Последние два года технологическая индустрия активно работала над повышением возможностей ИИ-агентов, обучая их писать код, работать с программными интерфейсами, управлять файлами и выполнять многоэтапные задачи с растущей автономией. Однако индустрия до сих пор не дала четкого ответа на главный вопрос, волнующий руководителей служб информационной безопасности: что произойдет, если агент даст сбой или будет скомпрометирован?
На ежегодной конференции разработчиков Build компания Microsoft представила решение, которое может стать исчерпывающим ответом на этот вопрос. Были анонсированы контейнеры выполнения Microsoft (MXC) — уровень исполнения, управляемый политиками и встроенный непосредственно в операционную систему Windows. MXC позволяет разработчикам и ИТ-администраторам точно определять, к каким ресурсам ИИ-агент может иметь доступ, а к каким нет, при этом эти ограничения принудительно соблюдаются ядром ОС во время выполнения.
Это объявление, хотя и было частью масштабного пакета обновлений для разработчиков, стало, пожалуй, самым значимым платформенным шагом Microsoft на конференции Build в этом году. Оно способно кардинально изменить подход предприятий по всему миру к внедрению автономного ИИ-программного обеспечения.
MXC — это не конечный продукт для покупки, а комплект средств разработки (SDK) и модель политик. Это фундаментальный элемент, встроенный в Windows и подсистему Windows для Linux, который предоставляет то, что Microsoft называет «компонуемым спектром песочниц» (изолированных сред). Этот спектр охватывает широкий диапазон: от облегченной изоляции процессов (уже используемой в интерфейсе командной строки GitHub Copilot) до микро-виртуальных машин, контейнеров Linux и полноценных облачных экземпляров, работающих на Windows 365.
Система отделяет исполнение агента от рабочего стола пользователя, буфера обмена, пользовательского интерфейса и устройств ввода. Важно отметить, что каждый агент привязывается к строгому идентификатору — либо локальному, либо облачному, поддерживаемому Microsoft Entra. Это позволяет отслеживать, проверять и управлять каждым действием, выполняемым агентом.
Последствия такого подхода огромны. До сих пор внедрение ИИ-агентов на предприятиях сталкивалось с парадоксом: чем более автономным и полезным становился агент, тем опаснее было разрешать ему работать в корпоративной сети без надлежащих мер безопасности. MXC — это попытка Microsoft разрешить этот парадокс, не уменьшая возможности агентов, а делая среду их работы принципиально более контролируемой.
Содержание
- 1 Почему каждый автономный ИИ-агент — это потенциальная угроза безопасности
- 2 Решение Microsoft: «песочница», масштабируемая от одного процесса до полноценной виртуальной машины
- 3 На живой демонстрации ИИ-агент пытался удалить файлы — и не смог, потому что ОС не позволила
- 4 Интеграция с Defender, Entra, Intune и Purview в июле превратит MXC в корпоративную плоскость управления
- 5 OpenAI, Nvidia, Manus и Nous Research уже работают с MXC — и это меняет расклад
- 6 Как фреймворк агентов с открытым исходным кодом стал испытательным полигоном Microsoft для безопасности ИИ в Windows
- 7 Встраивание изоляции в ОС дает Microsoft стратегическое преимущество над «огороженным садом» Apple и облачной моделью Google
- 8 Самое сложное — не создать «песочницу», а написать политики, которые будут в ней действовать
Почему каждый автономный ИИ-агент — это потенциальная угроза безопасности
Чтобы понять значимость MXC, стоит рассмотреть, что ИИ-агент делает при работе на компьютере. В отличие от традиционных приложений, которые работают в предсказуемых границах (например, текстовый редактор читает и пишет документы, браузер загружает веб-страницы), ИИ-агент по своей природе непредсказуем. Он получает цель на естественном языке, определяет способы ее достижения, а затем предпринимает действия: открывает файлы, выполняет код, вызывает программные интерфейсы (API), просматривает веб-страницы, взаимодействует с другим программным обеспечением. Каждое из этих взаимодействий создает то, что специалисты по безопасности называют «поверхностью атаки».
В официальном блоге Microsoft задача была сформулирована в весьма категоричных выражениях. Компания заявила, что «по мере того как агенты становятся более способными и автономными, они значительно повышают производительность. Однако они также привносят новые риски, и проблема не только в самом агенте, но и во всей системе, с которой он взаимодействует.» Каждое взаимодействие между агентами и людьми, инструментами, приложениями, моделями и другими агентами «открывает новые поверхности атаки и создает различные режимы отказа.» Microsoft охарактеризовала это как «многоуровневую системную проблему.»
Это не чисто теоретическая проблема. В месяцы, предшествовавшие конференции Build, исследователи в области безопасности продемонстрировали множество способов манипулирования ИИ-агентами — через инъекции подсказок (prompt injection, подача вредоносных команд через ввод), вредоносные вызовы инструментов или эксфильтрацию данных (несанкционированный вывод данных), замаскированную под обычный рабочий процесс. Для предприятий, работающих с конфиденциальными данными, проприетарными моделями и регулируемой информацией, отсутствие доверенной среды выполнения было самым большим препятствием для перехода агентов от демонстрации к полномасштабному внедрению.
Решение Microsoft: «песочница», масштабируемая от одного процесса до полноценной виртуальной машины
MXC работает по обманчиво простому принципу: объявить, что агент может делать, до его запуска, и позволить операционной системе принудительно соблюдать эти декларации во время выполнения. Разработчик или ИТ-администратор пишет политику, которая указывает, к каким файлам, каталогам и сетевым ресурсам агенту разрешен доступ. Затем MXC создает изолированную среду выполнения — «песочницу» — которая принудительно соблюдает эти границы, независимо от того, что агент пытается сделать.
Что делает MXC необычным и потенциально очень мощным, так это широта его возможностей изоляции. Microsoft разработала систему таким образом, чтобы единый SDK и модель политик могли быть применены к соответствующей конструкции изоляции для любой рабочей нагрузки. Для легкого помощника по кодированию, которому нужно только читать текущий каталог проекта, может быть достаточно быстрой изоляции процессов. Для автономного агента, который выполняет произвольный код, загруженный из интернета, может потребоваться полноценная микро-виртуальная машина. Система спроектирована как «динамически компонуемая на основе намерения и риска», что означает, что уровень изоляции может быть скорректирован в зависимости от того, что агент фактически делает, а не только от того, к какой категории он относится.
Изоляция сеансов — особенно важная функция. MXC отделяет выполнение агента от рабочего стола пользователя, буфера обмена, пользовательского интерфейса и устройств ввода. Это напрямую снижает риск нескольких классов атак, которые исследователи безопасности определили как особенно опасные для ИИ-агентов: подмена пользовательского интерфейса (UI spoofing), при которой агент манипулирует тем, что видит пользователь, чтобы обманом заставить его одобрить вредоносное действие; инъекция ввода (input injection), когда агент отправляет нажатия клавиш или щелчки мыши другим приложениям; и утечка данных между сеансами, когда информация из одного сеанса пользователя проникает в другой.
На живой демонстрации ИИ-агент пытался удалить файлы — и не смог, потому что ОС не позволила
Во время предконференционного брифинга с VentureBeat, прошедшего накануне объявления, разработчик Microsoft наглядно продемонстрировал технологию в действии. Он настроил открытый фреймворк агентов OpenClaw, работающий внутри «песочницы» MXC на своей личной машине для разработки. Затем он поручил агенту удалить все файлы на своем рабочем столе. Агент попытался выполнить команду, но «песочница» предотвратила это. Во время демонстрации разработчик отметил, что его рабочий стол выглядит чистым, но это «обман», так как файлы были в полной безопасности, поскольку «контейнер не позволит их удалить.»
Демонстрация также показала высокую детализацию контроля MXC. Пользователи могут помечать определенные файлы как доступные только для чтения для агента, ограничивать доступ к браузеру и захвату экрана, контролировать, может ли агент видеть данные о местоположении. Все эти разрешения могут централизованно управляться ИТ-отделом предприятия через политики Intune. Агент работает внутри своего рода одностороннего зеркала: он может выполнять поставленные задачи, но не может видеть или затрагивать что-либо за пределами границ, определенных его политикой.
Паван Давулури, исполнительный вице-президент Microsoft по Windows и устройствам, подчеркнул во время предконференционного брифинга, что базовые элементы, представленные MXC — безопасность, изоляция, сдерживание и контроль со стороны пользователя — необходимы для обеспечения коммерческой жизнеспособности ИИ-агентов.
Он особо отметил, что эти возможности «не являются уникальными для OpenClaw» и что «этот подход повторяется снова и снова» для любого агента, работающего на устройстве Windows. По его словам, базовые элементы, существующие в операционной системе сейчас «для файлов, касающиеся безопасности, сдерживания, изоляции и контроля со стороны пользователей», сделают агентов достаточно безопасными как для обычных потребителей, так и для корпоративного использования.
Интеграция с Defender, Entra, Intune и Purview в июле превратит MXC в корпоративную плоскость управления
Для корпоративных ИТ-отделов наиболее значимым элементом анонса MXC является не сам SDK, а его интеграция с существующим стеком корпоративной безопасности Microsoft через то, что компания называет Agent 365. Выходящий в предварительной версии в июле, Agent 365 накладывает службу идентификации Microsoft Entra и платформу управления устройствами Intune поверх MXC. Это позволяет ИТ-администраторам централизованно управлять изоляцией агентов, в то время как разработчики выбирают уровень изоляции, требуемый для их рабочих нагрузок.
Интеграция идет еще дальше: Microsoft Defender будет обеспечивать защиту от угроз во время выполнения, Entra — управление идентификацией и доступом, Intune — применять политики на уровне устройств, а Microsoft Purview — расширять свои возможности управления данными и соответствия требованиям на активность агентов. Это означает, что предприятие теоретически сможет разрешить сотрудникам запускать ИИ-агентов на своих корпоративных машинах — даже мощных, автономных агентов, которые выполняют код и управляют файлами, — сохраняя при этом тот же уровень централизованного контроля и видимости, который ИТ-отделы в настоящее время имеют над традиционными приложениями.
Microsoft описала уровень идентификации в своем официальном блоге: «Windows присваивает агентам локальный идентификатор или облачный идентификатор, поддерживаемый Entra, и привязывает всю активность из контейнера к этому идентификатору, так что вы можете четко различать действия человека и агента.» Для регулируемых отраслей — финансовых услуг, здравоохранения, государственного сектора — возможность создания аудиторского следа, который различает действия человека и агента на одной и той же машине, может оказаться не просто желаемой функцией, а обязательным нормативным требованием. Каждое действие агента, привязанное к определенному идентификатору, каждая граница изоляции, принудительно соблюдаемая через ту же инфраструктуру политик, которая уже управляет сотнями миллионов устройств Windows, — это архитектура, которая может наконец перевести ИИ-агентов из пилотных программ в полноценное производство.
OpenAI, Nvidia, Manus и Nous Research уже работают с MXC — и это меняет расклад
Анонсы платформ на конференциях разработчиков часто бывают лишь декларативными. Что отличает запуск MXC, так это широта и конкретность партнеров, которые уже разрабатывают решения на его основе. Microsoft назвала пять: OpenAI, Nvidia, Manus, Nous Research (создатель агента Hermes) и проект с открытым исходным кодом OpenClaw. Каждый из них интегрирует MXC уникальным образом, демонстрируя различные сценарии использования технологии.
Участие OpenAI особенно примечательно. Дэвид Визен, сотрудник технического отдела OpenAI, заявил, что «сотрудничество с Microsoft над контейнерами выполнения Microsoft (MXC) позволяет нам исследовать новые подходы для безопасного и эффективного генерирования и исполнения кода ИИ-агентами.» Он также добавил, что, объединив возможности Codex с исполняемой средой MXC, цель состоит в том, чтобы «помочь разработчикам быстрее переходить от намерения к надежному выполнению, сохраняя при этом безопасность и контроль, необходимые предприятиям.» Упоминание Codex — агента OpenAI для генерации кода — предполагает, что MXC может стать стандартной средой выполнения для одного из самых ожидаемых продуктов-агентов в отрасли.
Nvidia переносит свой фреймворк OpenShell на Windows, построенный на MXC, предоставляя то, что Microsoft назвала «легко развертываемым пакетом для безопасных автономных, постоянно активных агентов.» Manus, китайский стартап в области ИИ-агентов, получивший вирусную популярность ранее в этом году, также интегрирует решение. Тао Чжан, директор по продуктам Manus, отметил, что MXC «предоставляет разработчикам управляемый политиками способ определять, к чему агент может получать доступ, и принудительно соблюдать эти границы во время выполнения, чтобы более автономные агенты могли безопасно работать в корпоративных средах.» А Диллон Ролник, генеральный директор Nous Research, предложил, пожалуй, наиболее краткое объяснение значимости MXC: «Постоянно работающие локальные агенты, такие как Hermes Agent, требуют преднамеренной изоляции. Разработчикам необходим контроль над тем, к чему агент может получать доступ, и уверенность в том, что эти средства контроля будут соблюдаться.»
Как фреймворк агентов с открытым исходным кодом стал испытательным полигоном Microsoft для безопасности ИИ в Windows
Одна из наиболее показательных историй, стоящих за анонсом MXC, связана с OpenClaw. Во время предпрезентационного брифинга для прессы, разработчик Microsoft рассказал, как партнерство сложилось органически: создатель OpenClaw Питер Штейнбергер в январе отправил ему личное сообщение, выражая интерес к сотрудничеству. То, что начиналось как случайный разговор, превратилось в полноценное платформенное партнерство, при этом разработчики Microsoft внесли свой вклад в создание сопутствующего приложения OpenClaw для Windows, построенного как нативное приложение WinUI, а не как обернутое веб-приложение.
Интеграция OpenClaw служит тем, что Скотт назвал «конечным тестовым приложением для всего, что [команда платформы Windows] разрабатывает.» Если OpenClaw, который по своей природе предоставляет агентам широкую автономию для выполнения задач на машине пользователя, может безопасно работать в пределах границ изоляции MXC, то система изоляции достаточно надежна для любого агента. Скотт объяснил философию, лежащую в основе работы: «Представьте OpenClaw для Windows как идеальное тестовое приложение... Если OpenClaw может успешно работать на Windows, это означает, что поддержка Linux, поддержка контейнеров и изоляция — все это присутствует.»
Сопутствующее приложение демонстрирует весь спектр корпоративных средств контроля MXC — разрешения файлов, сетевой доступ, ограничения захвата экрана, данные о местоположении — все это централизованно управляется через политики Intune. Microsoft пожертвовала проект OpenClaw и планирует продолжать вносить свой вклад в него как в проект с открытым исходным кодом. Как выразился один из членов руководящей команды Windows во время брифинга: «Все агенты, все желающие, все приветствуются в Windows... Это будет отлично работать на Windows, потому что базовые элементы присутствуют. Основание пирамиды прочное.»
Встраивание изоляции в ОС дает Microsoft стратегическое преимущество над «огороженным садом» Apple и облачной моделью Google
MXC появляется в момент, когда технологическая индустрия сталкивается с фундаментальным противоречием. ИИ-агенты представляют, возможно, самую значительную новую категорию программного обеспечения со времен мобильных приложений, и каждая крупная технологическая компания стремится их создавать. Однако инфраструктура безопасности и управления, необходимая для ответственного развертывания этих агентов в корпоративных средах, практически отсутствует. Подход Microsoft отличается тем, что он размещает уровень доверия на уровне операционной системы, а не во фреймворке агента, поставщике модели или стороннем продукте безопасности.
Это преднамеренный архитектурный выбор. Встроив изоляцию непосредственно в Windows, Microsoft гарантирует, что меры безопасности будут действовать независимо от того, какого агента, какую модель или какой фреймворк выберет разработчик.
Это также означает, что сотни миллионов устройств Windows, уже управляемых через Intune и защищенных через Defender, в принципе, могут стать готовыми к работе с агентами посредством обновления программного обеспечения, а не путем полной замены.
Подход Apple к ИИ-агентам сильно опирается на ее экосистему «огороженного сада», предлагая безопасность через ограничения — лимитируя, какие агенты могут работать и что они могут делать. Подход Google, ориентированный на его облачную инфраструктуру, предлагает безопасность через централизацию. Подход Microsoft предлагает безопасность через декларацию и принуждение — позволяя любому агенту работать, но ограничивая его воздействие через политики на уровне ОС.
Для предприятий, работающих в гетерогенных средах с разнообразными наборами инструментов и множеством поставщиков ИИ, модель Microsoft может оказаться наиболее практичной. Конкурентная динамика уже меняется: поскольку Codex от OpenAI, OpenShell от Nvidia и независимые фреймворки агентов, такие как Manus и Hermes, строятся на MXC, Microsoft позиционирует Windows не просто как платформу, где агенты работают, но как платформу, где агентам можно доверять.
Самое сложное — не создать «песочницу», а написать политики, которые будут в ней действовать
MXC уже доступен в ранней предварительной версии, что означает, что разработчики могут начать использовать SDK и тестировать политики изоляции. Интеграция Agent 365 с Defender, Entra, Intune и Purview запланирована на предварительный просмотр в июле. Эти сроки достаточно амбициозны, чтобы предположить, что большая часть инженерной работы уже выполнена, но при этом достаточно отдалены, чтобы учесть обратную связь от разработчиков.
Однако настоящее испытание наступит, когда предприятия начнут развертывать агентов в масштабе на производственных сетях. Изоляция эффективна ровно настолько, насколько хороши управляющие ею политики, а написание эффективных политик для агентов в сложных корпоративных средах станет совершенно новой дисциплиной — такой, которую ИТ-отделы еще не освоили, и которую ни один поставщик еще не научился преподавать. Технология многообещающая, но пустая «песочница» — это всего лишь пустая коробка. Наполнение ее правильными правилами, для правильных агентов, в правильных контекстах потребует уровня организационной сложности, о котором большинство компаний только начинают задумываться.
Тем не менее, значение того, что Microsoft анонсировала во вторник, трудно переоценить. Впервые крупный поставщик операционных систем предложил всеобъемлющее решение на уровне ядра для вопроса о том, как автономное программное обеспечение ИИ должно быть изолировано, идентифицировано и управляемо на устройствах, где фактически выполняется большая часть мировой работы. Индустрия потратила два года, обучая агентов действовать. Теперь Microsoft делает ставку на то, что более крупный бизнес — и более сложная инженерная задача — заключается в обучении операционной системы наблюдать.
