当前位置：首页 > news >正文

当 AI Agent 开始自主执行代码，谁来兜底？微软 MXC 给出了操作系统级的答案

news 2026/6/18 21:25:31

当 AI Agent 开始自主执行代码，谁来兜底？微软 MXC 给出了操作系统级的答案

大纲

AI Agent 的信任困境：能力越强，风险越大
MXC 是什么：不是 Docker，不是 K8s，而是 OS 级的 Agent 执行边界
四层 Containment 频谱：从进程隔离到 Micro-VM
JSON Schema + TypeScript SDK：开发者怎么用
生态落地：OpenAI、NVIDIA、Manus、OpenClaw 已接入
Agent 365 + MXC：企业治理闭环
对行业的意义：Containment 先于 Trust

当你让一个 AI Agent 写一段 Python 脚本并立即执行时，你怎么确保它不会 rm -rf /、连接一个 C2 服务器、或者读取你桌面上的工资单 PDF？

这不是假设场景。GitHub Copilot CLI、OpenAI Codex、Claude Code 这些工具每天都在生成并执行代码。Agent 的能力在飞速增长，但运行环境的安全模型还停留在"相信用户不会做蠢事"的阶段。问题在于——Agent 不是用户，它是一个非确定性的、由模型驱动的自主程序。

微软在 Build 2026 上给出了他们的答案：Microsoft Execution Containers (MXC)。

MXC 是什么：不是 Docker，不是 K8s，而是 OS 级的 Agent 执行边界

MXC 的核心定位很容易被误解。它不是一个容器编排系统（不与 Kubernetes 竞争），也不是一个传统的沙箱产品（不像 gVisor 或 Firecracker 那样独立部署）。MXC 是一个嵌入在 Windows 和 WSL 内核中的策略驱动执行层。

用一句话概括：开发者声明 Agent 需要什么权限，操作系统内核负责强制执行这些边界。

开发者定义 Policy → MXC SDK 生成 Config → OS 内核执行 Containment

这个设计的巧妙之处在于：开发者不需要管理底层的隔离细节（AppContainer？Session？Micro-VM？），MXC 提供了一个统一的抽象层，相同的 Policy 可以映射到不同强度的隔离后端。

四层 Containment 频谱：从进程隔离到 Micro-VM

MXC 提供了四个层级的 containment 选项，形成一个"频谱"而非单一方案：

层级	后端	隔离强度	启动开销	适用场景
进程隔离	ProcessContainer	轻量	极低（ms 级）	Coding Agent、快速迭代
会话隔离	IsolationSession	中等	低	长运行 Agent、UI 自动化
Micro-VM	NanVix / Hyperlight	强	中	处理敏感数据、不可信代码
Linux 容器	WSL + LXC/Bubblewrap	中等	中	Linux-first Agent 工具链

进程隔离是最轻量的选项。Agent 生成的代码在一个专用进程中运行，该进程的文件系统和网络访问被限制在 Policy 声明的范围内。GitHub Copilot CLI 已经采用了这个方案——当 Copilot 生成并执行 shell 命令时，它在 MXC 进程隔离中运行，无法访问 Policy 之外的文件。

会话隔离更进一步。Agent 在独立的 Windows Session 中运行，拥有自己的桌面、剪贴板和输入设备。这解决了 UI 欺骗、输入注入和跨会话数据泄露的问题。每个 Session 绑定一个独立的本地 ID 或 Entra 云身份，所有操作都可追溯到具体的 Agent 身份。

Micro-VM 是安全边界最强的一层。它使用 hypervisor 级别的硬件隔离（类似 Firecracker），但启动时间仍然是毫秒级。这对于处理高价值数据或运行完全不可信的第三方代码的 Agent 至关重要——即使 Agent 发现了进程级沙箱的逃逸漏洞，Micro-VM 的 hypervisor 边界也能阻止它。

Linux 容器通过 WSL 将 containment 模型扩展到 Linux 生态。Agent 可以在 WSL 中使用 LXC 或 Bubblewrap 后端运行 Python ML 框架和 Linux 工具链，同时保持 OS 级别的隔离边界。

JSON Schema + TypeScript SDK：开发者怎么用

MXC 的配置完全通过 JSON 声明。一个典型的 Agent 执行配置：

{
  "version": "0.6.0-alpha",
  "process": {
    "commandLine": "python -c \"print('hello from sandbox')\"",
    "workingDirectory": "C:\\sandbox"
  },
  "filesystem": {
    "readonlyPaths": ["C:\\tools"],
    "readwritePaths": ["C:\\sandbox\\tmp"]
  },
  "network": {
    "allowOutbound": false
  },
  "timeoutMs": 30000
}

TypeScript SDK @microsoft/mxc-sdk 提供了两种 API 模式：

一次性执行（One-shot）——适合短生命周期的代码执行：

import { spawnSandboxFromConfig, createConfigFromPolicy } from '@microsoft/mxc-sdk';const config = createConfigFromPolicy({
  version: '0.6.0-alpha',
  filesystem: {
    readonlyPaths: ['/usr/local/lib'],
    readwritePaths: ['/tmp/agent-workspace'],
  },
  network: { allowOutbound: false },
  timeoutMs: 30_000,
});
config.process!.commandLine = 'python analyze_data.py';const child = spawnSandboxFromConfig(config, { usePty: false });
child.stdout!.on('data', (d) => process.stdout.write(d));

状态感知生命周期（State-aware）——适合长运行的 Agent 会话：

import {
  provisionSandbox, startSandbox,
  execInSandboxAsync, stopSandbox,
  deprovisionSandbox,
} from '@microsoft/mxc-sdk';// 多步骤生命周期：provision → start → exec → stop → deprovision
const sandbox = await provisionSandbox(config);
await startSandbox(sandbox);
const result = await execInSandboxAsync(sandbox, 'python train_model.py');
await stopSandbox(sandbox);
await deprovisionSandbox(sandbox);

这种 lifecycle 模式特别适合需要多轮交互的 Agent：先 provision 环境，然后反复执行多个步骤，最后清理。整个过程 sandbox 状态保持一致。

生态落地：OpenAI、NVIDIA、Manus、OpenClaw 已接入

MXC 的生态合作伙伴名单值得仔细看看：

OpenAI：Codex 使用 MXC 执行环境安全地生成和运行代码。OpenAI 技术团队成员 David Wiesen 表示："结合 Codex 的能力与 MXC 的执行环境，我们的目标是帮助开发者从意图到可靠执行更快。"
NVIDIA：将 OpenShell 带到 Windows 上，基于 MXC 构建。OpenShell 提供了一个易于部署的包，用于安全运行自主、常驻的 Agent。
OpenClaw：已使用 MXC 在 Windows 上安全运行 node 和 gateway。
Manus：首席产品官 Tao Zhang 表示："MXC 给开发者提供了策略驱动的方式定义 Agent 可以访问什么，并在运行时强制执行这些边界。"
Hermes Agent（Nous Research）：将集成 OpenShell 和 MXC。CEO Dillon Rolnick 说："持续运行的本地 Agent 需要有意的隔离。MXC 提供了策略驱动的基础。"

这个名单的意义在于：MXC 不是微软的封闭生态锁定。它是一个开放 SDK，任何模型（GPT、Claude、Llama、DeepSeek）构建的 Agent 都可以接入。