Microsoft ha introdotto Microsoft Execution Containers, o MXC, un livello di esecuzione cross-platform e guidato da policy pensato per gli AI agent su Windows e Windows Subsystem for Linux. La tecnologia è disponibile in early preview e punta a dare agli sviluppatori un modo più strutturato per definire cosa un agente può fare, quali risorse può raggiungere e con quali limiti deve operare quando genera o esegue codice.
Il punto operativo è il controllo a runtime. Gli sviluppatori possono impostare vincoli per applicazioni e agenti, mentre Windows li applica attraverso MXC durante l’esecuzione. L’SDK fornisce un livello di astrazione sopra i meccanismi di isolamento, evitando che chi sviluppa debba gestire direttamente i dettagli più bassi della sandbox o delle primitive di contenimento. In un mercato in cui gli agenti AI vengono spinti verso compiti sempre più autonomi, la capacità di trasformare le policy in enforcement tecnico diventa parte dell’architettura, non solo della governance.
Dana Huang, Corporate VP, Windows Security, e Logan Iyer, Corporate VP, Windows Platform + Developer di Microsoft, hanno spiegato che il contenimento definisce ciò a cui gli agenti possono accedere e ciò che possono fare, così che un comportamento non deterministico non si traduca in un rischio incontrollabile. Il ragionamento riguarda una caratteristica centrale degli agenti: il loro comportamento è dinamico e spesso generato a runtime, con modelli che possono produrre codice complesso per ogni prompt, leggere dati, agire e concatenare più operazioni.
MXC applica isolamento e contenimento attraverso una composable sandbox, con un unico SDK e un modello di policy che associa i workload al meccanismo di isolamento più adatto. Agent 365 si integra nativamente con l’SDK e utilizza Microsoft Entra e Intune per applicare vincoli a specifici agenti AI. Il disegno è quello di offrire più opzioni di contenimento, così che le organizzazioni possano calibrare i controlli di sicurezza in base al livello di rischio del workload.
La preview iniziale include due modalità: process isolation e session isolation. La prima esegue il codice generato dall’AI in un ambiente separato, con accesso limitato a file e risorse di rete. L’obiettivo è contenere le azioni rischiose senza interrompere i flussi di sviluppo. GitHub Copilot CLI utilizza già l’isolamento di processo di MXC per limitare ciò che il codice generato dall’intelligenza artificiale può raggiungere ed eseguire.
La session isolation separa invece gli agenti AI dal desktop dell’utente, dalla clipboard, dai dispositivi di input e dalle sessioni attive, riducendo il rischio di perdita di dati e di attacchi all’interfaccia. Ogni sessione opera con una propria identità, consentendo alle organizzazioni di applicare il principio del least privilege, verificare l’attività degli agenti e gestire le policy tramite Microsoft Entra e Intune. Microsoft ha precisato che la release iniziale supporterà sessioni non interattive, con ulteriori capacità previste nelle versioni successive.
La roadmap prevede anche nuovi livelli di contenimento. Tra questi figura il supporto alle micro-VM, basato su virtualizzazione assistita dall’hardware per offrire un isolamento più robusto nei workload ad alto rischio, inclusi il trattamento di dati sensibili e l’esecuzione di codice non affidabile. È previsto inoltre il supporto ai Linux container tramite WSL, estendendo lo stesso modello di contenimento agli ambienti di sviluppo AI basati su Linux.
Microsoft sta lavorando con Hermes, Manus, NVIDIA, OpenAI e OpenClaw per aiutare gli sviluppatori a costruire e distribuire agenti AI con MXC. OpenClaw usa già MXC per proteggere il proprio nodo e gateway, insieme a una companion app Windows per distribuire e gestire agenti. NVIDIA ha integrato MXC in OpenShell per favorire il deploy sicuro di agenti AI autonomi su Windows, mentre Hermes Agent prevede di aggiungere supporto a OpenShell e MXC nella propria applicazione Windows.
Per OpenAI, l’integrazione apre nuovi schemi per consentire agli agenti di generare ed eseguire codice in modo più sicuro ed efficiente. David Wiesen, Member of Technical Staff dell’azienda, ha collegato le capacità di Codex all’ambiente di esecuzione di MXC, indicando l’obiettivo di aiutare gli sviluppatori a passare dall’intento all’esecuzione affidabile più rapidamente, mantenendo il livello di sicurezza e controllo richiesto dalle imprese. La direzione è chiara: gli agenti AI non vengono trattati come semplici assistenti, ma come workload da governare con identità, policy, isolamento e audit.