惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

A
About on SuperTechFans
Cloudbric
Cloudbric
C
CERT Recently Published Vulnerability Notes
G
GRAHAM CLULEY
V
Vulnerabilities – Threatpost
C
Cisco Blogs
T
Tenable Blog
P
Privacy International News Feed
T
The Exploit Database - CXSecurity.com
I
Intezer
AWS News Blog
AWS News Blog
IT之家
IT之家
博客园 - 司徒正美
C
Cybersecurity and Infrastructure Security Agency CISA
博客园 - 【当耐特】
The Hacker News
The Hacker News
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Spread Privacy
Spread Privacy
S
SegmentFault 最新的问题
博客园 - Franky
人人都是产品经理
人人都是产品经理
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
V
Visual Studio Blog
C
CXSECURITY Database RSS Feed - CXSecurity.com
H
Hacker News: Front Page
Latest news
Latest news
Scott Helme
Scott Helme
腾讯CDC
宝玉的分享
宝玉的分享
大猫的无限游戏
大猫的无限游戏
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
A
Arctic Wolf
S
Securelist
雷峰网
雷峰网
The GitHub Blog
The GitHub Blog
Project Zero
Project Zero
Google DeepMind News
Google DeepMind News
P
Palo Alto Networks Blog
F
Fortinet All Blogs
Schneier on Security
Schneier on Security
云风的 BLOG
云风的 BLOG
Security Archives - TechRepublic
Security Archives - TechRepublic
The Last Watchdog
The Last Watchdog
WordPress大学
WordPress大学
MongoDB | Blog
MongoDB | Blog
L
LINUX DO - 最新话题
S
Schneier on Security
NISL@THU
NISL@THU
Jina AI
Jina AI
M
MIT News - Artificial intelligence

博客园 - iTech

7万星的AI交易框架:让大模型模拟投行多空辩论,自动做交易决策 71000颗星的AI交易团队:让大模型模拟投行分工,自动做交易决策 13400颗星的开源项目:输入一句话,AI全自动帮你做短视频 102颗星的沙盒:当AI学会自己写代码、跑测试、做部署 AI 技术日报 - 2026-05-08 29k 星的 PageIndex:不用向量数据库,靠推理就能做 RAG 每天花两小时刷信息?这个开源项目帮你全自动搞定 读源码像读小说?试了 DeepWiki 和 Zread,我再也不想裸读 GitHub 了 Matt Pocock 开源的这套 .claude 技能,为什么让工程师集体上头? Cursor Team Kit:Cursor 官方团队在用的 17 个 AI 工作流 AI 技术日报 - 2026-05-07 AI 技术日报 - 2026-05-06 AI 技术日报 - 2026-05-05 Anthropic CEO 说 12 个月内程序员要失业,我扒完他的底牌,发现事情没那么简单 把工程师的肌肉记忆装进 Claude Code,这个 4300 Star 的项目我后悔没早用 AI 技术日报 - 2026-05-04 AI 技术日报 - 2026-05-03 AI 技术日报 - 2026-05-02 六大 Agent 框架横评:谁支持 Skills?谁能自动创建 Agent?MCP 呢? Wechatsync:一个 Chrome 插件,一键把文章同步到 31 个平台 LangChain 开源了 Open SWE:Stripe、Ramp、Coinbase 内部都在造的编程 Agent Cockpit:把 Claude Code 从终端里搬出来,装进浏览器 Cursor 把自家的 AI Agent 开放了:写几行 TypeScript 就能调 Cursor 干活 AI 技术日报 - 2026-05-01 AI 写代码每次结果都不一样?Archon 用 YAML 工作流把 AI 编程变成流水线 AI 写代码比你快了,但你还是得学编程——只不过学法得换 腾讯的龙虾特工队:4 个 AI Agent 同日更新,全家桶正式成型 Agno 不做更聪明的 Agent,它要把所有 Agent 框架包进同一个操作系统 Hermes Agent 终于有了像样的 Web 界面,而且还支持远程访问 Datawhale 出了一套 29 学科知识地图,把 AI 的底牌全掀了 Hermes Agent 在聊天框里就能用的 20 种高级功能 一份 AGENTS.md 能顶一次模型升级?Augment Code 用数据说了算 NVIDIA 开源了一个「AI 沙箱」,20K Star,让 Agent 跑代码不再裸奔 60ms 冷启动、5MB 内存:腾讯开源的这个沙箱让 Docker 安全隔离像笑话 AI 技术日报 - 2026-04-30 AI 技术日报 - 2026-04-29 AI 技术日报 - 2026-04-28 Goose:Linux 基金会亲儿子,能撼动 Claude Code 和 OpenCode 吗? AI 技术日报 - 2026-04-27 AI 技术日报 - 2026-04-26 Google 把价值20美元/月的东西免费了,102K人已经抢到了 OpenClaw 和 Claude Code 网络搜索配置指南 AI 技术日报 - 2026-04-25 Anthropic 为什么遥遥领先:从 Cat Wu 专访看AI霸主的底层逻辑 Mac 本地跑大模型完全指南:你的苹果电脑就是 AI 工作站 同样 70B 参数,为什么 MoE 只激活 13B 就能打平 Dense? DeepSeek-V4 技术报告里藏着一条线:华为昇腾 NPU 已完成推理验证 DeepSeek-V4 深夜炸场:1M 上下文、384K 输出、双模型,API 定价直接卷到底 MacBook Air 跑大模型实测:Ollama、llama.cpp、LM Studio 谁才是本地推理之王? AI 技术日报 - 2026-04-24 OpenCode:Claude Code 的最佳平替 2026 开源大模型五国杀:Qwen 3.6 vs Gemma 4 vs Llama 4 vs GLM-5.1 vs DeepSeek V4 MCP 与 Skills 的你死我活:Anthropic 的 Agent 生态野心与开发者的站队困境 给 AI Agent 配搜索,国内能用的搜索 API 实测对比 AI 技术日报 - 2026-04-23 CC Switch:49K Star 的 Claude Code 登录绕过神器,还能管 Codex 和 Gemini CLI NVIDIA 开出 32 万美元年薪招 AI Agent 工程师,JD 里藏着这些信号 fast-mirror-skill 技术拆解:一个小而完整的 Claude Skill 是怎么设计的 Cursor 值 600 亿美元?马斯克这次赌的不是技术,是入口 AI 技术日报 - 2026-04-22 别再问 AI 能不能赚钱了:3 个上班族亲测有效的副业方法(2026 最新版) 10 分钟从零搞定 Hermes Agent:飞书微信双通道丝滑上线 AI 技术日报 - 2026-04-21 Anthropic 实战总结:AI Agent 的 3 种工作流模式,选错代价很大 安装 openclaw,hermes 慢的想发疯,fast-mirror-skill 来救了 Claude Routines:你下班睡觉了,Agent 还在为你干活 微信飞书里敲一个斜杠就能干活:Hermes Quick Command 到底多省事 AI 正在疯狂吃电:算力尽头是电力,谁能解这道题? AI 技术日报 - 2026-04-20 3K 行代码造一个越用越聪明的 AI Agent:GenericAgent 登顶 GitHub Trending 高德途途封神机器人半马,背后的 ABot-Claw 到底是什么 人们希望 AI 能干啥?Anthropic 调查:第一名不是赚钱,是变强 AI 时代人们在担心什么?Anthropic 的 13 条焦虑排行榜 OpenAI 官方 Agent SDK 来了:22k Star,支持 100+ 模型,Python 10 行代码上手 AI 技术日报 - 2026-04-19 OpenAgents Workspace:让 Claude Code 和 Codex 在同一个群里干活 Claude 是要干掉整个软件行业吗? Claude 官方推荐多 Agents 设计模式 多 Agent 系统的 5 种协调模式:选错了模式,再强的 Agent 也白搭 AI 技术日报 - 2026-04-18 AI 技术日报 - 2026-04-17 Better-Harness:让AI Agent自己优化自己的革命性框架 OpenClaw Workspace 完全指南:我的AI编程工作流 DeepSeek内蒙草原高薪招聘:AI时代的数字牧民梦,还是营销噱头? 2 核 2G 的阿里云 ECS 能跑 OpenClaw 吗?能,但有点折腾 AI 技术日报 - 2026-04-16 OpenCLI:一个命令行搞定 16+ 内容平台的神器 从零到精通:OpenClaw CLI 命令完全指南 AI 技术日报 - 2026-04-15 AI Agent 如何自我进化?Hermes Agent Self-Evolution 深度解析 AI 技术日报 - 2026-04-14 为什么你的飞书 Bot 总是连不上?OpenClaw Gateway 架构深度解析 OpenClaw 连接飞书的原理:Gateway、Channel 与消息流转 国内安装 Hermes Agent 踩坑全记录:从 GitHub 超时到正常跑起来的每一步 35 万 Star 的 OpenClaw:5 分钟部署你的私人 AI 助手,直连飞书 AI 技术日报 - 2026-04-13 公司用 AI 筛简历,这个开源项目让候选人用 AI 反选公司 为什么 Google ADK 可能是你下一个 Agent 框架——7 个改变游戏规则的特性 Microsoft Agent Framework 深度解析:架构设计与实战落地 AI 技术日报 - 2026-04-11
当 AI Agent 开始自主执行代码,谁来兜底?微软 MXC 给出了操作系统级的答案
iTech · 2026-06-18 · via 博客园 - iTech

当 AI Agent 开始自主执行代码,谁来兜底?微软 MXC 给出了操作系统级的答案

大纲

  • AI Agent 的信任困境:能力越强,风险越大
  • MXC 是什么:不是 Docker,不是 K8s,而是 OS 级的 Agent 执行边界
  • 四层 Containment 频谱:从进程隔离到 Micro-VM
  • JSON Schema + TypeScript SDK:开发者怎么用
  • 生态落地:OpenAI、NVIDIA、Manus、OpenClaw 已接入
  • Agent 365 + MXC:企业治理闭环
  • 对行业的意义:Containment 先于 Trust

当你让一个 AI Agent 写一段 Python 脚本并立即执行时,你怎么确保它不会 rm -rf /、连接一个 C2 服务器、或者读取你桌面上的工资单 PDF?

这不是假设场景。GitHub Copilot CLI、OpenAI Codex、Claude Code 这些工具每天都在生成并执行代码。Agent 的能力在飞速增长,但运行环境的安全模型还停留在"相信用户不会做蠢事"的阶段。问题在于——Agent 不是用户,它是一个非确定性的、由模型驱动的自主程序。

微软在 Build 2026 上给出了他们的答案:Microsoft Execution Containers (MXC)

MXC 是什么:不是 Docker,不是 K8s,而是 OS 级的 Agent 执行边界

MXC 的核心定位很容易被误解。它不是一个容器编排系统(不与 Kubernetes 竞争),也不是一个传统的沙箱产品(不像 gVisor 或 Firecracker 那样独立部署)。MXC 是一个嵌入在 Windows 和 WSL 内核中的策略驱动执行层

用一句话概括:开发者声明 Agent 需要什么权限,操作系统内核负责强制执行这些边界。

开发者定义 Policy → MXC SDK 生成 Config → OS 内核执行 Containment

这个设计的巧妙之处在于:开发者不需要管理底层的隔离细节(AppContainer?Session?Micro-VM?),MXC 提供了一个统一的抽象层,相同的 Policy 可以映射到不同强度的隔离后端。

四层 Containment 频谱:从进程隔离到 Micro-VM

MXC 提供了四个层级的 containment 选项,形成一个"频谱"而非单一方案:

层级 后端 隔离强度 启动开销 适用场景
进程隔离 ProcessContainer 轻量 极低(ms 级) Coding Agent、快速迭代
会话隔离 IsolationSession 中等 长运行 Agent、UI 自动化
Micro-VM NanVix / Hyperlight 处理敏感数据、不可信代码
Linux 容器 WSL + LXC/Bubblewrap 中等 Linux-first Agent 工具链

进程隔离是最轻量的选项。Agent 生成的代码在一个专用进程中运行,该进程的文件系统和网络访问被限制在 Policy 声明的范围内。GitHub Copilot CLI 已经采用了这个方案——当 Copilot 生成并执行 shell 命令时,它在 MXC 进程隔离中运行,无法访问 Policy 之外的文件。

会话隔离更进一步。Agent 在独立的 Windows Session 中运行,拥有自己的桌面、剪贴板和输入设备。这解决了 UI 欺骗、输入注入和跨会话数据泄露的问题。每个 Session 绑定一个独立的本地 ID 或 Entra 云身份,所有操作都可追溯到具体的 Agent 身份。

Micro-VM 是安全边界最强的一层。它使用 hypervisor 级别的硬件隔离(类似 Firecracker),但启动时间仍然是毫秒级。这对于处理高价值数据或运行完全不可信的第三方代码的 Agent 至关重要——即使 Agent 发现了进程级沙箱的逃逸漏洞,Micro-VM 的 hypervisor 边界也能阻止它。

Linux 容器通过 WSL 将 containment 模型扩展到 Linux 生态。Agent 可以在 WSL 中使用 LXC 或 Bubblewrap 后端运行 Python ML 框架和 Linux 工具链,同时保持 OS 级别的隔离边界。

JSON Schema + TypeScript SDK:开发者怎么用

MXC 的配置完全通过 JSON 声明。一个典型的 Agent 执行配置:

{
  "version": "0.6.0-alpha",
  "process": {
    "commandLine": "python -c \"print('hello from sandbox')\"",
    "workingDirectory": "C:\\sandbox"
  },
  "filesystem": {
    "readonlyPaths": ["C:\\tools"],
    "readwritePaths": ["C:\\sandbox\\tmp"]
  },
  "network": {
    "allowOutbound": false
  },
  "timeoutMs": 30000
}

TypeScript SDK @microsoft/mxc-sdk 提供了两种 API 模式:

一次性执行(One-shot)——适合短生命周期的代码执行:

import { spawnSandboxFromConfig, createConfigFromPolicy } from '@microsoft/mxc-sdk';

const config = createConfigFromPolicy({
  version: '0.6.0-alpha',
  filesystem: {
    readonlyPaths: ['/usr/local/lib'],
    readwritePaths: ['/tmp/agent-workspace'],
  },
  network: { allowOutbound: false },
  timeoutMs: 30_000,
});
config.process!.commandLine = 'python analyze_data.py';

const child = spawnSandboxFromConfig(config, { usePty: false });
child.stdout!.on('data', (d) => process.stdout.write(d));

状态感知生命周期(State-aware)——适合长运行的 Agent 会话:

import {
  provisionSandbox, startSandbox,
  execInSandboxAsync, stopSandbox,
  deprovisionSandbox,
} from '@microsoft/mxc-sdk';

// 多步骤生命周期:provision → start → exec → stop → deprovision
const sandbox = await provisionSandbox(config);
await startSandbox(sandbox);
const result = await execInSandboxAsync(sandbox, 'python train_model.py');
await stopSandbox(sandbox);
await deprovisionSandbox(sandbox);

这种 lifecycle 模式特别适合需要多轮交互的 Agent:先 provision 环境,然后反复执行多个步骤,最后清理。整个过程 sandbox 状态保持一致。

生态落地:OpenAI、NVIDIA、Manus、OpenClaw 已接入

MXC 的生态合作伙伴名单值得仔细看看:

  • OpenAI:Codex 使用 MXC 执行环境安全地生成和运行代码。OpenAI 技术团队成员 David Wiesen 表示:"结合 Codex 的能力与 MXC 的执行环境,我们的目标是帮助开发者从意图到可靠执行更快。"
  • NVIDIA:将 OpenShell 带到 Windows 上,基于 MXC 构建。OpenShell 提供了一个易于部署的包,用于安全运行自主、常驻的 Agent。
  • OpenClaw:已使用 MXC 在 Windows 上安全运行 node 和 gateway。
  • Manus:首席产品官 Tao Zhang 表示:"MXC 给开发者提供了策略驱动的方式定义 Agent 可以访问什么,并在运行时强制执行这些边界。"
  • Hermes Agent(Nous Research):将集成 OpenShell 和 MXC。CEO Dillon Rolnick 说:"持续运行的本地 Agent 需要有意的隔离。MXC 提供了策略驱动的基础。"

这个名单的意义在于:MXC 不是微软的封闭生态锁定。它是一个开放 SDK,任何模型(GPT、Claude、Llama、DeepSeek)构建的 Agent 都可以接入。

Agent 365 + MXC:企业治理闭环

MXC 单独解决的是"containment"问题。但企业还需要"governance"——谁能部署 Agent?Agent 的行为可审计吗?策略怎么统一下发?

这就是 Agent 365 与 MXC 的集成价值所在:

  • Microsoft Entra:为每个 Agent 分配云身份,所有操作可追溯到具体 Agent
  • Intune:IT 团队通过策略统一下发 MXC containment 规则(如禁止访问某些文件路径)
  • Defender:实时检测 prompt injection 和其他 Agent 特有威胁
  • Purview:数据治理和合规审计

这意味着企业不需要为 AI Agent 建立一套全新的安全基础设施——用现有的 Entra + Intune + Defender 栈就能管理 Agent 的安全策略。

MXC 将首先在 Windows 11 24H2(Enterprise 和 Pro 版)中发布,Windows Server 2027 随后跟进。硬件要求——支持 VBS(虚拟化安全)和 SLAT(二级地址转换)的 CPU——在大多数现代商务设备上已是标配。

对行业的意义:Containment 先于 Trust

The Futurum Group 的 VP Mitch Ashley 说了一句关键的话:

"身份归属是绑定每一个 Agent 操作到可审计身份的承重元素。Agent 构建者和平台团队现在需要基于 OS 强制执行的权限和身份模型来设计。"

这揭示了一个行业级的认知转变:AI Agent 的信任不是通过更好的模型来建立的,而是通过更好的 containment 来建立的。

一个 99.9% 准确的模型仍然可能在 0.1% 的情况下做出危险操作。Containment 确保这 0.1% 不会造成实际损害。MXC 的设计哲学正是基于这个认识:不假设 Agent 永远正确,而是假设 Agent 一定会犯错,然后限制犯错的影响范围。

MXC 目前仍在 early preview 阶段,微软明确表示当前的策略"过于宽松",会在正式发布前收紧。但方向已经清晰:当 Agent 从"回答问题"进化为"自主行动",操作系统必须成为安全的最后一道防线。

Windows 正在把自己重新定位为 AI Agent 时代的可信运行时——不是因为模型更强,而是因为 containment 更深。


作者: itech001
来源: 公众号:AI人工智能时代
网站: https://www.theaiera.cn/
每日分享最前沿的AI新闻资讯和技术研究。

本文首发于 AI人工智能时代,转载请注明出处。