桌面 Agent 需要系统边界

桌面 Agent 的想象力很强。它可以读本地文件,操作开发环境,处理文档,调用终端,甚至跨应用完成任务。但正因为它能碰到真实电脑,风险也比普通网页助手更具体。

文件能不能读,目录能不能写,命令能不能执行,网络能不能访问,凭据会不会泄露,这些都不是提示词能解决的问题。企业不会因为一个 Agent 看起来聪明,就允许它在员工电脑上自由行动。

Microsoft Execution Containers 的意义就在这里。它试图把 Agent 的运行边界交给系统层执行。

应用层提示不够

早期 AI 工具常用权限提示来管理风险:是否允许读取文件,是否允许执行命令,是否允许联网。这对个人用户有一定帮助,但对企业来说太薄。

企业需要的是可声明策略、可复用环境、可审计日志和统一管理。每个工具都弹自己的确认框,最后会变成权限疲劳。真正危险的不是用户没看到提示,而是组织不知道哪些 Agent 以什么权限跑过什么任务。

系统层沙箱可以把这些问题收束到统一模型。

Windows 的位置很特殊

Windows 在这件事上有天然位置。大量企业工作仍然发生在 Windows 设备、Office、Teams、浏览器、终端和本地开发环境之间。Agent 如果要成为工作入口,最终要和这些本地资源打交道。

Build 2026 里,Microsoft 把 MXC、Agent 365、Foundry Agent Service 和本地/云端沙箱放在同一套叙事里,说明它想控制从设备到云的 Agent 运行边界。

它已经进入企业安全架构,而不只是开发者体验升级。

系统层会定义上限

未来桌面 Agent 能做多深,很大程度取决于系统层边界能做多细。只有当文件、网络、进程、身份和策略都能被稳定约束,企业才会允许 Agent 从建议者变成执行者。

对开发者来说,这也意味着 Agent 应用不能只考虑模型和 UI。它必须知道自己跑在哪种容器里,拿到什么权限,如何解释行为,如何把日志交给组织。

桌面 Agent 的下一段竞争,很可能先由操作系统重新定规矩。