MXC Defende Windows Contra Comprometimento de Agentes, mas Lacunas no Preview Permanecem

A Microsoft lançou o SDK do Microsoft Execution Containers (MXC) em preview inicial no GitHub no Build 2026 em 2 de junho. O toolkit posiciona o Windows como um runtime endurecido para agentes de IA. Os parceiros de lançamento incluem OpenAI, NVIDIA, Manus, Nous Research e o projeto open-source OpenClaw.

MXC é uma camada de execução orientada por políticas embutida no Windows e no Windows Subsystem for Linux. Os desenvolvedores declaram permissões de agentes em JSON ou via SDK TypeScript; o SO aplica restrições em tempo de execução sem exigir isolamento manual. O modelo abrange quatro camadas: isolamento de processo para cargas de trabalho leves e sensíveis à latência, como agentes de codificação; isolamento de sessão para agentes de longa duração com desktop, clipboard e contexto de entrada separados; micro-VMs apoiadas por Hyper-V para código de maior risco; e containers Linux via WSL para toolchains de ML. O GitHub Copilot CLI usa isolamento de processo MXC para restringir código gerado dinamicamente.

O isolamento de sessão se aplica mais diretamente às implantações de produção. Executar um agente sob uma conta Windows distinta—local ou provisionada na nuvem via Entra—bloqueia o acesso ao desktop interativo, clipboard e sessões de usuário. Isso combate spoofing de UI, injeção de entrada e vazamento de dados entre sessões, os vetores de ataque que tornam agentes que usam computador perigosos em desktops compartilhados. Equipes de TI gerenciam políticas centralmente através do Intune. Toda atividade de agente flui para o Defender e Purview para trilhas de auditoria que distinguem ações humanas de ações de agentes. As obrigações de alto risco da Lei de IA da UE entram em vigor em agosto de 2026, exigindo que indústrias reguladas produzam tal distinção.

A sandbox Codex do OpenAI oferece um design de referência pré-MXC. Ela cria duas contas Windows dedicadas—CodexSandboxOffline e CodexSandboxOnline—executa comandos sob tokens restritos e aplica limites do sistema de arquivos através de SIDs sintéticos e ACLs. Diretórios de metadados do Git são protegidos. O acesso à rede é controlado via regras de firewall. MXC generaliza este padrão em todo o SO.

As ressalvas de produção são substanciais. A documentação da Microsoft afirma que perfis MXC não devem ainda ser tratados como limites de segurança. A filtragem de rede de saída não funciona no preview atual—uma lacuna crítica, pois o comprometimento de agentes normalmente se manifesta como exfiltração de dados para endpoints do atacante. O suporte a macOS é experimental. As políticas padrão permanecem excessivamente permissivas. As equipes que implantam agentes em ambientes regulados devem adicionar controles adicionais.

A plataforma de contenção mais ampla está se fragmentando. O runtime OpenShell da NVIDIA, integrando com MXC no Windows, adota uma abordagem em nível de kernel no Linux com controles de sistema de arquivos, rede e processo via primitivos de sandbox. Red Hat emparelha o OpenShell com containers confidenciais e SELinux para nuvem híbrida. Kubernetes usa o controlador Agent Sandbox com gVisor e opcionalmente Kata Containers para isolar código de agentes não confiáveis, seguindo o OWASP Agentic Top 10—um framework revisado por pares publicado em dezembro de 2025 que se tornou a taxonomia para contenção de agentes. Azure Container Apps Sandboxes executa cargas de trabalho em microVMs isoladas por hardware com saída padrão negada aplicada por proxy. Guardian Shell aplica políticas por agente usando Landlock, seccomp e hooks eBPF sem alterações de código.

MXC fornece às implantações do Windows uma superfície de política coerente para contenção de agentes apoiada por identidade Entra e gerenciamento do Intune. A filtragem de rede de saída está faltando no preview, as políticas padrão são permissivas e o suporte a micro-VM permanece planejado. Equipes que enviam agentes para endpoints regulados devem adicionar isolamento MXC em camadas com regras de saída de rede explícitas e tratar o SDK como um controle de primeira camada, não como um limite.