微软MXC:AI智能体安全沙盒系统
近两年来,科技行业竞相提升AI智能体的能力——训练它们编写代码、导航软件界面、管理文件,并以日益增强的自主性编排多步骤工作流。然而,行业尚未解决一个让首席信息安全官夜不能寐的问题:当智能体出现故障时会发生什么?
在周二举行的年度Build开发者大会上,微软提出了一个可能成为最终答案的解决方案。该公司推出了Microsoft Execution Containers(MXC)——一种基于策略的执行层,内置于Windows操作系统本身,使开发者和IT管理员能够精确声明智能体可以访问什么、不能访问什么,这些边界由操作系统内核在运行时强制执行。
这一公告被包含在一系列面向开发者的广泛更新中,可以说是微软今年Build大会上最具影响力的平台举措,它有可能重塑全球每家企业对部署自主AI软件的思考方式。
MXC并非您可以直接购买的产品。它是一个软件开发工具包(SDK)和一种策略模型——一种嵌入在Windows和Linux子系统Windows中的基础原语,提供了微软所称的”可组合沙盒频谱”。这个频谱范围从轻量级进程隔离(已被GitHub Copilot的命令行界面采用),一直到在Windows 365上运行的微型虚拟机、Linux容器和完整云实例。
该系统将智能体的执行与用户桌面、剪贴板、用户界面和输入设备分离。关键的是,它将每个智能体绑定到一个强身份标识——无论是本地ID还是由Microsoft Entra支持的云配置身份,这样智能体执行的每个动作都可以被归因、审计和管控。
为何每个自主AI智能体都是一场等待发生的安全事故
要理解MXC为何重要,请考虑当AI智能体在您的计算机上运行时实际做了什么。与传统应用程序不同——传统应用程序在明确定义的边界内运行(如文字处理器读取和写入文档,浏览器获取网页)——AI智能体本质上具有不可预测性。它接收自然语言目标,推理如何实现该目标,然后采取行动:打开文件、执行代码、调用API、浏览网页、与其他软件交互。每次交互都创造了安全专业人员所称的”攻击面”。
微软自己的博客文章以鲜明的术语描述了这一挑战。该公司写道:”随着智能体变得越来越有能力且自主,它们带来了实质性的生产力提升。但它们也引入了新的风险,问题不在于智能体本身,而在于智能体运行所跨越的整个系统。”智能体与人类、工具、应用程序、模型和其他智能体之间的每一次交互”都暴露了新的攻击面并引入了不同的故障模式”。微软将此描述为”一个多层系统问题”。
这并非理论上的担忧。在Build大会前的几个月里,安全研究人员展示了多种操纵AI智能体的方法——通过提示注入、通过恶意工具调用、通过伪装成正常工作流程的数据外泄。对于处理敏感数据、专有模型和受管制信息的企业而言,缺乏可信执行环境一直是将智能体从演示阶段推向部署阶段的最大障碍。
微软的解决方案:从单一进程到完整虚拟机的可扩展沙盒
MXC遵循一个看似简单的原则:在智能体运行前声明它可以做什么,然后让操作系统在运行时强制执行这些声明。开发人员或IT管理员编写一个策略,指定智能体被允许访问哪些文件、目录和网络资源。MXC随后创建一个包含的执行环境——一个沙盒——无论智能体尝试做什么,都强制执行这些边界。
使MXC与众不同且可能非常强大的地方在于其隔离选项的广泛性。微软设计了该系统,使得单个SDK和策略模型可以映射到任何给定工作负载的适当隔离构造。对于只需要读取当前项目目录的轻量级编程助手,快速的进程隔离可能就足够了。对于执行从互联网下载的任意代码的自主智能体,可能需要完整的微型虚拟机。该系统设计为”基于意图和风险动态组合”,意味着隔离级别可以根据智能体实际执行的操作进行调整,而不仅仅取决于它所属的类别。
会话隔离是一个特别重要的功能。MXC将智能体的执行与用户桌面、剪贴板、UI和输入设备分离。这直接缓解了安全研究人员确定为对AI智能体特别危险的几类攻击:UI欺骗(智能体操纵用户看到的内容以诱骗他们批准恶意操作);输入注入(智能体向其他应用程序发送按键或鼠标点击);以及跨会话数据泄露(一个用户会话中的信息泄露到另一个会话)。
现场演示展示AI智能体尝试删除文件——但系统阻止了这一操作
在公告前夜与VentureBeat的简报会上,一位微软开发者生动地演示了这项技术的实际应用。他在个人开发机器上设置了开源智能体框架OpenClaw,在MXC的沙盒内运行。然后,他指示智能体删除他桌面上的所有文件。智能体尝试执行这一操作,但沙盒阻止了它。”看看我的桌面,”演示中开发者说,”它看起来多么整洁。”他解释说,这实际上是个谎言,因为文件完全安全,”容器不允许删除它们”。
演示进一步展示了MXC控制的细粒度。用户可以将特定文件标记为智能体只读,限制对浏览器和屏幕捕获的访问,控制智能体是否可以查看位置数据,并通过Intune策略由企业IT部门集中管理所有这些权限。智能体在本质上像一个单向镜:它可以执行被要求完成的工作,但无法看到或触摸其策略定义边界之外的任何内容。
微软Windows和设备执行副总裁Pavan Davuluri在简报会上强调,MXC引入的原语——安全性、包容性、隔离性和用户控制——对于使AI智能体在商业上可行至关重要。
他强调这些功能”并非OpenClaw独有”,并且”这种模式一再重复”,适用于…
关注微信号:智享开源,及时了解更新信息。
关注微信
还没有任何评论,你来说两句吧!