачных сред и систем разработчиков, при этом внешне работая как обычно.

Security

Управление AI Agent: выравнивание намерений для безопасности

Microsoft описывает модель управления для AI agents, которая выравнивает намерения пользователя, разработчика, роли и организации. Эта структура помогает компаниям сохранять полезность, безопасность и соответствие требованиям, задавая поведенческие границы и понятный порядок приоритета при возникновении конфликтов.

Security

Predictive shielding в Microsoft Defender против GPO-шифровальщика

Microsoft описала реальный случай ransomware, в котором predictive shielding в Defender обнаружил вредоносное злоупотребление Group Policy Objects (GPO) до начала шифрования. За счёт усиления защиты распространения GPO и блокировки скомпрометированных учётных записей Defender остановил около 97% попыток шифрования и не позволил зашифровать ни одно устройство через путь доставки GPO.

Security

Защита agentic AI: новые решения Microsoft на RSAC

На RSAC 2026 Microsoft представила комплексный набор решений для защиты agentic AI, включая Agent 365, который станет общедоступным 1 мая и позволит централизованно управлять, защищать и контролировать AI-агентов в связке с Defender, Entra и Purview. Это важно, потому что по мере массового внедрения AI-агентов компаниям нужны новые инструменты для выявления теневого использования AI, снижения риска утечек данных и управления доступом в масштабе всей организации.

Security

Microsoft open source CTI-REALM для AI detection engineering

Microsoft открыла CTI-REALM — бенчмарк, который проверяет, могут ли AI-агенты реально выполнять задачи detection engineering: анализировать CTI-отчёты, сопоставлять техники MITRE ATT&CK и создавать/валидировать правила обнаружения. Это важно для SOC и security-команд, потому что инструмент смещает оценку ИИ от теоретических ответов к практическим операционным результатам в Linux, AKS и Azure-средах.

Security

Zero Trust for AI от Microsoft: воркшоп и архитектура

Microsoft представила подход Zero Trust for AI и обновила Zero Trust Workshop, добавив отдельный AI-столп для оценки и проектирования защиты моделей, агентов, данных и автоматизированных решений. Это важно для компаний, внедряющих AI: новые рекомендации помогают системно учитывать риски вроде prompt injection и data poisoning, а также согласовать меры безопасности между IT, ИБ и бизнесом.