微软推出 MXC 操作系统级沙箱：为 AI 智能体构建端侧安全“护城墙”

在过去两年中，科技行业陷入了一场关于 AI 智能体（AI Agents）能力的竞赛——开发者致力于教授它们编写代码、操作软件界面、管理文件以及自主编排多步工作流。然而，一个令首席信息安全官（CISO）彻夜难眠的核心问题一直未得到统一解决：一旦智能体在执行过程中出现偏差或被恶意操纵，后果将如何？

在近日举行的年度 Build 开发者大会上，微软给出了一个极具潜力的答案。该公司推出了名为“微软执行容器”（Microsoft Execution Containers，简称 MXC）的政策驱动执行层。MXC 直接内置于 Windows 操作系统内核中，允许开发者和 IT 管理员在运行时精确定义 AI 智能体可以以及不能访问的资源边界，并由系统内核强制执行。

MXC 并非一个独立的商业产品，而是一套嵌入在 Windows 和 Windows 子系统（WSL）中的 SDK 和策略模型。它提供了一个所谓的“可组合沙箱频谱”（composable sandbox spectrum），其隔离强度可根据风险等级动态调整：从轻量级的进程隔离（如 GitHub Copilot CLI 已采用），一直延伸到微虚拟机（micro-VM）、Linux 容器，乃至运行在 Windows 365 上的完整云实例。

该系统的核心逻辑是将智能体的执行环境与用户的桌面、剪贴板、用户界面（UI）及输入设备完全分离。更关键的是， MXC 将每个智能体绑定到一个强身份标识（本地 ID 或基于 Microsoft Entra 的云身份），确保智能体的每一步操作都可追溯、可审计且可管控。这意味着企业无需为了安全而削弱智能体的能力，而是通过构建一个根本受控的环境来打破“能力越强，风险越高”的悖论。

从安全角度看，传统的应用程序运行在可预见的边界内，而 AI 智能体通过自然语言接收目标并自主推理执行，其行为具有不可预测性，这极大地扩展了系统的“攻击面”。安全研究员此前已证明，通过提示词注入（Prompt Injection）或恶意工具调用，智能体可能被操纵以窃取数据或破坏系统。MXC 的出现正是为了在 AI 智能体从“演示原型”转向“企业部署”之间搭建一座信任桥梁。

在现场演示中，一名开发者尝试指令一个运行在 MXC 沙箱中的开放式智能体框架 OpenClaw 删除桌面上的所有文件。尽管智能体试图执行该操作，但被 OS 内核直接拦截，文件完好无损。此外，管理员可以通过 Intune 策略集中管理权限，例如将某些文件设为只读，或禁止智能体截屏、访问地理位置等。

对于企业级用户，MXC 将通过“Agent 365”计划在 7 月进入预览阶段。届时，它将与微软的安全生态深度集成：Microsoft Defender 提供实时威胁防护，Entra 处理身份访问，Intune 强制执行设备策略，而 Microsoft Purview 则负责数据治理与合规审计。这种架构使得受监管行业（如金融、医疗、政务）能够生成区分“人类操作”与“智能体操作”的审计轨迹，满足严格的合规要求。

值得注意的是，OpenAI、英伟达（Nvidia）、Manus 以及 Nous Research 等顶尖 AI 厂商已率先加入。OpenAI 计划结合 Codex 的能力与 MXC 环境，加速开发者从“意图”到“可靠执行”的转化；英伟达则将其 OpenShell 框架引入 Windows，以提供安全且持久运行的自动化智能体方案。

从战略高度看，MXC 的推出标志着微软在 AI 时代重新定义操作系统的角色。不同于苹果通过“围墙花园”限制智能体行为，或谷歌依托云端中心化管控，微软选择了在 OS 层面建立“声明与执行”机制。通过将信任层下沉至内核，微软确保了无论开发者选择何种模型或框架，安全保证始终有效且统一。

尽管技术路径已清晰，但真正的挑战在于“策略编写”。在复杂的企业环境中，如何为成千上万个智能体制定精准的权限策略，将成为一个全新的 IT 运维学科。然而，微软此举已释放出明确信号：在 AI 智能体时代，操作系统不再仅仅是软件的运行载体，而将进化为一个全天候的“超级监护人”。

来源： VentureBeat 报道