先想象一个画面。
你的 Windows 电脑上同时跑着五六个 AI Agent,它们能读你的文件、能联网、能动你的鼠标键盘,还能一直在后台待着不下线。其中一个,被人塞了一句藏在网页里的恶意指令——接下来会发生什么?
6 月 2 日的 Build 2026 大会上,微软给出的答案不是”我们做了个更聪明的模型”,而是一件更底层的事:把 Windows 这个操作系统本身,改造成专门用来关 Agent 的地方。
核心是给每个 Agent 单独造一间”执行容器”
这套东西叫 MXC(Microsoft Execution Containers),一个跨 Windows 和 WSL 的执行层。逻辑很简单:开发者先声明这个 Agent 能碰哪些文件、能连哪些网络,剩下的边界由系统在运行时强制守住,Agent 想越界也越不出去。微软已经把它开源到了 GitHub,Build 之后放出早期预览。
隔离分了几个档位,按风险从轻到重:
| 隔离级别 | 干什么 | 现状 |
|---|---|---|
| 进程隔离 | 轻量、快,限制文件和网络访问范围 | 已上线,GitHub Copilot CLI 在用 |
| 会话隔离 | 把 Agent 跟你的桌面、剪贴板、鼠标键盘彻底隔开 | 初期支持非交互式任务 |
| 微型虚拟机 | 靠 hypervisor 做硬件级隔离,给高风险任务 | 路线图上 |
| Linux 容器 | 基于 WSL,给 Linux 工具链的 Agent | 路线图上 |
进程隔离是给那种要求手脚麻利的编程 Agent 用的,够快;会话隔离则更狠,它防的是界面冒充、输入注入、跨会话偷数据这几类专门冲着 Agent 来的攻击——一个被劫持的 Agent,碰不到你正开着的窗口,也读不走你剪贴板里刚复制的密码。
关键一步:给每个 Agent 发一张”身份证”
光关起来还不够。微软这次还给每个 Agent 分了身份:要么一个本地 ID,要么一个由 Entra(微软的企业身份系统)发的云身份,然后把这个容器里发生的每一个动作,全记到这个身份名下。
这步看着不起眼,分量不轻。讲人话就是——以前 Agent 在你电脑上点了什么、删了什么,系统分不清是你干的还是它干的,真出了事,连人都查不到。现在每个 Agent 有了自己的户口,人和 Agent 的行为第一次能分开记账。
“Continuously running local agents require intentional isolation.”
这是 Nous Research 的 Dillon Rolnick 说的——一直在后台跑的本地 Agent,必须有意识地隔离起来,不能让它跟你共用一个身份、一套权限。
笼子之上,再盖一层管理
底层有了容器和身份,微软在上面又叠了一套企业级的管理面:
- Agent 365:负责盯着这些 Agent,通过 Entra 和 Intune 往下发策略,能自动发现并管住 Windows 上的本地 Agent。目前支持 OpenClaw 的 Agent,接下来会扩到 GitHub Copilot CLI 和 Claude Code。
- Windows 365 for Agents:已经正式可用,干脆把 Agent 扔进 Intune 托管的云端 Cloud PC 里跑,跟你本机彻底分开。真被打穿了,炸掉的也只是一个一次性的云实例。
- Defender:实时挡提示注入这类新型攻击,所有 Windows 用户都能用,包括家用版。
谁已经在用
名单挺说明问题,基本把做 Agent 的几家主力都拉进来了:
- OpenClaw 把 node 和 gateway 直接用 MXC 跑在 Windows 上,还配了个 Windows 端的 App。
- 英伟达 给 Windows 做的 OpenShell 就建在 MXC 上,打包成开箱即用的常驻 Agent。
- OpenAI 在试怎么把 Codex 接进 MXC,让 Agent 在隔离环境里安全地写代码、跑代码——他们的说法是,配上 MXC 这套执行环境,开发者能跑得更快。
- Manus 用 MXC 来划定 Agent 能碰什么、不能碰什么。
竞品们愿意把自家 Agent 往微软这套地基上搬,本身就是个信号。
为什么这事值得说
过去一年,几乎所有人都在比 Agent 能干多少活:能写代码、能订机票、能一口气连几十个软件。但很少有人正面回答另一个问题——当这些能自己动手的东西真住进你的电脑,它越界了谁来拦?
微软这套东西,赌的就是这个时间点。它没去跟别人比模型聪明,而是把 Windows 重新摆到了一个位置上:Agent 跑在哪、能跑多远,由操作系统说了算。这跟它当年靠 Windows 做应用分发的老路子,是一个味道。
模型层的仗早打成红海了,可”让 Agent 安全地跑在终端上”这块地,现在还很空。微软用一个操作系统的存量优势,提前把桩打了下去。
能不能立住,要看接下来一年,这套从 Insider 预览版起步的东西,能走进多少人的日常。进程隔离和会话隔离会先进 Windows Insider 通道,Build 之后很快上线,更多能力走开发者预览。这一仗,刚开打。
参考来源:Windows platform security for AI agents(Windows Developer Blog);Build 2026: Furthering Windows as the trusted platform for development(Windows Developer Blog)