Останні два роки технологічна індустрія активно працювала над підвищенням можливостей ШІ-агентів, навчаючи їх писати код, взаємодіяти з програмними інтерфейсами, керувати файлами та самостійно виконувати багатоетапні завдання. Проте, з якоюсь послідовністю, не було отримано відповіді на питання, яке не дає спокою директорам з інформаційної безпеки: що станеться, коли агент вийде з-під контролю?
У вівторок на своїй щорічній конференції Build для розробників Microsoft представила рішення, яке може стати визначальним. Компанія анонсувала Microsoft Execution Containers, або MXC — шар виконання на основі політик, вбудований безпосередньо в операційну систему Windows. Він дозволяє розробникам та ІТ-адміністраторам чітко визначати, до чого ШІ-агент може мати доступ, а до чого — ні, з дотриманням цих меж під час роботи, що забезпечується ядром ОС.
Це оголошення, яке було представлено серед низки масштабних оновлень для розробників, є, мабуть, найважливішим кроком Microsoft на конференції Build цього року. Воно має потенціал докорінно змінити підхід кожної компанії до розгортання автономного програмного забезпечення ШІ.
MXC — це не продукт, який можна купити. Це SDK та модель політик — фундаментальний елемент, інтегрований у Windows та Windows Subsystem for Linux. Він надає те, що Microsoft називає “компонуваним спектром пісочниць” (composable sandbox spectrum). Цей спектр охоплює все: від легкого ізолювання процесів, яке вже використовується в командному рядку GitHub Copilot, до мікро-віртуальних машин, контейнерів Linux та повноцінних хмарних інстансів, що працюють на Windows 365.
Система відокремлює виконання агента від робочого столу користувача, буфера обміну, інтерфейсу користувача та пристроїв введення. Критично важливо, що вона прив’язує кожного агента до надійної ідентичності — локальної або хмарної, забезпеченої Microsoft Entra. Таким чином, кожна дія, яку виконує агент, може бути відстежена, аудитована та керована.
Наслідки цього кроку величезні. Дотепер розгортання ШІ-агентів у корпоративному середовищі було пов’язане з парадоксом: чим більш автономним і корисним стає агент, тим небезпечніше дозволяти йому працювати в корпоративній мережі без обмежень. MXC — це спроба Microsoft подолати цей парадокс, не зменшуючи можливості агентів, а роблячи середовище, в якому вони працюють, значно більш контрольованим.
Чому кожен автономний ШІ-агент — це потенційна проблема безпеки
Щоб зрозуміти важливість MXC, розглянемо, що насправді робить ШІ-агент під час роботи на вашому комп’ютері. На відміну від традиційного додатку, який діє в межах чітко визначених параметрів (текстовий редактор читає та записує документи, браузер завантажує веб-сторінки), ШІ-агент за своєю природою є непередбачуваним. Він отримує завдання природною мовою, аналізує, як його досягти, і потім виконує дії: відкриває файли, запускає код, викликає API, переглядає веб-сторінки, взаємодіє з іншим програмним забезпеченням. Кожна з цих взаємодій створює те, що фахівці з безпеки називають “поверхнею атаки”.
У своєму блозі Microsoft чітко окреслила цю проблему. Компанія зазначила, що “з підвищенням можливостей та автономності агентів вони приносять значний приріст продуктивності. Але вони також створюють нові ризики, і проблема не тільки в самому агенті. Вона стосується всієї системи, в якій працює агент”. Кожна взаємодія між агентами та людьми, інструментами, додатками, моделями та іншими агентами “розкриває нові поверхні атаки та вносить різні типи збоїв”. Microsoft охарактеризувала це як “багатошарову системну проблему”.
Це не теоретична проблема. За кілька місяців до конференції Build дослідники безпеки продемонстрували численні способи маніпулювання ШІ-агентами — через ін’єкції запитів (prompt injection), зловмисні виклики інструментів, викрадення даних під виглядом звичайної роботи. Для підприємств, які обробляють конфіденційні дані, пропрієтарні моделі та регульовану інформацію, відсутність довіреного середовища виконання була найбільшою перешкодою для переходу від демонстрації до реального розгортання агентів.
Рішення Microsoft — це пісочниця, яка масштабується від одного процесу до повноцінної віртуальної машини
MXC працює на простому, але ефективному принципі: перед запуском визначається, що агент може робити, і операційна система контролює дотримання цих правил під час виконання. Розробник або ІТ-адміністратор створює політику, яка визначає, до яких файлів, каталогів та мережевих ресурсів дозволено доступ агенту. MXC потім створює ізольоване середовище виконання — пісочницю — яка забезпечує дотримання цих меж, незалежно від того, що намагається зробити агент.
Що робить MXC незвичайним і потенційно дуже потужним, так це широкий спектр варіантів ізоляції. Microsoft розробила систему таким чином, що один SDK та модель політик можуть бути застосовані до відповідної конструкції ізоляції для будь-якого робочого навантаження. Для легкого помічника з написання коду, якому потрібно лише читати поточний каталог проєкту, може бути достатньо швидкого ізолювання процесів. Для автономного агента, який виконує довільний код, завантажений з Інтернету, може знадобитися повноцінна мікро-віртуальна машина. Система розроблена для “динамічної композиції на основі намірів та ризиків”, що означає можливість налаштування рівня ізоляції залежно від того, що саме робить агент, а не лише до якої категорії він належить.
Ізоляція сесії є особливо важливою функцією. MXC відокремлює виконання агента від робочого столу користувача, буфера обміну, інтерфейсу користувача та пристроїв введення. Це безпосередньо зменшує ризик кількох класів атак, які дослідники безпеки визначили як особливо небезпечні для ШІ-агентів: спуфінг інтерфейсу користувача (UI spoofing), коли агент маніпулює тим, що бачить користувач, щоб змусити його схвалити зловмисну дію; ін’єкції введення (input injection), коли агент надсилає натискання клавіш або рухи миші іншим додаткам; та витік даних між сесіями (cross-session data leakage), коли інформація з сесії одного користувача просочується в іншу.
Жива демонстрація показала, як ШІ-агент намагався видалити файли — і зазнав невдачі, бо ОС йому не дозволила
Під час попереднього брифінгу з журналістами напередодні анонсу розробник Microsoft продемонстрував роботу технології. Він налаштував фреймворк для агентів з відкритим кодом OpenClaw всередині пісочниці MXC на своїй особистій машині розробки. Потім він дав агенту команду видалити всі файли на своєму робочому столі. Агент спробував виконати команду, але пісочниця йому завадила. “Якщо ви подивитеся на мій робочий стіл зараз, ви побачите, наскільки він чистий”, — сказав розробник під час демонстрації. “Це брехня”. Файли, пояснив він, були в повній безпеці, тому що “контейнер не дозволяє цього”.
Демонстрація пішла далі, показавши гранулярність контролю MXC. Користувачі можуть позначати окремі файли як доступні лише для читання для агента, обмежувати доступ до браузера та функцій знімків екрана, контролювати, чи може агент отримувати доступ до даних про місцезнаходження. Усі ці дозволи централізовано керуються ІТ-відділом підприємства через політики Intune. Агент працює всередині того, що фактично є одностороннім дзеркалом: він може виконувати поставлене завдання, але не може бачити або торкатися нічого за межами визначених політикою меж.
Паван Давулурі, виконавчий віце-президент Microsoft з питань Windows та пристроїв, підкреслив під час попереднього брифінгу, що елементи, які запроваджує MXC — безпека, стримування, ізоляція та контроль користувача — є необхідними для комерційної життєздатності ШІ-агентів.
Він наголосив, що ці можливості “не є унікальними для OpenClaw”, і що “цей шаблон повторюється знову і знову” для будь-якого агента, що працює на пристрої Windows. Елементи, які існують в операційній системі зараз — “щодо безпеки, стримування, ізоляції, надання контролю користувачам” — саме вони зроблять агентів безпечними для звичайних споживачів та корпоративних розгортань.
Інтеграція Defender, Entra, Intune та Purview, яка з’явиться у липні, перетворить MXC на систему корпоративного керування
Для корпоративних ІТ-відділів найважливішим елементом анонсу MXC є не сам SDK, а його інтеграція з існуючим стеком корпоративної безпеки Microsoft через те, що компанія називає Agent 365. Починаючи з липня у попередньому доступі, Agent 365 інтегрує сервіс ідентифікації Microsoft Entra та платформу керування пристроями Intune поверх MXC. Це дозволить ІТ-адміністраторам централізовано керувати стримуванням агентів, тоді як розробники обиратимуть потрібний рівень ізоляції для своїх робочих навантажень.
Інтеграція йде далі: Microsoft Defender забезпечить захист від загроз під час виконання, Entra відповідатиме за керування ідентифікацією та доступом, Intune застосовуватиме політики на рівні пристроїв, а Microsoft Purview розширить свої можливості керування даними та відповідності до вимог для активності агентів. Це означає, що підприємство теоретично зможе дозволити співробітникам запускати ШІ-агентів на своїх корпоративних машинах — навіть потужних, автономних агентів, які виконують код і керують файлами — зберігаючи при цьому той самий рівень централізованої видимості та контролю, який ІТ-відділи мають над традиційними додатками.
Microsoft описала рівень ідентифікації у своєму офіційному блозі: “Windows призначає агентам локальний ID або хмарну ідентифікацію, забезпечену Entra, і відносить усю активність з контейнера до цієї ідентифікації, щоб ви могли чітко розрізняти людину та агента”. Для регульованих галузей — фінансових послуг, охорони здоров’я, державного управління — можливість створення аудиторського сліду, який розрізняє дії людини та агента на одній машині, може стати нормативною вимогою, а не просто бажаною функцією. Кожна дія агента, прив’язана до конкретної ідентичності, кожен граничний рівень стримування, що застосовується через ту ж інфраструктуру політик, яка вже керує сотнями мільйонів пристроїв Windows — це архітектура, яка нарешті може перевести ШІ-агентів з пілотних програм у виробниче середовище.
OpenAI, Nvidia, Manus та Nous Research вже працюють на базі MXC — і це змінює розрахунки
Платформні анонси на конференціях розробників часто є радше декларативними. Те, що відрізняє запуск MXC, — це широта та специфіка партнерів, які вже працюють на його основі. Microsoft назвала п’ять компаній: OpenAI, Nvidia, Manus, Nous Research (розробник агента Hermes) та проєкт з відкритим кодом OpenClaw. Кожен інтегрує MXC по-своєму, висвітлюючи різні варіанти використання цієї технології.
Участь OpenAI особливо вражає. Девід Візен, технічний співробітник OpenAI, заявив, що “співпраця з Microsoft над Microsoft Execution Containers (MXC) дозволяє нам досліджувати нові моделі для безпечного та ефективного створення та виконання коду за допомогою ШІ-агентів”. Він додав, що поєднання можливостей Codex із середовищем виконання MXC спрямоване на те, “щоб допомогти розробникам швидше переходити від наміру до надійного виконання, зберігаючи при цьому безпеку та контроль, необхідні підприємствам”. Посилання на Codex — агент OpenAI для генерації коду — свідчить про те, що MXC може стати стандартним середовищем виконання для одного з найбільш очікуваних продуктів-агентів у галузі.
Nvidia інтегрує свій фреймворк OpenShell у Windows на базі MXC, надаючи, за словами Microsoft, “легко розгортаний пакет для безпечних, автономних, цілодобово працюючих агентів”. Manus, стартап з ШІ-агентів, заснований у Китаї, який набув вірусної популярності раніше цього року, також інтегрується. Тао Чжан, директор з продуктів Manus, зазначив, що MXC “надає розробникам керований політиками спосіб визначати, до чого агент може мати доступ, та забезпечувати дотримання цих меж під час виконання, щоб більш автономні агенти могли безпечно працювати в корпоративних середовищах”. А Ділон Ролнік, генеральний директор Nous Research, надав, можливо, найбільш лаконічне пояснення важливості MXC: “Безперервно працюючі локальні агенти, такі як Hermes Agent, потребують цілеспрямованої ізоляції. Розробникам потрібен контроль над тим, до чого агент може мати доступ, і впевненість у дотриманні цих контролів”.
Як фреймворк агентів з відкритим кодом став тестовим майданчиком Microsoft для безпеки ШІ у Windows
Одна з найцікавіших історій, що стоїть за анонсом MXC, пов’язана з OpenClaw. Під час попереднього брифінгу розробник Microsoft розповів, як партнерство виникло органічно: Пітер Штайнбергер, творець OpenClaw, у січні надіслав йому пряме повідомлення з висловленням зацікавленості у співпраці. Те, що почалося як невимушена розмова, переросло у повноцінне платформове партнерство, де розробники Microsoft зробили внесок у Windows-додаток OpenClaw, створений як нативний WinUI-додаток, а не як обгорнутий веб-додаток.
Інтеграція OpenClaw служить, як зазначив Скотт, “найкращим тестовим додатком для всього, що створює [команда Windows]”. Якщо OpenClaw — який за своєю природою надає агентам широку автономію для виконання завдань на машині користувача — може безпечно працювати в межах стримування MXC, то система стримування є достатньо надійною для будь-якого агента. Скотт пояснив філософію, що лежить в основі роботи: “Думайте про OpenClaw Windows як про найкращий тестовий додаток… Якщо OpenClaw може успішно працювати на Windows, це означає, що є підтримка Linux, підтримка контейнерів, підтримка стримування”.
Супутній додаток демонструє повний спектр корпоративних контролів MXC — дозволи на доступ до файлів, мережевий доступ, обмеження на знімки екрана, дані про місцезнаходження — усе це централізовано керується політиками Intune. Microsoft передала проєкт OpenClaw і планує продовжувати робити внески в нього як відкритий код. Як зазначив один з керівників команди Windows під час брифінгу: “Усі агенти, всі бажаючі, всі ласкаво просимо на Windows… Вони чудово працюватимуть на Windows, тому що базові елементи є. Основа піраміди міцна”.
Вбудовування стримування в ОС дає Microsoft стратегічну перевагу над “садом з огорожею” Apple та хмарно-орієнтованою моделлю Google
MXC з’являється в момент, коли технологічна індустрія бореться з фундаментальною напругою. ШІ-агенти представляють собою, можливо, найзначнішу нову категорію програмного забезпечення з часів мобільних додатків, і кожна велика технологічна компанія прагне їх створити. Однак, інфраструктура безпеки та управління, необхідна для відповідального розгортання цих агентів у корпоративних середовищах, майже відсутня. Підхід Microsoft є унікальним, оскільки він розміщує рівень довіри на рівні операційної системи, а не у фреймворку агента, постачальнику моделі чи сторонньому продукті безпеки.
Це свідомий архітектурний вибір. Вбудовуючи стримування безпосередньо у Windows, Microsoft гарантує, що гарантії безпеки діятимуть незалежно від того, який агент, яка модель чи який фреймворк обере розробник.
Це також означає, що сотні мільйонів пристроїв Windows, які вже керуються через Intune та захищені через Defender, теоретично можуть стати готовими до роботи з агентами шляхом оновлення програмного забезпечення, а не повної заміни.
Підхід Apple до ШІ-агентів значною мірою покладається на її екосистему “саду з огорожею” (walled garden), пропонуючи безпеку через обмеження — обмеження того, які агенти можуть працювати і що вони можуть робити. Підхід Google, зосереджений на її хмарній інфраструктурі, пропонує безпеку через централізацію. Підхід Microsoft пропонує безпеку через декларацію та примусове виконання — дозволяє працювати будь-якому агенту, але обмежує його вплив через політику на рівні ОС.
Для підприємств, що працюють у гетерогенних середовищах з різноманітними інструментами та кількома постачальниками ШІ, модель Microsoft може виявитися найбільш практичною. Конкурентна динаміка вже змінюється: завдяки OpenAI Codex, Nvidia OpenShell та незалежним фреймворкам агентів, таким як Manus і Hermes, що працюють на MXC, Microsoft позиціонує Windows не просто як платформу, де працюють агенти, а як платформу, на якій можна довіряти їхню роботу.
Найскладніше — не побудувати пісочницю, а написати політики, які в ній діють
MXC вже доступний у попередньому перегляді, що означає, що розробники можуть почати створювати власні рішення на базі SDK та тестувати політики стримування. Інтеграція Agent 365 з Defender, Entra, Intune та Purview запланована на попередній перегляд у липні — агресивний термін, що свідчить про завершення значної частини інженерних робіт, але достатньо віддалений, щоб дозволити доопрацювання на основі відгуків розробників.
Однак, справжнє випробування настане, коли підприємства почнуть розгортати агентів у масштабах на виробничих мережах. Стримування є настільки ж ефективним, наскільки й політики, що ним керують, а написання ефективних політик для агентів у складних корпоративних середовищах стане абсолютно новою дисципліною — такою, яку ІТ-відділи ще не розробили, і яку жоден постачальник ще не навчився викладати. Технологія перспективна, але порожня пісочниця — це просто порожня коробка. Наповнення її правильними правилами, для правильних агентів, у правильних контекстах, вимагатиме рівня організаційної витонченості, про який більшість компаній тільки починають замислюватися.
Тим не менше, значущість того, що Microsoft оголосила у вівторок, важко переоцінити. Вперше основний постачальник операційних систем запропонував комплексне, на рівні ядра, рішення питання про те, як автономне програмне забезпечення ШІ має стримуватися, ідентифікуватися та керуватися на пристроях, де фактично виконується більшість світової роботи. Індустрія витратила два роки, навчаючи агентів діяти. Тепер Microsoft робить ставку на те, що більший бізнес — і складніша інженерна проблема — полягає в тому, щоб навчити операційну систему спостерігати.
Як захиститися (Порада ІТ-Блогу): Для звичайних користувачів: переконайтеся, що ваше програмне забезпечення Windows та антивірус оновлені. Уважно ставтеся до будь-яких запитів від програм, особливо тих, що просять надати доступ до ваших файлів або дозволити виконання незнайомого коду. Для адміністраторів: почніть вивчати можливості MXC та політик безпеки, які будуть доступні в Agent 365. Чітке визначення дозволів для ШІ-агентів є ключовим для запобігання потенційним інцидентам безпеки.
За матеріалами: venturebeat.com