编者按: 最初发布于2025年10月16日。本文已于 2025 年 11 月 17 日更新,以反映 代理工作区 的逐步推出和 向Windows 预览体验成员提供作 。有关 Windows 上的代理功能的管理和安全性的其他信息,请参阅保护 Windows 和 Ignite 2025 上的 AI 代理:进一步将 Windows 作为面向开发人员的首选平台(由安全博客管理)。
AI 支持的应用可帮助你自动执行日常任务(如组织文件、安排会议或发送电子邮件),因此你可以将更少的时间花在忙碌的工作上,将更多时间花在最重要的事情上。 应用目前实现 AI 的一种强大方式是与应用和文件交互,使用视觉和高级推理像人类一样单击、键入和滚动。 其中一种体验是适用于 Copilot Labs 中的 Windows 预览体验成员的名为 Copilot Actions 的实验性功能。 借助 Copilot Actions,你可以拥有一个活跃的数字协作者,可以为你执行复杂的任务,以提高效率和生产力。
Windows 致力于提高个人和企业对应用的代理体验的工作效率和安全性。 作为此愿景的一部分,Windows 将引入一个新的实验性功能( 代理工作区 ),即将推出面向 Windows 预览体验成员的专用预览版。 此早期预览版反映了我们分阶段提供代理功能的方法,从有限的访问权限开始收集反馈和加强基础安全性。 代理工作区表示启用智能代理驱动的计算的关键步骤。 在此上下文中,安全性不是一次性功能,它是一项持续的承诺。 随着代理功能的发展,我们的安全控制也随之发展,适应从预览版到广泛可用性的每个推出阶段。
有关指导 Windows 上代理 AI 安全开发的原则的详细信息,请参阅:
什么是代理工作区?
代理工作区是 Windows 中一个独立的包含空间,你可以在其中授予代理对应用和文件的访问权限,以便代理可以在后台为你完成任务,同时你继续使用你的设备。 每个代理使用自己的帐户运行,不同于你的个人用户帐户。 此专用代理帐户在代理活动与你自己的帐户之间建立明确的边界,可实现限定范围的授权和运行时隔离。 因此,你可以将任务委托给代理,同时保留完全控制、代理作可见性以及随时管理访问权限的能力。代理通常可以访问已知文件夹或特定共享文件夹,你可以看到这反映在文件夹的访问控制设置中。 每个代理都有自己的工作区和自己的权限,一个代理可以访问的内容不会自动应用于其他代理。 这些工作区设计为轻型且安全,并根据活动缩放内存和 CPU 使用率。 随着时间推移,Windows 将添加具有不同功能的不同类型的工作区。 对于此初始预览版,代理工作区在单独的 Windows 会话中运行,允许代理与应用并行地与你自己的会话进行交互。 对于常见作,此设置比完整虚拟机(例如Windows 沙盒)更高效,同时仍提供安全隔离、并行执行支持以及让用户保持控制。 正在积极优化整体体验和安全模型,以支持透明度、安全性和用户控制等关键原则。
本文内容
-
为什么安全很重要
-
代理安全和隐私原则
-
启用实验性代理功能
-
代理工作区中的应用访问
-
代理工作区中的文件访问
-
已知问题
为什么安全性很重要
代理 AI 目前具有强大的功能,例如,它可以完成许多复杂的任务来响应用户提示,从而转换用户与其电脑的交互方式。 引入这些功能后,AI 模型在行为方式方面仍面临功能限制,偶尔可能会产生幻觉并产生意外输出。 此外,代理 AI 应用程序引入了新的安全风险,例如跨提示注入 (XPIA) ,其中嵌入 UI 元素或文档中的恶意内容可以替代代理指令,从而导致意外作,例如数据外泄或恶意软件安装。 建议通读此信息,并了解在计算机上启用代理的安全影响。
当我们开始在 Windows 中构建代理功能时,我们的承诺是包括强大的安全和隐私控制,使客户能够在这些目标驱动的明确指南和适当的防护措施的支持下自信地探索其潜力。
-
不可否认 性:代理的所有作都是可观察的,并且可区分用户执行的作。
-
保密性: 收集、聚合或以其他方式利用用户的受保护数据的代理满足或超过其使用的数据的安全和隐私标准。
-
授权 :用户批准用户数据的所有查询以及执行的作。
代理安全和隐私原则
保护 AI 代理需要一组可靠的原则,以确保它们根据用户意图进行作,同时保护其数据。
-
代理是自治实体。 它们容易受到攻击的方式与任何其他用户或软件组件相同。 必须能够包含其作。
-
代理必须能够生成概述其活动的日志。 Windows 应该能够使用防篡改的审核日志来验证这些作。
-
代理应提供一种监督其活动的方法。 代理的许多活动都是包含多个步骤的聚合计划。 用户应能够查看步骤并批准计划并监视计划的执行。 代理必须能够在必要时显式请求用户的授权或决策。
-
代理应始终按照最低特权原则行事,并且不得授予超过发起用户的权限或功能,包括管理权限。 授权代理特权应是细化、特定且有时间限制的。 代理必须只能访问敏感信息 (例如,信用卡数据) 在特定、用户授权的上下文中,例如执行特定作,例如在与特定应用程序交互时,或在指定网站上。
-
系统上的实体(管理员、本地系统等)不应具有对代理的特殊访问权限,但所有者所代表的代理不应具有特殊访问权限。
-
Windows 旨在帮助代理遵守Microsoft在Microsoft隐私声明和负责任 AI Standard 中做出的承诺。 Windows 将支持代理仅出于明确定义的目的处理数据,确保透明度和信任。 请参阅 Microsoft隐私报告 ,详细了解我们在负责任地推进 AI 的同时保护隐私和其他基本权利的承诺。
代理开发和 AI 相关安全仍然是一个快速发展的研究领域,Microsoft与更广泛的安全社区合作积极参与。 作为Microsoft 安全未来计划 承诺的一部分,帮助用户、企业和开发人员应对这些挑战是我们的首要任务,因为人们开始在日常工作流中与代理进行交互。
启用实验性代理功能
默认情况下,实验性代理功能设置处于关闭状态。 此功能本身没有 AI 功能,它是 Copilot Actions 等代理的安全功能。 启用此切换可在设备上创建单独的代理帐户和工作区,提供一个包含的空间,使代理活动与用户分开。 试验性代理功能设置目前为预览版,用于收集和学习反馈以优化体验。 在其预览期间,我们将继续添加更精细的安全和隐私控制,然后再将其正式发布。 Copilot Actions 目前为 Copilot Labs 中的 Windows 预览体验成员提供预览版,它使用此功能,有关详细信息,请参阅 Windows 上的 Copilot:Copilot Actions 开始向 Windows 预览体验成员推出 |Windows 预览体验成员博客。 此设置只能由设备的管理用户启用,启用后,将为设备上的所有用户(包括其他管理员和标准用户)启用此设置。
实验性代理功能设置可实现:
-
创建代理帐户,这些帐户 在代表你执行作时,在设备上为代理提供其自己的单独帐户。 Windows 使用分阶段方法为即将发布的代理帐户添加更严格的规则。
-
创建代理工作区, 代理可在其中与人工用户并行工作,从而启用运行时隔离和限定范围的授权。 这为代理提供其自己的桌面等功能,同时限制代理对用户的桌面活动的可见性和访问权限。
-
代理应用(如 Copilot)可以在代理工作区中运行时请求并访问用户配置文件目录中的这六个常用文件夹: 文档、下载、桌面、音乐、图片和视频。
启用实验性代理功能的步骤:
-
使用管理员帐户登录到 Windows
-
在 Windows 设备上的“设置”应用中,选择“ 系统 > AI 组件 > 实验代理功能”
代理工作区中的应用访问
在代理工作区中运行时,代理应用有权访问默认情况下可供所有用户使用的应用。 若要限制访问,可以为特定用户或专门为代理安装应用。
代理工作区中的文件访问
代理帐户在代理工作区中运行时, (C:\Users\<用户名>\) ,代理帐户对用户配置文件目录的访问权限有限。 如果代理需要访问该目录中的文件,Windows 会在启用此设置时授予对以下 已知文件夹的读取和写入访问权限:文档、下载、桌面、视频、图片、音乐。 这些文件夹可能位于标准位置,或者已将它们重定向到文件系统上的其他位置。若要限制对这些文件夹的访问,请关闭实验代理功能设置。
-
在 Windows 设备上的“设置”应用中,选择“系统 > AI 组件 > 实验代理功能”
-
关闭设置
代理帐户有权访问所有经过身份验证的用户有权访问的任何文件夹,例如公共用户配置文件。
已知问题
在内部版本 26220.7262 上可能会遇到以下问题:
-
当 Copilot 具有活动对话时,Windows 不会进入睡眠状态。
-
解决方法: 关闭任何 Copilot Actions 对话或关闭 Copilot,方法是从托盘中选择它,右键单击它并选择“退出”。
-
-
你可能会看到警告“其他人仍在使用此电脑。 如果你现在关闭,则它们可能会丢失未保存的工作。“尝试关闭或重启 Windows 设备时,由于有效的 Copilot Actions 对话。
-
解决方法: 关闭任何 Copilot Actions 对话或关闭 Copilot,方法是从托盘中选择它,右键单击它并选择“退出”。
-
-
具有Endpoint Privilege Management的企业用户可能会看到为代理用户帐户创建的Intune托管配置文件,这些配置文件在 Copilot作会话关闭或应用程序退出时未清理。 这些配置文件通常以美元符号(即 _$)结尾,并且与 Windows 用户文件夹中的代理用户帐户一起 (通常为 c:\users) 。
-
解决方法:Microsoft已意识到此问题,并且正在研究将清理剩余Intune配置文件的修补程序。
-
