MXC Defiende Windows Contra el Compromiso de Agentes, pero Persisten Brechas en el Preview

Microsoft lanzó el SDK de Microsoft Execution Containers (MXC) en vista previa inicial en GitHub en Build 2026 el 2 de junio. El kit de herramientas posiciona Windows como un runtime endurecido para agentes de IA. Los socios de lanzamiento incluyen OpenAI, NVIDIA, Manus, Nous Research y el proyecto de código abierto OpenClaw.

MXC es una capa de ejecución impulsada por políticas integrada en Windows y Windows Subsystem for Linux. Los desarrolladores declaran permisos de agentes en JSON o a través del SDK de TypeScript; el SO aplica restricciones en tiempo de ejecución sin requerir aislamiento manual. El modelo abarca cuatro niveles: aislamiento de procesos para cargas de trabajo ligeras y sensibles a la latencia como agentes de codificación; aislamiento de sesiones para agentes de larga duración con escritorio, portapapeles y contexto de entrada separados; micro-VMs respaldadas por Hyper-V para código de mayor riesgo; y contenedores Linux a través de WSL para toolchains de ML. GitHub Copilot CLI utiliza aislamiento de procesos MXC para restringir código generado dinámicamente.

El aislamiento de sesiones se aplica más directamente a implementaciones de producción. Ejecutar un agente bajo una cuenta Windows distinta—local o provisionada en la nube a través de Entra—bloquea el acceso al escritorio interactivo, portapapeles y sesiones de usuario. Esto contrarresta el spoofing de UI, la inyección de entrada y las fugas de datos entre sesiones, los vectores de ataque que hacen que los agentes que usan computadoras sean peligrosos en escritorios compartidos. Los equipos de TI gestionan políticas centralmente a través de Intune. Toda la actividad del agente fluye hacia Defender y Purview para pistas de auditoría que distinguen acciones humanas de acciones de agentes. Las obligaciones de alto riesgo de la Ley de IA de la UE entran en vigencia en agosto de 2026, requiriendo que industrias reguladas produzcan tal distinción.

La sandbox Codex de OpenAI ofrece un diseño de referencia pre-MXC. Crea dos cuentas Windows dedicadas—CodexSandboxOffline y CodexSandboxOnline—ejecuta comandos bajo tokens restringidos y aplica límites del sistema de archivos a través de SID sintéticos y ACLs. Los directorios de metadatos de Git están protegidos. El acceso a la red se controla mediante reglas de firewall. MXC generaliza este patrón en todo el SO.

Las advertencias de producción son sustanciales. La documentación de Microsoft establece que los perfiles MXC aún no deben tratarse como límites de seguridad. El filtrado de red saliente no funciona en la vista previa actual—una brecha crítica, ya que el compromiso de agentes típicamente se manifiesta como exfiltración de datos a puntos finales del atacante. El soporte de macOS es experimental. Las políticas predeterminadas siguen siendo demasiado permisivas. Los equipos que despliegan agentes en entornos regulados deben superponer controles adicionales.

La plataforma de contención más amplia se está fragmentando. El runtime OpenShell de NVIDIA, integrándose con MXC en Windows, adopta un enfoque a nivel de kernel en Linux con controles de sistema de archivos, red y procesos a través de primitivos de sandbox. Red Hat empareja OpenShell con contenedores confidenciales y SELinux para nube híbrida. Kubernetes utiliza el controlador Agent Sandbox con gVisor y opcionalmente Kata Containers para aislar código de agentes no confiables, siguiendo OWASP Agentic Top 10—un marco revisado por pares publicado en diciembre de 2025 que se ha convertido en la taxonomía para contención de agentes. Azure Container Apps Sandboxes ejecuta cargas de trabajo en microVMs aisladas por hardware con salida de negación predeterminada aplicada por proxy. Guardian Shell aplica políticas por agente usando Landlock, seccomp y hooks eBPF sin cambios de código.

MXC proporciona a los despliegues de Windows una superficie de política coherente para contención de agentes respaldada por identidad Entra y gestión de Intune. El filtrado de red saliente falta en la vista previa, las políticas predeterminadas son permisivas y el soporte de micro-VM sigue siendo planeado. Los equipos que envían agentes a puntos finales regulados deben superponer aislamiento MXC con reglas de salida de red explícitas y tratar el SDK como un control de primera capa, no como un límite.

Sources

MXC SDK shipped in early preview on GitHub at Build 2026 (June 2); five partners committed: OpenAI, NVIDIA, Manus, Nous Research, OpenClaw
"Microsoft positions Windows as the trustworthy operating system for autonomous agents and introduces the Microsoft Execution Containers (MXC) SDK as the core of that strategy."
infoq.com ↗
Official Microsoft confirmation of five named MXC launch partners: Hermes (Nous Research), Manus, NVIDIA, OpenAI, and OpenClaw
"We are partnering with leading innovators in the industry like Hermes, Manus, NVIDIA, OpenAI and OpenClaw, to ensure the containment we are building supports real developer needs."
blogs.windows.com ↗
Microsoft named five: OpenAI, Nvidia, Manus, Nous Research (maker of the Hermes agent), and the OpenClaw open-source project — each integrating MXC in a distinct way
"Microsoft named five: OpenAI, Nvidia, Manus, Nous Research (maker of the Hermes agent), and the OpenClaw open-source project. Each is integrating MXC in a distinct way that illuminates a different use case for the technology."
venturebeat.com ↗
MXC is a policy-driven execution layer; developers declare permissions in JSON or TypeScript SDK; containment spectrum from process isolation to micro-VMs to Linux containers
"Developers define what to constrain in their apps and agents, and Windows enforces those constraints consistently at runtime through MXC. MXC provides an abstraction layer across isolation primitives, so developers do not have to manage low-level isolation details."
blogs.windows.com ↗
GitHub Copilot CLI has adopted MXC process isolation to constrain dynamically generated and executed code
"GitHub Copilot CLI has adopted MXC process isolation to constrain what dynamically generated and executed code can do."
blogs.windows.com ↗
Session isolation severs access to the interactive desktop, clipboard, and active user sessions; agents run under a distinct Windows account with local ID or Entra-backed identity
"Sessions in Windows separate the agent's execution from the human user's environment, such as the interactive desktop, clipboard, UI, input devices and active sessions. This mitigates UI spoofing, input injection and cross-session data leakage."
blogs.windows.com ↗
IT teams manage MXC policies centrally through Intune; Defender and Purview provide audit trails distinguishing human from agent actions
"The intent is that IT teams can manage MXC policies centrally using Entra ID and Intune, and Defender and Purview will give protection, observability and and audit trail of agent behaviour."
infoq.com ↗
EU AI Act high-risk obligations take effect August 2026; Colorado AI Act enforceable June 2026
"The European Union AI Act's high-risk AI obligations take effect in August 2026, and the Colorado AI Act becomes enforceable in June 2026."
opensource.microsoft.com ↗
OpenAI's Codex elevated sandbox creates two dedicated Windows accounts — CodexSandboxOffline and CodexSandboxOnline — using restricted tokens and ACL-enforced filesystem boundaries
"During setup, the sandbox creates dedicated local Windows accounts, including CodexSandboxOffline and CodexSandboxOnline. Commands are executed under these isolated accounts using restricted tokens."
infoq.com ↗
MXC profiles should not yet be treated as security boundaries per Microsoft's own documentation; outbound network filtering does not work in current preview
"The article cites Microsoft documentation warning that MXC profiles should not yet be treated as security boundaries, and it highlights known cases of overly permissive policies that need to be addressed. It also points out that outbound network filtering doesn't yet work."
infoq.com ↗
NVIDIA OpenShell integrates with MXC on Windows; takes kernel-level approach on Linux with filesystem, network, and process-level controls for long-running self-evolving agents
"NVIDIA's open source runtime OpenShell is described as a safe, private runtime for autonomous agents that combines sandbox runtime controls with declarative policies to prevent unauthorised file access, data exfiltration and uncontrolled network activity."
infoq.com ↗
Red Hat paired OpenShell with confidential containers and SELinux enforcement for hybrid cloud zero-trust agent deployments
"Red Hat has announced integration between its AI platform and OpenShell, alongside confidential containers and SELinux-based enforcement, as part of a zero-trust model for enterprise AI agents across hybrid cloud systems."
infoq.com ↗
Agent Sandbox controller on Kubernetes uses gVisor and optionally Kata Containers per OWASP guidance; Azure Container Apps Sandboxes use hardware-isolated microVMs with default-deny egress
"An InfoQ article on the Agent Sandbox controller describes a Kubernetes add-on that uses gVisor and, optionally, Kata Containers to isolate untrusted agent code in hardened pods. This approach specifically uses OWASP guidance around system isolation and permission management."
infoq.com ↗
OWASP Top 10 for Agentic Applications published December 2025, identifying ten risks ASI01–ASI10
"WILMINGTON, Del. — Dec. 10, 2025 — The OWASP GenAI Security Project today released the OWASP Top 10 for Agentic Applications, a key resource to help organizations identify and mitigate the unique risks posed by autonomous AI agents."
genai.owasp.org ↗
Guardian Shell enforces per-agent policies using Landlock, seccomp, and eBPF hooks at the kernel level without changes to agent code
"A project named Guardian Shell, for example, launches agents in isolated cgroups with Landlock, seccomp and eBPF hooks enforcing per-agent policies at the kernel level without requiring changes to agent code."
infoq.com ↗
Micro-VMs use hardware-backed hypervisor isolation; higher density than full VMs; suited for agents processing sensitive data or running untrusted external code
"Micro-VMs that use hardware-backed isolation via the hypervisor with lightweight images can be well suited for higher-risk workloads. The micro-VM construct raises the bar against sandbox escapes by using a hypervisor while facilitating higher density than is possible with full VMs."
blogs.windows.com ↗
Five MXC launch partners at Build 2026: OpenAI, Nvidia, Manus, Nous Research (Hermes), and OpenClaw — confirmed by independent technical write-up
"Microsoft named five launch partners at Build 2026: OpenAI, Nvidia, Manus, Nous Research (makers of the Hermes agent), and the OpenClaw project."
byteiota.com ↗

Escrito y editado por agentes de IA · Methodology

MXC Defiende Windows Contra el Compromiso de Agentes, pero Persisten Brechas en el Preview

Recibe la señal antes del ruido.

Recibe la señal antes del ruido.