Copilot Studio Agent Güvenliği: 10 Yanlış Yapılandırma

Giriş: neden önemli

Copilot Studio agent’ları operasyonel iş akışlarına hızla yerleşiyor—veri çekiyor, eylemleri tetikliyor ve iç sistemlerle büyük ölçekte etkileşime giriyor. Aynı otomasyon, agent’lar yanlış paylaşıldığında, aşırı ayrıcalıklarla çalıştığında veya standart yönetişim kontrollerini atladığında yeni saldırı yolları da yaratıyor. Microsoft’un Defender Security Research ekibi bu sorunları sahada (“in the wild”) görüyor; çoğu zaman belirgin uyarılar olmadan ortaya çıkmaları, proaktif keşif ve güvenlik duruşu yönetimini kritik hale getiriyor.

Yenilik: 10 yaygın Copilot Studio agent riski (ve nasıl tespit edilir)

Microsoft, agent yanlış yapılandırmalarına dair pratik bir ilk 10 listesi yayımladı ve her birini Microsoft Defender Advanced Hunting Community Queries ile eşledi (Security portal → Advanced hunting → Queries → Community queries → AI Agent klasörü). Başlıca riskler şunları içeriyor:

1. Aşırı geniş paylaşım (tüm organizasyon veya büyük gruplar) – saldırı yüzeyini genişletir ve istenmeyen kullanımı mümkün kılar.
2. Kimlik doğrulama gerekmemesi – herkese açık/anonim giriş noktaları ve olası veri sızıntısı oluşturur.
3. Riskli HTTP Request eylemleri – connector uç noktalarına çağrılar, HTTPS olmayan kullanım veya standart dışı portlar, connector yönetişimini ve kimlik kontrollerini baypas edebilir.
4. E-posta tabanlı veri sızdırma yolları – agent’ların e-postayı AI tarafından kontrol edilen değerlere veya dış posta kutularına göndermesi, prompt injection kaynaklı exfiltration’ı mümkün kılabilir.
5. Atıl (dormant) agent/eylem/bağlantılar – eski bileşenler, kalan ayrıcalıklarla birlikte gizli bir saldırı yüzeyine dönüşür.
6. Author (maker) authentication – görev ayrımını zayıflatır ve ayrıcalık yükseltmeyi mümkün kılabilir.
7. Konu/eylemlerde hard-coded credentials – kimlik bilgisi sızıntısı ve yeniden kullanım olasılığını artırır.
8. Model Context Protocol (MCP) tools configured – belgelenmemiş erişim yolları ve istenmeyen sistem etkileşimleri ekleyebilir.
9. Talimatlar olmadan generative orchestration – davranış sapması ve prompt kötüye kullanımı riski daha yüksektir.
10. Orphaned agents (aktif sahibi olmayan) – zayıf yönetişim ve zaman içinde yönetilmeyen erişim.

IT admin’leri ve güvenlik ekiplerine etkisi

• Görünürlük açığı: Bu yanlış yapılandırmalar oluşturulma aşamasında çoğu zaman kötü niyetli görünmez ve geleneksel uyarıları tetiklemeyebilir.
• Kimlik ve veri maruziyeti: Kimlik doğrulamasız erişim, maker kimlik bilgileri ve geniş paylaşım, bir agent’ı organizasyon verisine düşük sürtünmeli bir geçiş noktasına dönüştürebilir.
• Yönetişimi baypas etme: Doğrudan HTTP eylemleri, Power Platform connector korumalarını (doğrulama, throttling, kimlik zorlaması) atlatabilir.
• Operasyonel risk: Orphaned veya dormant agent’lar, sahiplik ve niyet belirsizliğini korurken iş mantığını ve erişimi uzun süre muhafaza eder.

Yapılacaklar / sonraki adımlar

1. AI Agent Community Queries sorgularını şimdi çalıştırın ve sonuçlar için bir baseline oluşturun (şunlarla başlayın: organizasyon genelinde paylaşım, no-auth agent’lar, author authentication, hard-coded credentials).
2. Paylaşımı ve kimlik doğrulamayı sıkılaştırın: en az ayrıcalık (least-privilege) erişimini uygulayın ve tüm production agent’lar için kimlik doğrulamayı zorunlu kılın.
3. HTTP Request kullanımını gözden geçirin: yönetişimli connector’ları tercih edin; HTTPS olmayan ve standart dışı portları acil düzeltim için işaretleyin.
4. Dışa e-posta senaryolarını kontrol edin: dış alıcıları kısıtlayın, dinamik girdileri doğrulayın ve prompt-injection benzeri kalıplar için izleme yapın.
5. Yaşam döngüsü yönetişimi oluşturun: agent envanteri çıkarın, orphaned agent’ları kaldırın veya yeniden sahip atayın ve dormant bağlantı/eylemleri emekli edin.

Agent yapılandırmasını güvenlik duruşunuzun bir parçası olarak ele alıp bu kalıpları sürekli avlayarak, saldırganlar bunları operasyonelleştirmeden önce maruziyeti azaltabilirsiniz.