Microsoft在自家文檔中提到,Windows 11 上的新一代 AI 代理(AI agents)存在“風險”,但同時又將其視為未來 Windows 的核心能力,並在最新版本中繼續推進落地。這些代理被設計成能像人一樣點擊界面、操作應用和文件,替用戶執行多步任務,卻也可能出現幻覺,被惡意提示欺騙,甚至成為攻擊的新入口。
自 2025 年 10 月起,Microsoft高調提出要把“每一台 Windows 11 電腦都變成 AI PC”,通過 Copilot Voice、Copilot Vision 和 Copilot Actions 等功能,讓用戶用自然語言替代鍵盤和鼠標操作。
新版本的任務欄搜索框正被可選替換為“Ask Copilot”,用戶只需一次點擊或輸入,就能調出代理,讓其在後台執行任務,並在任務欄中像普通應用一樣查看進度。
雖然目前大部分代理功能仍然是可選且有限開放,但從架構與路線圖上看,Microsoft已經將“代理計算”(agentic computing)視為 Windows 的下一代核心範式。在用戶對操作系統“AI 化”感到疲勞的當下,Windows 11 實際上正在被視為這一實驗的主戰場。
Microsoft在官方支持文檔中承認,這些 AI 代理功能受限,可能產生幻覺,輸出出乎意料的內容。
更嚴重的是,Microsoft特別指出“跨提示注入攻擊”(Cross Prompt Injection, XPIA):攻擊者可以在界面元素、文檔或應用中嵌入惡意內容,從而篡改代理原有指令,引導其複製敏感文件、洩露數據或執行惡意操作。
安全研究人員此前已經警告,具有圖形界面操作能力且擁有較高系統權限的 GUI 代理,對這類間接攻擊特別脆弱。在 Copilot 已經因體驗和隱私問題招致大量反感的背景下,賦予代理讀取和操作本地文件的能力,更加引發外界憂慮。
為應對上述風險,Microsoft在 Windows 11 中引入了“Agent Workspace”(代理工作區),作為所謂“代理化操作系統”的基石。
與虛擬機或 Windows Sandbox 不同,代理工作區是一個並行的 Windows 會話,擁有獨立賬戶、桌面、進程樹和權限邊界,專門用來承載 AI 代理的運行環境。
每個代理都會對應一名受限的標準用戶賬戶,系統通過該賬戶為代理設定可訪問資源和操作範圍,試圖把潛在破壞控制在一個“玻璃罩”之內。Copilot Actions 已經採用了這套模式:代理不再只是向雲端發請求生成文本,而是真正在本地應用中按步驟執行任務,因此Microsoft需要為其提供獨立的會話來記錄和約束行為。
在權限設計上,Microsoft要求代理默認運行在獨立賬戶下,結合受控文件夾訪問和可審計日誌,以緩解誤操作和惡意操作風險。
即便如此,代理仍然被授予對“已知文件夾”的讀寫權限,包括文檔、下載、桌面、視頻、圖片和音樂等用戶最常用、也最敏感的位置,其他系統目錄和憑據存儲等區域則在默認情況下被限制訪問。
為防止代理超越用戶本身的權限,系統利用訪問控制列表(ACL)將代理賬戶嚴格綁定在啟用者的權限邊界之內。所有這些均需要用戶主動開啟“Experimental Agentic Features”(實驗性代理功能)開關,該選項在系統中默認關閉,僅作為對願意嘗鮮用戶的選擇。
Microsoft同時推出 Model Context Protocol(MCP)作為代理與應用之間的標準化橋樑,為代理提供統一的工具發現、函數調用、文件元數據讀取和服務訪問通道。
在 MCP 設計下,代理通過類似 JSON-RPC 的規範接口與工具通信,而無法直接對系統進行任意訪問,所有認證、授權和日誌記錄都集中在這一層完成。
在Microsoft的設想中,如果沒有 MCP,代理對系統幾乎是“摸黑”操作;而在 MCP 和代理工作區的雙重約束下,代理可以執行任務,但被限制在一個相對可控的空間中。理論上,一旦發生提示注入或誤判指令造成的損害,系統應當能夠在工作區範圍內進行監控和止損。
從Microsoft的業務視角看,在 AI 競爭中退後已經不再現實,Windows 被定位為 AI 的“畫布”,必須在操作系統層面深度集成智能代理。
隨著 Apple 推進 Apple Intelligence,計劃在更多設備上部署自研或合作的模型,以及 Google 被曝籌備面向 PC 的 Aluminium OS,Microsoft擔心 Windows 如果不在 AI 敘事上“拉滿”,可能會在體驗和話題度上顯得乏味,進一步放大小文件管理等傳統問題帶來的口碑壓力。
然而,Windows 11 本身已經因臃腫感、體驗改動和 Recall 事件在社區內饱受質疑,許多隱私工具甚至默認阻止 Recall 類功能運行,這也放大了外界對“代理化 Windows”的擔心。
在這樣的信任基線下,讓能自動點擊、輸入、移動文件的 AI 代理長期駐紮在用戶個人文件夾裡,勢必需要Microsoft拿出更透明、更可選且能證明價值的使用場景,才能逐步重建信任。
從紙面設計看,Microsoft圍繞 AI 代理構建的架構並不粗糙:獨立賬戶、隔離工作區、受限文件夾訪問、嚴格日誌與協議層隔離,確實比早期粗放式的 AI 集成更嚴謹。但實際效果高度依賴落地質量,一旦出現嚴重漏洞或權限繞過,可能會迅速抵消Microsoft在 Recall 事件之後試圖修復的信任基礎。
