微软称人工智能代理“存在风险” 但仍将在Windows上推进该计划

微软在自家文档中谈到，Windows 11 上的新一代 AI 代理（AI agents）存在“风险”，但同时又把它们视为未来 Windows 的核心能力，并在最新版本中继续推进落地。 这些代理被设计成能像人一样点击界面、操作应用和文件，替用户执行多步任务，却也会出现幻觉、被恶意提示欺骗，甚至成为攻击新入口。

自 2025 年 10 月起，微软高调提出要把“每一台 Windows 11 电脑都变成 AI PC”，通过 Copilot Voice、Copilot Vision 和 Copilot Actions 等功能，让用户用自然语言替代键盘和鼠标操作。 新版本任务栏的搜索框正被可选替换为“Ask Copilot”，用户只需一次点击或输入，就能调出代理，让其在后台跑任务，并在任务栏中像普通应用一样查看进度。

虽然目前大部分代理功能仍然是可选和有限开放，但从架构与路线图上看，微软已经把“代理计算”（agentic computing）视为 Windows 的下一代核心范式。 在用户已经对操作系统“AI 化”感到疲劳的当下，Windows 11 实际上正在被当作这一实验的主战场。

微软在官方支持文档中承认，这些 AI 代理功能受限，可能产生幻觉，输出出乎意料的内容。 更严重的是，微软特别点名“跨提示注入攻击”（Cross Prompt Injection， XPIA）：攻击者可以在界面元素、文档或应用中嵌入恶意内容，从而篡改代理原有指令，引导其复制敏感文件、泄露数据或执行恶意操作。

安全研究人员此前就已经警告，具有图形界面操作能力、且拥有较高系统权限的 GUI 代理，对这类间接攻击格外脆弱。 在 Copilot 已经因体验和隐私问题招致大量反感、Recall 功能又曾被视作“隐私噩梦”的背景下，赋予代理读取和操作本地文件的能力，更加引发外界忧虑。

为应对上述风险，微软在 Windows 11 中引入了“Agent Workspace”（代理工作区），作为所谓“代理化操作系统”的基石。 与虚拟机或 Windows Sandbox 不同，代理工作区是一个并行的 Windows 会话，拥有独立账户、桌面、进程树和权限边界，用来专门承载 AI 代理的运行环境。

每个代理都会对应一名受限的标准用户账户，系统通过该账户为代理设定可访问资源和操作范围，试图把潜在破坏控制在一个“玻璃罩”之内。 Copilot Actions 已经采用这套模式：代理不再只是向云端发请求生成文本，而是真正在本地应用里按步骤执行任务，因此微软需要给它独立的会话来记录和约束行为。

在权限设计上，微软要求代理默认运行在独立账户下，配合受控文件夹访问和可审计日志，用来缓解误操作和恶意操作风险。 即便如此，代理仍然被授予对“已知文件夹”的读写权限，包括文档、下载、桌面、视频、图片和音乐等用户最常用、也最敏感的位置，其他系统目录和凭据存储等区域则在默认情况下被限制访问。

为防止代理超越用户本身的权限，系统利用访问控制列表（ACL）将代理账户严格绑定在启用者的权限边界之内。 所有这一切都需要用户主动开启“Experimental Agentic Features”（实验性代理功能）开关，该选项在系统中默认关闭，仅作为对愿意尝鲜用户的选择。

微软同时推出 Model Context Protocol（MCP）作为代理与应用之间的标准化桥梁，为代理提供统一的工具发现、函数调用、文件元数据读取和服务访问通道。 在 MCP 设计下，代理通过类似 JSON-RPC 的规范接口与工具通信，而无法直接对系统进行任意访问，所有认证、授权和日志记录都集中在这一层完成。

在微软的设想中，如果没有 MCP，代理对系统几乎是“摸黑”操作；而在 MCP 和代理工作区的双重约束下，代理可以执行任务，但被限制在一个相对可控的空间中。 理论上，一旦发生提示注入或误判指令造成的损害，系统应当能够在工作区范围内进行监控和止损。

从微软的业务视角看，在 AI 竞争中退后已经不再现实，Windows 被定位为 AI 的“画布”，必须在操作系统层面深度集成智能代理。 随着苹果推进 Apple Intelligence、计划在更多设备上部署自研或合作的模型，以及Google被曝筹备面向 PC 的 Aluminium OS，微软担心 Windows 如果不在 AI 叙事上“拉满”，可能会在体验和话题度上显得乏味，进一步放大小文件管理等传统问题带来的口碑压力。

然而，Windows 11 本身已经因臃肿感、体验改动和 Recall 事件在社区内饱受质疑，许多隐私工具甚至默认阻止 Recall 类功能运行，这也放大了外界对“代理化 Windows”的担心。 在这样的信任基线下，让能自动点击、输入、移动文件的 AI 代理长期驻扎在用户个人文件夹里，势必需要微软拿出更透明、更可选、且能证明价值的使用场景，才能逐步重建信任。

从纸面设计看，微软围绕 AI 代理构建的架构并不粗糙：独立账户、隔离工作区、受限文件夹访问、严格日志与协议层隔离，确实比早期粗放式的 AI 集成更严谨。 但实际效果高度依赖落地质量，一旦出现严重漏洞或权限绕过，可能会迅速抵消微软在 Recall 事件之后试图修复的信任基础。

作者认为，“代理化操作系统”在整个行业中大概率难以避免，各大平台都在从“聊天机器人”转向“能替你干活的系统内代理”。 唯一不具备必然性的，是用户是否会信任这一切：尤其是那些已经觉得 Windows 11 在与自己“作对”的用户，要接受一个能在个人文件夹中行动的 AI 代理，前提是微软把所有功能彻底做成可选项，并拿出足够清晰、能说服人的实际用途。