夜雨聆风
OpenClaw 上 Windows 只是表象,Microsoft 这次悄悄把 Agent 关进了笼子
🔥 每天3分钟,读懂科技圈。点击上方「蓝字」关注 TechHome
中文圈这两天疯传一句话:“OpenClaw 上 Windows 了”。
热闹归热闹,但这条新闻最有意思的部分,几乎被所有报道漏掉了——
Microsoft 这次真正甩出来的不是 OpenClaw,不是 Surface Spark,也不是又一个 Foundry 升级。
是一个名字平平无奇、藏在 Build 2026 安全分会场里的东西:MXC(Microsoft eXecution Containers)。
一句话理解:Windows 在内核里给 AI Agent 划了一道沙箱边界,由操作系统自己强制执行。
OpenClaw 只是它最好看的那张演示样品。
一、它解决的是一个真问题,不是 KPI 题
跑过本地 Agent 的人都明白这玩意儿有多吓人。
一个能读你文件、能模拟键盘、能调网络、还能自己规划下一步动作的程序,跟病毒只差一个”意图”。
业界过去对付这事儿,大体三招:
• 靠开发者承诺:”我保证不乱来。”——信不信由你
• 靠 Docker / WSL 隔离——但那是容器工具,不是策略框架
• 靠杀软兜底——事后补救,治标不治本
MXC 是第一次有人把这事儿抬到 OS 层。
它不是一个产品,而是一套 SDK + 声明式策略模型,原生嵌进 Windows 和 WSL,提供 Microsoft 自己起的那个名字叫得很学术——composable sandbox spectrum(可组合的沙箱光谱):
| 隔离强度 | 用什么 | 谁在用 |
|---|---|---|
| 最轻 | 进程隔离 | GitHub Copilot CLI 已经在跑 |
| 中量 | micro-VM、Linux 容器 | 大多数本地 Agent 场景 |
| 最重 | Windows 365 完整云实例 | 企业高敏感任务 |
策略是声明式的:开发者或者 IT 管理员只需要写一句话——
“这个 Agent 只能读
~/Documents/work/,不能截屏,不能联网,不能跨会话翻历史。”
内核负责把这句话变成铁律。Agent 想越界?对不起,系统级拒绝。
并且每个 Agent 都绑一个身份(本地 ID 或 Entra 云身份)。这意味着以前你只能看到”某个 Python 进程动了文件”,现在你能查到”某个 Agent,归属某个用户,按某条策略,在 10:23:11 试图读了哪几个文件、被拒了几次”。
从’信任开发者’到’信任操作系统’——这就是 MXC 最值得记住的那一行。
二、那个 OpenClaw 演示桥段,比 PPT 强多了
Microsoft 的工程师在台上把 OpenClaw 装进 MXC,指着大屏说:
“看我桌面多干净……骗你的,桌面上其实有一堆文件。我让 Agent 删,它试了,容器不让。”
全场笑场,但这一笑很关键——Agent 没疯,是被关住了。
这一秒钟的演示,比一百页 whitepaper 都直观。它告诉所有还在犹豫”敢不敢给 Agent 文件系统权限”的企业 IT:你不用赌 Agent 听不听话,你只需要赌操作系统靠不靠谱。
后者,微软卖了三十年。
三、五家首发伙伴,名单比想象的有意思
启动伙伴一共五家,分三类来看:
| 伙伴 | 角色 | 用 MXC 干什么 |
|---|---|---|
| OpenAI | 代码生成 | Codex Agent 跑在 MXC 里安全执行模型生成的代码 |
| NVIDIA | 运行时框架 | OpenShell 基于 MXC,加策略管理 + PII 脱敏 |
| Manus | 国产 Agent | 把”运行时边界”包成企业级卖点 |
| Nous Research | Hermes Agent | 长时间在本地跑的开源 Agent,对隔离需求最刚 |
| OpenClaw | 个人 AI 助手 | Microsoft 反向贡献了一个原生 WinUI 客户端,开源 |
值得留意的两个细节:
1. 中文圈几乎没人提 Nous Research——但 Hermes Agent 这种 7×24 长跑的开源 Agent,恰恰是 MXC 最想覆盖的场景。Nous Research 在发布会上的原话也很直接:
“持续运行的本地 Agent 需要刻意的隔离。开发者需要能控制 Agent 访问什么,并且相信这些控制不会被绕过。”
2. MXC 其实不是 Windows 独占——GitHub 上 microsoft/mxc 仓库的 README 白纸黑字写着:Windows、Linux、macOS 都支持。
也就是说”MXC 让 OpenClaw 上 Windows 了”这种叙事完全倒过来了——MXC 本身就是跨平台沙箱系统,Windows 只是它选中的第一个主场,因为微软急着用它讲 Agent 安全的故事。
四、OpenClaw 背景,顺手补一个被忽略的事
Peter Steinberger 确实是 PSPDFKit 创始人,确实搞了 OpenClaw。
但有个变化大多数中文报道还没跟上:他已经加入 OpenAI,Sam Altman 公开发推欢迎,称他 “a genius”,要带队做”下一代个人 Agent”。
现在这事儿的叙事一下就立体了:
• OpenClaw 原作者 → 去了 OpenAI
• OpenAI → 是 MXC 首发伙伴
• Microsoft → 给 OpenClaw 贡献了原生 Windows 客户端
三方互相塞礼物,热闹得很。这不是巧合,是 Agent 这条赛道已经卷到要 OS、模型、应用三方互相站台才能玩得动了。
五、Agent 365:MXC 是底盘,企业管理栈才是收割机
光有沙箱不够。MXC 是底盘,七月会开放预览的 Agent 365 才是微软把整套企业管理栈缝上来的那一刀:
• Defender → 运行时威胁检测
• Entra → Agent 身份认证
• Intune → 设备级策略下发
• Purview → 数据治理 + 合规审计
最关键的一句话:已经被 Intune 管控的 Windows 设备,一次软件更新就变成 “agent-ready”,不用换硬件、不用重装系统。
对企业 IT 来说,这是个非常实在的资本支出节省。也是微软在 Apple 和 Google 之外能讲清楚的”Agent 时代企业入场券”。
六、几个值得带走的判断
判断 1:三家大厂的 Agent 安全哲学已经分流
| 厂商 | 哲学 | 路径 |
|---|---|---|
| Apple | 限制式安全 | 围墙花园,不让你跑就没风险 |
| 集中式安全 | 云端跑,我控制环境 | |
| Microsoft | 声明式安全 | 你随便跑,OS 按策略约束 |
第三条路最像传统企业 IT 的玩法。看起来最没噱头,但最可能在企业真落地。
判断 2:真正的瓶颈不在内核,在策略
VentureBeat 一句评论一针见血:沙箱再硬,也只配得上你写的那份策略。
“怎么给一个会自己规划、会调十几个工具、会跨多个会话的 Agent,写一份恰好够用又不过度授权的策略”——这是一门全新的 IT 学科。
目前没有任何厂商搞清楚怎么教。多数企业的组织成熟度也根本撑不起来。MXC 是把权力给了 IT,但用好这个权力,需要时间。
判断 3:对个人开发者最直接的好处
短期内最现实的收益:在 Windows 上跑本地 Agent,不用再折腾 WSL2 + 一堆配置 + 偶尔玄学崩溃。原生 + 沙箱,开箱即用。
由于 MXC 本身跨平台、Nous Research 等开源 Agent 也是首发伙伴,macOS / Linux 用户的同款体验跟进会很快。
写在最后
Microsoft 这次没有把 Agent 包装成一个炫酷新产品。它干的是另一件更底层的事:
把 Agent 当作操作系统的一等公民,按 OS 的方式管理它。
身份、权限、审计——iOS 给手机 App 配齐这套东西用了好几年,最后变成行业标准。Agent 现在站在同一个起点上。
OpenClaw 是这次故事最好看的那张脸,但脸背后的骨架才是 MXC。明年 Build 2027 这副骨架会长成什么样,比”今年哪个 Agent 红”重要得多。
—
参考资料:
• VentureBeat: Microsoft launches MXC
• NVIDIA Developer Blog: Personal AI Agents on Windows
• microsoft/mxc on GitHub
• Microsoft Build 2026 Live Blog
📝 觉得有料?点赞、在看、转发走一波
AI · 开源 · 前沿技术,每日更新不掉队 🚀