Microsoft запускает MXC, песочницу на уровне операционной системы для агентов искусственного интеллекта, к которой уже присоединились OpenAI и Nvidia.
Майкл Нуньес
В течение последних двух лет технологическая индустрия соревновалась в повышении квалификации агентов искусственного интеллекта — обучая их написанию кода, работе с программными интерфейсами, управлению файлами и организации многоэтапных рабочих процессов с возрастающей степенью автономности. Чего индустрия так и не сделала, по крайней мере, последовательно, так это не ответила на вопрос, который не дает спать руководителям служб информационной безопасности: что происходит, когда агент дает сбой?
Во вторник на своей ежегодной конференции разработчиков Build компания Microsoft представила, возможно, окончательное решение. Компания представила Microsoft Execution Containers, или MXC — управляемый политиками уровень выполнения, встроенный в саму операционную систему Windows, который позволяет разработчикам и ИТ-администраторам точно определять, к чему может и не может получить доступ агент ИИ, а эти границы устанавливаются во время выполнения ядром ОС.
Это объявление, затерянное среди множества обновлений, ориентированных на разработчиков, является, пожалуй, самым значимым шагом Microsoft на конференции Build в этом году, и оно способно изменить подход каждой компании на Земле к развертыванию автономного программного обеспечения на основе искусственного интеллекта.
MXC — это не продукт, который вы покупаете. Это SDK и модель политик — основополагающий примитив, встроенный в Windows и подсистему Windows для Linux, — который предоставляет то, что Microsoft называет «композитным спектром песочницы». Этот спектр простирается от легковесной изоляции процессов, уже реализованной в интерфейсе командной строки GitHub Copilot, до микровиртуальных машин, контейнеров Linux и полноценных облачных экземпляров, работающих на Windows 365.
Система отделяет выполнение агента от рабочего стола пользователя, буфера обмена, пользовательского интерфейса и устройств ввода. Критически важно, что она привязывает каждого агента к надежной идентификации — либо к локальному идентификатору, либо к облачной идентификации, предоставляемой Microsoft Entra, — так что каждое действие агента может быть отслежено, проверено и контролировано.
Последствия огромны. До сих пор внедрение ИИ-агентов в корпоративной среде застряло в парадоксе: чем более автономным и полезным становится агент, тем опаснее позволять ему работать в корпоративной сети без каких-либо ограничений. MXC — это попытка Microsoft разорвать этот парадокс — не за счет снижения функциональности агентов, а за счет того, что среда, в которой они работают, становится принципиально более контролируемой.
Почему каждый автономный агент ИИ — это потенциальная угроза безопасности
Чтобы понять, почему MXC важен, рассмотрим, что на самом деле делает агент ИИ, когда работает на вашем компьютере. В отличие от традиционного приложения, которое работает в рамках четко определенных границ — текстовый редактор читает и записывает документы, браузер загружает веб-страницы — агент ИИ по своей природе непредсказуем. Он получает цель на естественном языке, рассуждает о том, как ее достичь, а затем предпринимает действия: открывает файлы, выполняет код, вызывает API, просматривает веб-страницы, взаимодействует с другим программным обеспечением. Каждое из этих взаимодействий создает то, что специалисты по безопасности называют «поверхностью атаки».
В собственном блоге Microsoft проблема сформулирована в резких терминах. Компания написала, что «по мере того, как агенты становятся более способными и автономными, они обеспечивают существенное повышение производительности. Но они также создают новые риски, и проблема заключается не только в самом агенте. Это вся система, в которой работает агент». Каждое взаимодействие между агентами и людьми, инструментами, приложениями, моделями и другими агентами «открывает новую поверхность атаки и приводит к различным режимам сбоев». Microsoft охарактеризовала это как «проблему многоуровневых систем».
Это не теоретическая проблема. В течение нескольких месяцев, предшествовавших конференции Build, исследователи в области безопасности продемонстрировали множество способов манипулирования агентами ИИ — посредством внедрения запросов, с помощью вредоносных вызовов инструментов, путем утечки данных, замаскированной под обычный рабочий процесс. Для предприятий, работающих с конфиденциальными данными, собственными моделями и регулируемой информацией, отсутствие доверенной среды выполнения стало самым большим препятствием для перехода агентов от демонстрации к развертыванию.
Решение от Microsoft — это песочница, масштабируемая от одного процесса до полноценной виртуальной машины.
MXC работает по обманчиво простому принципу: объявляется, что агент может делать, до его запуска, а операционная система обеспечивает соблюдение этих заявлений во время выполнения. Разработчик или ИТ-администратор пишет политику, которая определяет, к каким файлам, каталогам и сетевым ресурсам агент имеет доступ. Затем MXC создает изолированную среду выполнения — песочницу — которая обеспечивает соблюдение этих границ независимо от того, что пытается сделать агент.
Что делает MXC необычным и потенциально очень мощным, так это широкий спектр его вариантов изоляции. Microsoft разработала систему таким образом, что один SDK и модель политик могут соответствовать соответствующей конструкции изоляции для любой заданной рабочей нагрузки. Для легковесного помощника по программированию, которому нужно только прочитать текущий каталог проекта, может быть достаточно быстрой изоляции процессов. Для автономного агента, выполняющего произвольный код, загруженный из интернета, может потребоваться полноценная микро-виртуальная машина. Система разработана таким образом, чтобы быть «динамически компонуемой на основе намерений и рисков», что означает, что уровень изоляции может регулироваться в зависимости от того, что агент фактически делает, а не только от того, к какой категории он относится.
Изоляция сеансов — особенно важная функция. MXC отделяет выполнение агента от рабочего стола пользователя, буфера обмена, пользовательского интерфейса и устройств ввода. Это напрямую снижает риск нескольких классов атак, которые исследователи безопасности определили как особенно опасные для агентов ИИ: подмена пользовательского интерфейса, когда агент манипулирует тем, что видит пользователь, чтобы обманом заставить его одобрить вредоносное действие; внедрение ввода, когда агент отправляет нажатия клавиш или щелчки мыши в другие приложения; и утечка данных между сеансами, когда информация из одного пользовательского сеанса проникает в другой.
В ходе демонстрации в реальном времени был показан агент ИИ, пытавшийся удалить файлы, но потерпевший неудачу, поскольку операционная система ему этого не позволяла.
На предварительном брифинге для VentureBeat накануне объявления разработчик Microsoft наглядно продемонстрировал работу технологии. Он установил на своем личном компьютере для разработки фреймворк OpenClaw с открытым исходным кодом, работающий в песочнице MXC. Затем он дал указание агенту удалить все файлы на рабочем столе. Агент попытался выполнить команду, но песочница помешала этому. «Если вы посмотрите на мой рабочий стол, вы увидите, насколько он чист», — сказал разработчик во время демонстрации. «Это ложь». Файлы, объяснил он, были в полной безопасности, потому что «контейнер этого не позволит».
Демонстрация пошла дальше, показав детализацию элементов управления MXC. Пользователи могут помечать определенные файлы как доступные только для чтения для агента, ограничивать доступ к браузеру и захвату экрана, контролировать, может ли агент видеть данные о местоположении, и все эти разрешения централизованно управляются корпоративным ИТ-отделом с помощью политик Intune. Агент работает внутри того, что фактически является односторонним зеркалом: он может выполнять поставленную перед ним задачу, но не может видеть или касаться чего-либо за пределами границ, определенных его политикой.
Паван Давулури, исполнительный вице-президент Microsoft по Windows и устройствам, подчеркнул во время предварительного брифинга, что базовые принципы, которые внедряет MXC — безопасность, изолятия, контроль со стороны пользователя — имеют решающее значение для коммерческой жизнеспособности агентов искусственного интеллекта.
Он подчеркнул, что эти возможности «не являются уникальными для OpenClaw» и что «эта закономерность повторяется снова и снова» для любого агента, работающего на устройстве Windows. По его словам, существующие в операционной системе примитивы «для обеспечения безопасности, изоляции, контроля со стороны пользователей» сделают агентов достаточно безопасными как для обычных потребителей, так и для корпоративных развертываний.
Интеграция с Defender, Entra, Intune и Purview, которая появится в июле, превратит MXC в корпоративную панель управления.
Для корпоративных ИТ-отделов наиболее значимым элементом анонса MXC является не сам SDK, а его интеграция с существующим корпоративным стеком безопасности Microsoft через то, что компания называет Agent 365. Agent 365, который станет доступен в режиме предварительного просмотра в июле, накладывает на MXC службу идентификации Microsoft Entra и платформу управления устройствами Intune, позволяя ИТ-администраторам централизованно управлять изоляцией агентов, в то время как разработчики выбирают необходимый уровень изоляции для своих рабочих нагрузок.
Интеграция идет еще дальше: Microsoft Defender обеспечит защиту от угроз во время выполнения, Entra займется управлением идентификацией и доступом, Intune обеспечит соблюдение политик на уровне устройств, а Microsoft Purview расширит свои возможности управления данными и соответствия требованиям на деятельность агентов. Это означает, что предприятие теоретически может позволить сотрудникам запускать агентов ИИ на своих корпоративных компьютерах — даже мощных автономных агентов, которые выполняют код и управляют файлами — сохраняя при этом тот же уровень централизованной видимости и контроля, который в настоящее время есть у ИТ-отделов над традиционными приложениями.
В своем официальном блоге Microsoft описала уровень идентификации следующим образом: «Windows присваивает агентам локальный идентификатор или облачный идентификатор, поддерживаемый Entra, и связывает всю активность из контейнера с этим идентификатором, так что вы можете четко различать человека и агента». Для регулируемых отраслей — финансовых услуг, здравоохранения, государственного управления — возможность создания журнала аудита, который различает действия человека и действия агента на одной и той же машине, может оказаться нормативным требованием, а не просто желательной функцией. Каждое действие агента, связанное с конкретным идентификатором, каждая граница ограничения, обеспечиваемая той же инфраструктурой политик, которая уже управляет сотнями миллионов устройств Windows — это архитектура, которая наконец-то сможет перевести агентов ИИ из пилотных программ в производство.
OpenAI, Nvidia, Manus и Nous Research уже разрабатывают приложения на основе MXC — и это меняет ситуацию.
Анонс платформы на конференциях разработчиков часто носит амбициозный характер. Запуск MXC отличается широтой и спецификой партнеров, уже работающих над ней. Microsoft назвала пять компаний: OpenAI, Nvidia, Manus, Nous Research (разработчик агента Hermes) и проект с открытым исходным кодом OpenClaw. Каждая из них интегрирует MXC по-своему, демонстрируя различные варианты использования технологии.
Участие OpenAI особенно примечательно. Дэвид Визен, член технического персонала OpenAI, заявил, что «работа с Microsoft над Microsoft Execution Containers (MXC) позволяет нам исследовать новые модели безопасной и эффективной генерации и выполнения кода агентами ИИ». Он добавил, что, объединив возможности Codex с средой выполнения MXC, цель состоит в том, чтобы «помочь разработчикам быстрее переходить от намерений к надежному выполнению, сохраняя при этом безопасность и контроль, необходимые предприятиям». Упоминание Codex — агента генерации кода от OpenAI — предполагает, что MXC может стать средой выполнения по умолчанию для одного из самых ожидаемых продуктов-агентов в отрасли.
Nvidia внедряет свою платформу OpenShell в Windows, построенную на основе MXC, предоставляя, по словам Microsoft, «простой в развертывании пакет для безопасной работы автономных, постоянно работающих агентов». Manus, китайский стартап по разработке ИИ-агентов, получивший вирусную известность в начале этого года, также интегрируется с MXC. Тао Чжан, директор по продуктам Manus, заявил, что MXC «дает разработчикам управляемый политиками способ определения того, к чему может получить доступ агент, и обеспечения соблюдения этих границ во время выполнения, чтобы больше автономных агентов могли безопасно работать в корпоративных средах». А Диллон Рольник, генеральный директор Nous Research, дал, пожалуй, наиболее лаконичное объяснение того, почему MXC важен: «Непрерывно работающие локальные агенты, такие как Hermes Agent, требуют преднамеренной изоляции. Разработчикам необходим контроль над тем, к чему может получить доступ агент, и уверенность в том, что эти ограничения будут действовать».
Как платформа для создания агентов с открытым исходным кодом стала полигоном Microsoft для проверки безопасности ИИ в Windows.
Одна из самых показательных историй, связанных с анонсом MXC, касается OpenClaw. Во время предварительного брифинга для прессы разработчик Microsoft рассказал, как партнерство возникло органично — Питер Штайнбергер, создатель OpenClaw, отправил ему личное сообщение в январе, выразив заинтересованность в сотрудничестве. То, что началось как обычный разговор, переросло в полноценное партнерство в области платформ, в рамках которого разработчики Microsoft внесли свой вклад в разработку приложения OpenClaw для Windows, созданного как нативное приложение WinUI, а не как веб-приложение в оболочке.
Интеграция OpenClaw служит, по словам Скотта, «идеальным тестовым приложением для всего, что разрабатывает [команда платформы Windows]». Если OpenClaw — который по своей природе предоставляет агентам широкую автономию для выполнения задач на компьютере пользователя — может безопасно работать в рамках ограничений MXC, то система изоляции достаточно надежна для любого агента. Скотт объяснил философию, лежащую в основе этой работы: «Представьте OpenClaw Windows как идеальное тестовое приложение… Если OpenClaw может успешно работать на Windows, это означает, что поддержка Linux есть, поддержка контейнеров есть, система изоляции есть».
Сопутствующее приложение демонстрирует весь спектр корпоративных средств управления MXC — права доступа к файлам, доступ к сети, ограничения на захват экрана, данные о местоположении — все это управляется централизованно с помощью политик Intune. Microsoft передала проект организации OpenClaw и планирует продолжать вносить свой вклад в него как в проект с открытым исходным кодом. Как сказал один из членов руководящей группы Windows во время брифинга: «Всем агентам, всем желающим, всем рады в Windows… Он будет отлично работать в Windows, потому что базовые элементы уже есть. Основание пирамиды прочное».
Внедрение механизма изоляции в операционную систему дает Microsoft стратегическое преимущество перед закрытой экосистемой Apple и облачной моделью Google.
MXC появляется в момент, когда технологическая индустрия сталкивается с фундаментальным противоречием. Агенты искусственного интеллекта представляют собой, возможно, самую значительную новую категорию программного обеспечения со времен мобильных приложений, и каждая крупная технологическая компания стремится их создать. Однако инфраструктура безопасности и управления, необходимая для ответственного развертывания этих агентов в корпоративных средах, практически отсутствует. Подход Microsoft уникален тем, что он размещает уровень доверия на уровне операционной системы, а не в среде агентов, поставщике моделей или стороннем продукте безопасности.
Это преднамеренное архитектурное решение. Встраивая механизмы изоляции непосредственно в саму Windows, Microsoft гарантирует, что гарантии безопасности сохраняются независимо от того, какой агент, какую модель или какой фреймворк выберет разработчик.
Это также означает, что сотни миллионов устройств Windows, уже управляемых через Intune и защищенных с помощью Defender, в принципе, могут быть готовы к установке агента посредством обновления программного обеспечения, а не путем полной замены оборудования.
Подход Apple к агентам искусственного интеллекта в значительной степени опирается на свою закрытую экосистему, обеспечивая безопасность за счет ограничений — ограничивая, какие агенты могут запускаться и что они могут делать. Подход Google, основанный на облачной инфраструктуре, обеспечивает безопасность за счет централизации. Подход Microsoft обеспечивает безопасность за счет объявления и принудительного исполнения — позволяя запускать любой агент, но ограничивая его влияние с помощью политики на уровне операционной системы.
Для предприятий, работающих в гетерогенных средах с разнообразными наборами инструментов и множеством поставщиков ИИ, модель Microsoft может оказаться наиболее практичной. Конкурентная динамика уже меняется: благодаря OpenAI Codex, Nvidia OpenShell и независимым агентским фреймворкам, таким как Manus и Hermes, построенным на MXC, Microsoft позиционирует Windows не просто как платформу для работы агентов, а как платформу, на которой агентам можно доверять.
Самая сложная часть — не создание песочницы, а написание правил, которые будут в ней содержаться.
MXC уже доступен в режиме раннего предварительного просмотра, а это значит, что разработчики могут начать сборку на основе SDK и тестирование политик изоляции. Интеграция Agent 365 с Defender, Entra, Intune и Purview запланирована на июль в режиме предварительного просмотра — достаточно сжатые сроки, чтобы предположить, что большая часть инженерной работы уже выполнена, но достаточно отдаленные, чтобы оставить место для доработки на основе отзывов разработчиков.
Однако настоящее испытание наступит, когда предприятия начнут развертывать агентов в масштабах производственных сетей. Эффективность изоляции зависит от политик, которые ею управляют, а разработка эффективных политик для агентов в сложных корпоративных средах станет совершенно новой дисциплиной — той, которую ИТ-отделы еще не освоили, и ни один поставщик еще не научился ей обучать. Технология многообещающая, но пустая песочница — это всего лишь пустая коробка. Наполнение ее правильными правилами, для правильных агентов, в правильных контекстах потребует такого уровня организационной сложности, который большинство компаний только начинают осознавать.
Тем не менее, значение того, что Microsoft объявила во вторник, трудно переоценить. Впервые крупный поставщик операционных систем предложил всеобъемлющее решение на уровне ядра для вопроса о том, как следует изолировать, идентифицировать и управлять автономным программным обеспечением ИИ на устройствах, где фактически выполняется большая часть работы в мире. Индустрия потратила два года на обучение агентов действиям. Теперь Microsoft делает ставку на то, что более крупный бизнес — и более сложная инженерная задача — это обучение операционной системы наблюдению.
Подпишитесь, чтобы получать самые свежие новости!
Подробные аналитические данные для руководителей предприятий в области искусственного интеллекта, данных и безопасности.
Отправляя свой адрес электронной почты, вы соглашаетесь с нашими Условиями использования и Политикой конфиденциальности.
Получайте обновления ! Вы подписаны! Наши последние новости скоро поступят на вашу электронную почту.
Источник: venturebeat.com
Добавить комментарий
Для отправки комментария вам необходимо авторизоваться.