微软表示人工智能代理“有风险”，但它正在推进 Windows 11 上的计划

Enda

2025-11-30

在过去的几周里，微软一直将人工智能代理与 Windows 的未来联系起来。但该公司自己的文件公开承认，此类特工可能会产生幻觉、行为不可预测，甚至遭受一年前不存在的攻击。然而，第四大组织仍在推动 Windows 11 中的代理功能。

如果 Microsoft 认为这些代理的风险足以需要单独的帐户、隔离的会话和防篡改的审核日志，那么为什么 Windows 11 会成为它们的测试平台？为什么现在，在用户已经对操作系统的人工智能化感到疲惫不堪的时候呢？

微软在代理计算上的大赌注已经锁定

2025 年 10 月中旬，微软表示，他们正在“让每台 Windows 11 PC 成为 AI PC”。该公司推出了一系列人工智能集成，旨在让您与计算机“对话”，向其显示屏幕上的内容，然后让它代表您采取行动。

微软本质上希望你用自然语言取代击键和鼠标点击，我们已经看到了这个计划的预览，包括 Copilot Voice、Copilot Vision 和代理部分 Copilot Actions。

最新举措使 Windows 11 任务栏成为人工智能化的神经中枢。 Windows 11 的搜索框正在被新的“询问 Copilot”界面所取代（目前是可选的），您只需单击或键入即可召唤 AI 代理或 Copilot。从那里，代理可以在后台运行任务，您可以直接从任务栏监控它们的进度，就像它们是常规应用程序一样。

从任务栏中的 Ask Copilot 调用代理。图片来源：微软

即使今天代理功能受到限制并且可以选择加入，架构和路线图也澄清了代理计算是 Windows 的下一个核心范例这一事实。

微软公开表示人工智能代理可能会行为不当，但仍然希望它们进入你的文件和应用程序

好的一面是，微软并不假装这是安全或万无一失的。该公司官方文档警告说，这些人工智能代理“在行为方式方面面临功能限制，偶尔可能会产生幻觉并产生意想不到的输出。”

代理容易受到交叉提示注入 (XPIA)、恶意提示和恶意软件的攻击

Microsoft 谈到的最大风险之一是交叉提示注入 (XPIA)。它描述了 AI 代理被 UI 元素、文档或应用程序中嵌入的恶意内容欺骗的情况。此类内容可能会覆盖代理的原始指令，并迫使其执行有害操作，例如复制敏感文件或泄露数据。

安全研究人员已经标记的基于 GUI 的代理容易受到此类间接攻击，原因是此类人工智能代理被赋予了高特权。

虽然我们赞赏微软对此持开放态度，但考虑到 Copilot 这些天所受到的所有仇恨，还是会出现一定的不信任。如果你认为 Recall 是一场隐私噩梦，那么人工智能代理的情况则完全不同。

微软坚持要求代理在单独的帐户下运行，具有有限的权限、受控的文件夹访问和防篡改的日志。但它仍然授予这些代理对 PC 中一些最个人化位置的读写权限，特别是文档、下载、桌面、视频、图片和音乐，微软称之为已知文件夹。

微软在一份警告中警告说：“……嵌入在 UI 元素或文档中的恶意内容可能会覆盖代理指令，从而导致数据泄露或恶意软件安装等意外行为。”支持文件本月早些时候发布。 “我们建议您仔细阅读此信息并了解在计算机上启用代理的安全影响。”

那么，考虑到风险，如果微软希望代理像真人一样与应用程序和文件进行交互，那么它到底如何阻止整个系统在自身重量下崩溃呢？

整个事情取决于一个名为“代理工作区”的新功能

Agent Workspace 是 Microsoft Agentic OS 愿景的支柱。该公司承诺的一切，包括为你使用应用程序、编辑文件、移动文档以及在不打扰你的情况下完成多步骤任务的人工智能，之所以有效，是因为 Windows 11 现在可以为这些代理创建专用会话来操作。

它与虚拟机或 Windows Sandbox 不同。代理工作区是一个并行的 Windows 环境，拥有自己的帐户、自己的桌面、自己的进程树和自己的权限边界。

为 AI 代理提供单独的工作空间是 Microsoft 首次尝试在 Windows 中为它们提供“存在的地方”，而不是让它直接位于用户会话中。

每个代理在您的 PC 上都有一个单独的标准帐户，Windows 将此帐户视为受控制的、受限的用户，只能执行您明确允许的操作。这些限制是微软对他们警告的相同问题的回应。

AI 代理如何在 Windows 11 中工作

在这个工作区中，代理与应用程序的交互方式与我们相同。它可以单击 UI 按钮，在文本字段中输入内容。滚动窗口、拖动文件以及执行涉及多个步骤的任务。人工智能处理这些步骤背后的推理。

在 Windows 11 上使用代理工作区的 Copilot 操作

Copilot Actions 已使用此模型。该代理不会要求云模型生成文本，而是在您的 PC 上安装的软件中实际执行这些步骤。这就是为什么 Microsoft 需要为其提供单独的 Windows 会话。

如果代理误解了提示，或者 XPIA 在文档中被触发，从技术上讲，损害将被限制在 Windows 可以监督和记录每个操作的范围内。

有关的：Microsoft 在 EOL 之前意外中断了使用 MCT 的 Windows 10 到 Windows 11 升级

代理工作区负责决定向代理显示什么内容。正如我所提到的，特工只能访问六个“已知文件夹”。用户配置文件中的其他所有内容都是禁止访问的，除非您授予其访问权限。

这还应该阻止代理爬入系统目录、凭证存储或应用程序数据文件夹，这些文件夹中的意外读取或写入会给应用程序开发人员造成混乱。 Microsoft 还使用访问控制列表来防止代理帐户超出启用它的用户的权限。

要启用任何此功能，您需要打开实验性代理特征，默认情况下处于关闭状态。

图片来源：WindowsLatest.com

微软表示，“该功能本身没有人工智能功能，它是 Copilot Actions 等代理的一项安全功能。启用此切换允许在设备上创建单独的代理帐户和工作区，提供一个封闭的空间，以将代理活动与用户分开。”

MCP 协议控制代理可以接触的内容

Microsoft 将模型上下文协议 (MCP) 定位为代理和应用程序之间的标准化桥梁。这就是代理与系统上的工具进行通信的方式。

MCP 允许代理发现工具、调用函数、读取文件元数据以及通过可预测的 JSON-RPC 层与服务交互。这可以防止任何直接访问，并为 Windows 提供一个中央执行点，在其中进行身份验证、使用工具的权限、功能声明和日志记录。如果不是 MCP，代理人就会瞎了眼。工作空间将其保持在安全范围内。

为什么微软认为人工智能代理的风险是值得的？

从微软的角度来看，退出人工智能已经不再是一个选择。该公司希望人们在 Windows 中自然地使用人工智能，使该操作系统成为“人工智能的画布”。

苹果正在努力与 Apple Intelligence 合作，特别是自从计划使用双子座定制版，这让我们看到谷歌已经计划进入采用 Aluminium OS 的 PC 市场。

苹果即将推出的廉价版 MacBook 配备完整版 Apple Intelligence，对许多人来说将更具吸引力，这只是因为该公司的吸引力因素。因此，如果 Windows 还没有做好准备，那么该平台就有可能开始显得乏味，同时因 Windows 11 中现有的问题（例如缓慢的文件资源管理器）而受到憎恨。

大公司推动用户尝试新事物，最终为他们带来数百万的投资回报率，这并不是什么新鲜事，但你应该相信微软吗？

Windows 11 的声誉本来就不高。人们已经抱怨它的臃肿感觉。

X 上的社区注释指出了 Copilot 的错误，并建议了更改文本大小的正确方法