Новий етап безпеки: Microsoft інтегрує ШІ-агентів у ядро Windows
Протягом останніх двох років технологічна індустрія активно працювала над підвищенням можливостей ШІ-агентів, навчаючи їх писати код, взаємодіяти з програмними інтерфейсами, керувати файлами та автономно виконувати багатоетапні процеси. Однак, відповідь на питання, яке не дає спокою директорам з інформаційної безпеки: що відбувається, коли агент виходить з-під контролю? – залишалася невизначеною. У вівторок, на своїй щорічній конференції для розробників Build, Microsoft представила потенційно революційне рішення. Компанія анонсувала Microsoft Execution Containers (MXC) – керований політиками шар виконання, вбудований безпосередньо в операційну систему Windows. Він дозволяє розробникам та ІТ-адміністраторам точно визначати, до чого може отримати доступ ШІ-агент, а до чого – ні, забезпечуючи дотримання цих обмежень на льоту завдяки ядру ОС. Це оголошення, яке стало частиною ширшого переліку оновлень для розробників, є, можливо, найважливішим платформовим кроком Microsoft на Build цього року. Воно має потенціал докорінно змінити підхід до розгортання автономного програмного забезпечення на базі ШІ в будь-якому корпоративному середовищі. MXC – це не продукт, який можна купити. Це SDK та модель політик – фундаментальний інструмент, інтегрований у Windows та Windows Subsystem for Linux (WSL). Він надає те, що Microsoft називає “композитним спектром пісочниць” (composable sandbox spectrum). Цей спектр охоплює все: від легкого ізолювання процесів, вже впровадженого в інтерфейсі командного рядка GitHub Copilot, до мікро-віртуальних машин, Linux-контейнерів та повноцінних хмарних інстансів, що працюють на Windows 365. Система розділяє виконання агента від робочого столу користувача, буфера обміну, інтерфейсу користувача та пристроїв введення. Важливо, що кожен агент прив’язується до надійного ідентифікатора – локального або хмарного, підкріпленого Microsoft Entra. Це дозволяє відстежувати, аудитувати та контролювати кожну дію агента. Наслідки цього кроку величезні. Досі розгортання ШІ-агентів у корпоративному середовищі було парадоксальним: чим більш автономним і корисним ставав агент, тим небезпечнішим було дозволяти йому працювати в корпоративній мережі без чітких обмежень. MXC – це спроба Microsoft подолати цей парадокс, не обмежуючи можливості агентів, а створюючи значно більш контрольоване середовище для їхньої роботи.
Чому кожен автономний ШІ-агент – це потенційний інцидент безпеки
Щоб зрозуміти важливість MXC, розглянемо, що робить ШІ-агент, коли він працює на вашому комп’ютері. На відміну від традиційних програм, які діють у чітко визначених межах (текстовий редактор читає та записує документи, браузер завантажує веб-сторінки), ШІ-агент за своєю природою непередбачуваний. Він отримує завдання природною мовою, аналізує шляхи його виконання та потім виконує дії: відкриває файли, запускає код, викликає API, переглядає веб-сторінки, взаємодіє з іншим програмним забезпеченням. Кожна така взаємодія створює те, що фахівці з безпеки називають “поверхнею атаки”. Microsoft сама окреслила цю проблему у своєму офіційному блозі: “Зі зростанням можливостей та автономності агентів вони приносять значний приріст продуктивності. Але вони також створюють нові ризики, і проблема не лише в самому агенті. Це стосується всієї системи, в якій працює агент”. Кожна взаємодія між агентами, людьми, інструментами, програмами, моделями та іншими агентами “відкриває нову поверхню атаки та створює різні сценарії збоїв”. Microsoft характеризувала це як “багатошарову системну проблему”. Це не теоретичне занепокоєння. У місяці, що передували конференції Build, дослідники безпеки продемонстрували численні способи маніпулювання ШІ-агентами – через ін’єкцію підказок (prompt injection), зловмисні виклики інструментів, викрадення даних під виглядом звичайної робочої діяльності. Для підприємств, які працюють із конфіденційними даними, пропрієтарними моделями та регульованою інформацією, відсутність довіреного середовища виконання була головною перешкодою на шляху до переведення агентів із демонстрацій у реальне використання.
Рішення Microsoft: пісочниця, що масштабується від одного процесу до повноцінної віртуальної машини
MXC працює за напрочуд простим принципом: перед запуском агента визначається, що він може робити, а операційна система забезпечує дотримання цих обмежень під час виконання. Розробник або ІТ-адміністратор створює політику, яка визначає, до яких файлів, каталогів та мережевих ресурсів агент має доступ. MXC потім створює ізольоване середовище виконання – пісочницю – яке забезпечує дотримання цих меж, незалежно від того, що намагається зробити агент. Що робить MXC незвичайним і потенційно дуже потужним, так це різноманітність його опцій ізоляції. Microsoft розробила систему таким чином, щоб єдиний SDK та модель політик могли відповідати відповідному конструкту ізоляції для будь-якого навантаження. Для легкого помічника з написання коду, якому потрібно лише читати поточний каталог проєкту, достатньо швидкого ізолювання процесів. Для автономного агента, який виконує довільний код, завантажений з Інтернету, може знадобитися повноцінна мікро-віртуальна машина. Система розроблена як “динамічно композитна на основі намірів та ризиків”, що означає, що рівень ізоляції можна регулювати залежно від того, що насправді робить агент, а не лише від його категорії. Ізоляція сеансів є особливо важливою функцією. MXC відокремлює виконання агента від робочого столу користувача, буфера обміну, інтерфейсу користувача та пристроїв введення. Це безпосередньо зменшує кілька класів атак, які дослідники безпеки визнали особливо небезпечними для ШІ-агентів: підробка інтерфейсу користувача, коли агент маніпулює тим, що бачить користувач, щоб змусити його схвалити зловмисну дію; ін’єкція введення, коли агент надсилає натискання клавіш або рухів миші до інших програм; витік даних між сеансами, коли інформація з одного сеансу користувача потрапляє до іншого.
Жива демонстрація показала, як ШІ-агент намагався видалити файли – і зазнав невдачі, тому що ОС йому не дозволила
Під час попереднього брифінгу з VentureBeat напередодні анонсу розробник Microsoft надав яскравий приклад роботи технології. Він налаштував фреймворк для агентів з відкритим кодом OpenClaw всередині пісочниці MXC на своїй особистій машині розробки. Потім він доручив агенту видалити всі файли на його робочому столі. Агент спробував виконати команду – але пісочниця йому завадила. “Якщо ви подивитеся на мій робочий стіл тут, ви бачите, наскільки він чистий”, – сказав розробник під час демонстрації. “Це брехня”. Файли, пояснив він, були повністю безпечними, тому що “контейнер цього не дозволяє”. Демонстрація пішла далі, показавши гранулярність контролю MXC. Користувачі можуть позначити певні файли як доступні лише для читання для агента, обмежити доступ до браузера та захоплення екрана, контролювати, чи може агент бачити дані про місцезнаходження, і керувати всіма цими дозволами централізовано через ІТ-відділ підприємства за допомогою політик Intune. Агент працює всередині того, що фактично є одностороннім дзеркалом: він може виконувати поставлене завдання, але не може бачити чи торкатися нічого за межами визначених політикою кордонів. Паван Давулурі, виконавчий віце-президент Microsoft з Windows та пристроїв, наголосив під час попереднього брифінгу, що фундаментальні елементи, які впроваджує MXC – безпека, стримування, ізоляція та контроль користувача – є ключовими для комерційної життєздатності ШІ-агентів. Він підкреслив, що ці можливості “не є унікальними для OpenClaw” і що “цей патерн повторюється знову і знову” для будь-якого агента, що працює на пристрої Windows. За його словами, елементи, які зараз існують в операційній системі “для безпеки, стримування, ізоляції, надання користувачам контролю”, зроблять агентів безпечними як для звичайних споживачів, так і для корпоративних розгортань.
Інтеграція з Defender, Entra, Intune та Purview, що з’явиться в липні, перетворює MXC на центр управління для підприємств
Для корпоративних ІТ-відділів найважливішим елементом анонсу MXC є не сам SDK, а його інтеграція з існуючим стеком безпеки Microsoft для підприємств через так званий Agent 365. Agent 365, який буде доступний у попередній версії в липні, інтегрує сервіс ідентифікації Microsoft Entra та платформу управління пристроями Intune поверх MXC. Це дозволить ІТ-адміністраторам централізовано керувати стримуванням агентів, тоді як розробники обиратимуть необхідний їм рівень ізоляції. Інтеграція йде далі: Microsoft Defender надаватиме захист від загроз під час виконання, Entra керуватиме ідентифікацією та доступом, Intune забезпечуватиме дотримання політик на рівні пристрою, а Microsoft Purview розширить свої можливості управління даними та відповідності нормативним вимогам на діяльність агентів. Це означає, що підприємство теоретично зможе дозволити співробітникам запускати ШІ-агентів на своїх корпоративних машинах – навіть потужних, автономних агентів, які виконують код і керують файлами – зберігаючи той самий рівень централізованої видимості та контролю, який ІТ-відділи мають над традиційними програмами. Microsoft описала рівень ідентифікації у своєму офіційному блозі: “Windows призначає агентам локальний ідентифікатор або хмарний ідентифікатор, підкріплений Entra, і пов’язує всю діяльність з контейнера з цим ідентифікатором, щоб ви могли чітко розрізняти людину та агента”. Для регульованих галузей – фінансових послуг, охорони здоров’я, державного управління – здатність надавати аудиторський слід, який розрізняє дії людини та агента на одній машині, може стати нормативною вимогою, а не просто бажаною функцією. Кожна дія агента, що може бути віднесена до певного ідентифікатора, кожне обмеження, яке можна забезпечити через ту саму інфраструктуру політик, що вже керує сотнями мільйонів пристроїв Windows – це архітектура, яка нарешті може перевести ШІ-агентів із пілотних проєктів у продакшн.
OpenAI, Nvidia, Manus та Nous Research вже працюють на основі MXC – і це змінює правила гри
Платформові оголошення на конференціях розробників часто мають вигляд обіцянок. Що відрізняє запуск MXC, так це широта та конкретність партнерів, які вже працюють на його основі. Microsoft назвала п’ять компаній: OpenAI, Nvidia, Manus, Nous Research (розробник агента Hermes) та проєкт з відкритим кодом OpenClaw. Кожна з них інтегрує MXC по-своєму, висвітлюючи різні сценарії використання технології. Участь OpenAI особливо вражає. Девід Візен, співробітник технічного відділу OpenAI, заявив, що “співпраця з Microsoft над Microsoft Execution Containers (MXC) дозволяє нам досліджувати нові патерни для безпечного та ефективного створення та виконання коду ШІ-агентами”. Він додав, що поєднання можливостей Codex із середовищем виконання MXC має на меті “допомогти розробникам швидше переходити від намірів до надійного виконання, зберігаючи при цьому безпеку та контроль, необхідні підприємствам”. Згадка про Codex – агента OpenAI для генерації коду – натякає на те, що MXC може стати стандартним середовищем виконання для одного з найбільш очікуваних продуктів серед агентів у галузі. Nvidia інтегрує свій фреймворк OpenShell для Windows на базі MXC, надаючи те, що Microsoft описала як “легкорозгортаний пакет для безпечної роботи автономних, завжди активних агентів”. Manus, стартап з Китаю, що займається ШІ-агентами, який здобув вірусну популярність раніше цього року, також інтегрується. Тао Чжан, директор з продуктів Manus, зазначив, що MXC “надає розробникам керований політиками спосіб визначати, до чого агент може отримати доступ, і забезпечувати дотримання цих меж під час виконання, щоб більше автономних агентів могли безпечно працювати в корпоративних середовищах”. А Діллон Рольнік, генеральний директор Nous Research, запропонував, можливо, найлаконічніше пояснення важливості MXC: “Безперервно працюючі локальні агенти, такі як Hermes Agent, потребують свідомого ізолювання. Розробникам потрібен контроль над тим, до чого може отримати доступ агент, і довіра до того, що ці контролі будуть дотримані”.
Як фреймворк агентів з відкритим кодом став випробувальним полігоном Microsoft для безпеки ШІ у Windows
Однією з найбільш показових історій, що стоять за анонсом MXC, є OpenClaw. Під час попереднього брифінгу розробник Microsoft розповів, як партнерство виникло органічно – Пітер Стейнбергер, творець OpenClaw, надіслав йому пряме повідомлення в січні, висловивши зацікавленість у співпраці. Те, що почалося як невимушена розмова, переросло в повноцінне платформове партнерство, де розробники Microsoft зробили внесок у додаток-компаньйон OpenClaw для Windows, створений як нативний застосунок WinUI, а не як веб-додаток. Інтеграція OpenClaw слугує, як зазначив Скотт, “найкращим тестовим додатком для всього, що [команда платформи Windows] створює”. Якщо OpenClaw – який за своєю природою надає агентам широку автономію для виконання завдань на машині користувача – може безпечно працювати в межах стримування MXC, тоді система стримування є достатньо надійною для будь-якого агента. Скотт пояснив філософію, що лежить в основі роботи: “Уявіть OpenClaw Windows як найкращий тестовий додаток… Якщо OpenClaw зможе досягти успіху у Windows, це означає, що там є підтримка Linux, підтримка контейнерів, стримування”. Додаток-компаньйон демонструє весь спектр корпоративних засобів контролю MXC – дозволи на файли, доступ до мережі, обмеження захоплення екрана, дані про місцезнаходження – все кероване централізовано через політики Intune. Microsoft передала проєкт OpenClaw у відкритий доступ і планує продовжувати робити внески в нього. Як зазначив один із керівників відділу Windows під час брифінгу: “Всі агенти, будь-хто, всі ласкаво просимо до Windows… Він чудово працюватиме на Windows, тому що там є базові елементи. Основа піраміди міцна”.
Вбудовування стримування в ОС надає Microsoft стратегічну перевагу над “екосистемою Apple” та хмарною моделлю Google
MXC з’являється в момент, коли технологічна індустрія бореться з фундаментальною напруженістю. ШІ-агенти представляють собою, можливо, найзначнішу нову категорію програмного забезпечення з часів мобільних додатків, і кожна велика технологічна компанія поспішає їх розробляти. Але інфраструктура безпеки та управління, необхідна для відповідального розгортання цих агентів у корпоративних середовищах, ледь існує. Підхід Microsoft є відмінним, оскільки він розміщує рівень довіри на рівні операційної системи, а не у фреймворку агента, постачальника моделі чи сторонньому продукті безпеки. Це свідомий архітектурний вибір. Вбудовуючи стримування безпосередньо в Windows, Microsoft гарантує, що гарантії безпеки діятимуть незалежно від того, який агент, модель чи фреймворк обере розробник. Це також означає, що сотні мільйонів пристроїв Windows, які вже керуються через Intune і захищені через Defender, в принципі, можуть бути підготовлені до роботи з агентами шляхом оновлення програмного забезпечення, а не шляхом повної заміни. Підхід Apple до ШІ-агентів значною мірою спирається на її екосистему, пропонуючи безпеку через обмеження – обмежуючи, які агенти можуть працювати і що вони можуть робити. Підхід Google, зосереджений на своїй хмарній інфраструктурі, пропонує безпеку через централізацію. Підхід Microsoft пропонує безпеку через оголошення та примус – дозволяючи будь-якому агенту працювати, але обмежуючи його вплив через політики на рівні ОС. Для підприємств, які працюють у гетерогенних середовищах з різними інструментами та кількома постачальниками ШІ, модель Microsoft може виявитися найбільш практичною. Конкурентна динаміка вже змінюється: завдяки OpenAI Codex, Nvidia OpenShell та незалежним фреймворкам агентів, таким як Manus і Hermes, які працюють на основі MXC, Microsoft позиціонує Windows не просто як платформу, де працюють агенти, а як платформу, де агентам можна довіряти.
Найскладніше – це не створення пісочниці, а написання політик, які будуть у ній працювати
MXC вже доступний у ранньому попередньому перегляді, що дозволяє розробникам розпочати роботу з SDK та тестувати політики стримування. Інтеграція Agent 365 з Defender, Entra, Intune та Purview запланована до попереднього перегляду в липні – доволі агресивний термін, що свідчить про те, що більша частина інженерної роботи вже виконана, але достатньо віддалений, щоб дозволити вдосконалення на основі відгуків розробників. Однак справжнє випробування настане, коли підприємства почнуть розгортати агентів у масштабі на виробничих мережах. Стримування є настільки ж добрим, наскільки й політики, які ним керують, а розробка ефективних політик для агентів у складних корпоративних середовищах стане зовсім новою дисципліною – такою, яку ІТ-відділи ще не розробили, і яку жоден постачальник ще не навчився викладати. Технологія обіцяє багато, але порожня пісочниця – це просто порожня скринька. Наповнення її правильними правилами, для правильних агентів, у правильних контекстах, вимагатиме такого рівня організаційної витонченості, який більшість компаній тільки починають усвідомлювати. Тим не менш, важливість того, що Microsoft оголосила у вівторок, важко переоцінити. Вперше великий постачальник операційних систем запропонував комплексне, на рівні ядра, рішення питання про те, як автономне програмне забезпечення на базі ШІ повинно стримуватися, ідентифікуватися та керуватися на пристроях, де фактично виконується більшість роботи у світі. Галузь витратила два роки на навчання агентів діяти. Тепер Microsoft робить ставку на те, що більший бізнес – і складніша інженерна проблема – це навчити операційну систему спостерігати.
Прогноз ІТ-Блогу: Інтеграція MXC в Windows є ключовим кроком до безпечного розгортання ШІ-агентів у корпоративному сегменті, що може призвести до появи нових стандартів безпеки та зростання прийняття автономних систем. Очікується, що найближчим часом з’являться інструменти та фреймворки, які полегшать створення та управління політиками для цих агентів, роблячи їх доступними для ширшого кола компаній.
Інформація підготовлена на основі матеріалів: venturebeat.com