Windows 执行容器:在操作系统层面隔离自主智能体
微软 2026 年 6 月推出的 MXC SDK 把智能体的隔离下沉到 Windows 本身:进程隔离、会话隔离、按智能体分配的身份,以及运行时策略。
这是什么?
2026 年 6 月 2 日,微软在 Build 2026 大会上发布了《Windows platform security for AI agents》,宣布 Microsoft Execution Containers(MXC)SDK 的早期预览版——这是一个面向 Windows 与 WSL 上 AI 智能体的、跨平台、由策略驱动的执行层。其思路是结构性的:与其让每个智能体框架各自重新实现沙箱,MXC 把隔离、身份与策略实施下沉到操作系统中,在运行时以一致的方式加以应用。
这一举措回应了我们从多个角度报道过的一个问题:一个会读取文件、调用工具、并在运行时生成自身代码的自主智能体,除非有东西主动加以约束,否则会继承用户会话的全部权限。MXC 是微软的一次尝试,要把这条边界变成操作系统的一等原语,而不是事后附加在每个应用上的补丁。
工作原理
微软称之为可组合沙箱的核心思想,可以概括为:单一的策略模型和单一的 SDK,可根据工作负载的风险映射到不同的隔离机制。开发者声明要约束什么,Windows 负责实施,无需任何人手写底层隔离。预览版包含两个隔离层级。
进程隔离是轻量层。它在一个专用的进程边界内运行模型生成的代码,限制其访问既定策略之外的文件与网络域,同时保持开发内循环的响应速度。GitHub Copilot CLI 已经采用该模式,以限制其动态生成的代码所能触及的范围。
会话隔离是加强层。它把智能体的执行与用户的交互式桌面、剪贴板、界面和输入设备分离,从而缓解界面欺骗、输入注入和跨会话数据泄露。关键之处在于:会话在各自独立的用户账户下运行;Windows 为每个智能体分配一个本地身份或由 Entra 支持的身份,并把它的全部活动归属到该身份,使人类操作与智能体操作可以清晰地区分并可审计。访问策略通过 Microsoft Entra 与 Intune 实施,企业由此可以集中治理这些护栏。
路线图还把同一个 SDK 扩展到 micro-VM(基于虚拟机监控程序的硬件级隔离,面向更高风险或不可信代码的工作负载,微软明确将其定位为对研究显示 LLM 正在发展出逃逸沙箱能力的回应)、通过 WSL 提供的 Linux 容器,以及 Windows 365 for Agents——在后者中,被攻陷智能体的影响半径被限制在一台一次性的云 PC 内。该 SDK 已在 GitHub 上公开。
为什么重要
隔离是致命三要素之一:如果一个既摄入不可信内容又能采取行动的智能体要保持安全,就必须有东西来界定”行动”的含义。历史上这项工作交给各个框架,参差不齐——这正是编码智能体的 RCE 与权限边界失效反复出现的原因。在操作系统层面把隔离标准化,并用按智能体分配的身份让行为可归属,正是那种能整体抬高下限、而非一次只修一个产品的结构性改变。
需要注意的地方同样是结构性的。MXC 是早期预览版,会话隔离的初始支持是非交互式的,而最强的边界——micro-VM——仍在路线图上,尚未投产。微软自己将进程隔离描述为中等强度,它并不是一堵虚拟机监控程序的墙。而且操作系统层面的隔离处理的是三要素中的行动一环,而非注入一环:受策略约束的智能体,仍可能被诱导去滥用该策略授予它的权限。Windows Defender 新增的提示注入检测是一项互补控制,而非”把检索到的内容当作不可信来处理”的替代品。
防御建议
把 MXC 当作可供构建的基础,而非已然完成的保证。根据工作负载匹配隔离层级:为响应式编码智能体选用进程隔离,为与人类并行运行的长时间自动化选用会话隔离(附带其独立用户账户与完整可审计性),并在智能体处理敏感数据或运行不可信代码时规划 micro-VM 或云 PC 隔离。尽可能为每个智能体分配独立身份,并通过 Entra 与 Intune 施加最小权限的文件与网络策略,使智能体活动可归属、可独立于用户加以撤销。坚持纵深防御:把隔离与输入侧控制相结合——不可信内容处理、输出过滤与注入检测——因为一个被良好隔离的智能体仍可能被欺骗去滥用其被授予的能力。最后,由于这些功能目前存在于 Insider 版本与预览版中,请在依赖它们之前先行测试,不要让”由操作系统强制实施”成为把过多权限交给智能体的理由。
现状
MXC 于 2026 年 6 月 2 日在 Build 2026 大会上由微软的 Dana Huang 与 Logan Iyer 宣布,SDK 以GitHub 上的早期预览版形式发布,进程/会话隔离计划在 Build 之后不久登陆 Windows Insider 版本。这是一项平台防御贡献,而非漏洞披露——没有 CVE,也没有附带的利用代码。微软列举的生态合作伙伴包括 GitHub Copilot CLI(进程隔离,已交付)、NVIDIA 的 OpenShell、OpenClaw、OpenAI 的 Codex、Manus 以及 Nous Research 的 Hermes Agent。可以把它读作一个信号:智能体隔离正从框架层面的各自摸索,走向操作系统层面的原语——这是一个值得关注、并在信任之前加以检验的方向。