微软 MXC:第一次把 AI Agent 的信任层放进操作系统——Windows 新沙箱机制的架构选择意味着什么AI Agent 的最大风险,不是它做不了有用的事,而是当它做错事时没有任何机制能拦住它。6 月 2 日,微软在 Build 2026 上宣布了 Microsoft Execution Containers(MXC)——一套内嵌在 Windows 操作系统内核层的 Agent 执行沙箱。这是一次架构选择:把 Agent 的信任边界从框架层下沉到操作系统层。传统应用程序和系统的交互点是固定的、已知的。AI Agent 则相反:它接收一个自然语言目标,然后自主决定如何完成,可能涉及文件操作、代码执行、API 调用、界面控制。每一个这样的动作都是攻击面。微软在 MXC 公告里用了一个直接的表述:"问题不只是 Agent 本身,而是 Agent 跨越的整个系统。" Agent 和人类、工具、应用、模型之间的每一次交互,都在引入新的失效模式。MXC 的设计逻辑因此很简单:在 Agent 运行之前声明它能做什么,然后让操作系统在运行时强制执行这些声明。开发者或 IT 管理员写一份策略,指定 Agent 允许访问的文件路径、网络资源和 API;MXC 根据这份策略创建一个执行容器,无论 Agent 之后尝试做什么,容器边界不会移动。MXC 提供一套 SDK 加策略模型,映射到三种隔离强度:轻量进程隔离、Linux 容器、以及完整的 micro-VM。GitHub Copilot CLI 已经采用了进程隔离版本;只需要读取当前项目目录的代码助手,进程隔离就够了;会下载并执行任意代码的自主 Agent 则需要 micro-VM。这个"可组合沙箱谱"的意思是隔离级别根据 Agent 的实际行为意图调整,而不是一刀切。会话隔离是另一个关键点。MXC 把 Agent 的执行环境和用户桌面、剪贴板、UI、输入设备彻底分开,直接对抗研究人员已经演示过的几类攻击:UI 欺骗(Agent 操纵用户看到的界面内容)、输入注入(Agent 向其他应用发送键盘鼠标事件)、跨会话数据泄漏。在发布前夜的媒体演示中,OpenClaw agent 在 MXC 沙箱里执行"删除桌面所有文件"——Agent 尝试了,但容器阻止了它。"你看到的桌面是干净的,那是假的,"演示者说,"容器不允许删除。"MXC 本身是一个 SDK,但它的企业价值来自 7 月预计上线的 Agent 365 集成。Entra 负责 Agent 身份管理——每个 Agent 获得一个本地 ID 或 Entra 云身份,所有操作归因到该身份;Intune 负责设备级策略推送;Defender 提供运行时威胁保护;Purview 把数据治理能力延伸到 Agent 活动。这套集成让 IT 部门第一次可以对 Agent 做和对传统应用一样的事:审计轨迹、访问控制、合规监测。对金融、医疗、政府等受监管行业来说,能在审计日志里把"人类操作"和"Agent 操作"区分开,正在从最佳实践逼近监管要求。Entra 的 Agent 身份模型也意味着一旦一个 Agent 被发现有恶意行为,可以直接通过身份层撤销它的所有权限,而不是在代码层修补。OpenAI(Codex)、NVIDIA(OpenShell)、中国 AI Agent 初创公司 Manus、Nous Research(Hermes agent)已经开始在 MXC 上构建。这个生态覆盖面暴露了微软的真实战略意图:不是为某类 Agent 提供专属平台,而是把 Windows 定位成所有 Agent 的通用信任层。苹果选择封闭生态——控制哪些 Agent 能运行,安全靠限制实现;Google 把信任放在云端,数据和评估都在服务端。微软走的是第三条路:任何 Agent 都可以运行,但 OS 通过声明加强制执行管控 Agent 的运行时边界,与具体的 Agent 框架、模型提供商无关。第三条路线如果成立,意味着 Windows 拿到了一个 iPhone App Store 之外的新型平台控制点:不审批哪些 Agent 能发布,但控制哪些 Agent 能在 Windows 上安全运行。微软花了两年时间让业界学会构建 Agent,现在押注的是下一个更大的工程问题:如何让操作系统来监管 Agent。
夜雨聆风