A Microsoft admitiu que os agentes de IA são inseguros, mas mesmo assim vai inundar o Windows 11 com eles.

Recentemente, a direção da Microsoft tem afirmado repetidamente que o Windows 11 contará com mais agentes de IA para executar diversas tarefas. No entanto, documentação interna da empresa indica que tais algoritmos podem ter alucinações, agir de forma imprevisível e até mesmo se tornarem ferramentas para novos ataques de hackers. Apesar disso, a gigante do software continua a promover recursos baseados em IA no Windows 11.

Fonte da imagem: Windows Latest

Se a Microsoft considera os agentes de IA tão arriscados a ponto de exigir contas separadas, sessões isoladas e registros de auditoria para proteção contra acesso não autorizado, então é difícil explicar por que o Windows 11 está se tornando um campo de testes para essa tecnologia. Também é importante notar que isso está acontecendo em um momento em que os usuários do sistema operacional estão cada vez mais cansados ​​da adoção generalizada de recursos baseados em IA.

Em meados de outubro, a Microsoft anunciou que todos os PCs com Windows 11 se tornarão PCs com IA. A empresa anunciou diversas integrações de IA que permitirão aos usuários “comunicar” com o PC, mostrar o conteúdo da tela para a IA e até mesmo instruí-la a agir em seu nome. Essencialmente, a Microsoft quer que os usuários substituam as teclas digitadas e os cliques do mouse por linguagem natural. Isso está sendo implementado inicialmente por meio do Copilot Voice e do Copilot Vision, bem como pelo componente de agente do Copilot Actions.

As últimas alterações no sistema operacional transformam a barra de tarefas do Windows 11 em um hub para o subsistema de IA. O campo de pesquisa foi substituído pela interface Ask Copilot, que permite iniciar agentes de IA ou o assistente Copilot com um único clique ou comando de texto. Uma vez ativados, os agentes executarão tarefas em segundo plano e o usuário poderá monitorar o progresso diretamente na barra de tarefas, como acontece com aplicativos comuns. Embora os agentes de IA sejam opcionais no momento e sua funcionalidade seja bastante limitada, o roteiro da Microsoft deixa claro que a computação baseada em agentes é o próximo passo fundamental na evolução do Windows.O bom é que a Microsoft não tenta introduzir essas coisas.Essas inovações são consideradas completamente seguras. A documentação oficial da empresa afirma que os agentes de IA “têm limitações funcionais em seu comportamento e podem, às vezes, apresentar alucinações e produzir resultados imprevisíveis”.

Além disso, os agentes de IA são vulneráveis ​​a ataques de injeção de prompts entre programas (XPIA), bem como a prompts maliciosos e malware. Um dos riscos mais significativos que a Microsoft identifica são os ataques XPIA, nos quais um invasor oculta instruções maliciosas em elementos da interface do usuário, documentos ou aplicativos com os quais um agente interage. Essa abordagem pode permitir que as instruções originais de um agente sejam redirecionadas e o levem a executar ações maliciosas, como copiar dados confidenciais.

Pesquisadores de segurança já alertaram que os agentes de IA executados por meio de uma interface gráfica são vulneráveis ​​a esses tipos de ataques. Isso ocorre porque os agentes recebem altos níveis de privilégio no dispositivo para executar suas tarefas atribuídas. A Microsoft entende isso, mas não está abandonando a ideia de implementar agentes de IA. Claramente, os usuários que consideraram o controverso recurso Recall um pesadelo para a privacidade ficarão insatisfeitos com os agentes de IA, já que eles representam um risco significativamente maior.

A Microsoft insiste que os agentes sejam executados em contas separadas, tenham permissões limitadas e sejam protegidos contra alterações não autorizadas nas instruções. Ao mesmo tempo, a empresa concede aos agentes acesso de leitura e gravação às pastas pessoais dos usuários, como a pasta Documentos.”Downloads”, “Imagens”, “Vídeos” e outros.

“Conteúdo malicioso incorporado em elementos da interface do usuário ou em documentos pode sobrepor-se às instruções do agente, levando a ações indesejadas, incluindo extração de dados e instalação de malware. Recomendamos que você revise essas informações e compreenda as implicações de segurança da ativação do agente em seu computador”, alertou a Microsoft.

Se a Microsoft deseja que os agentes de IA interajam com aplicativos e arquivos como usuários reais, precisa evitar que o sistema entre em colapso sob seu próprio peso. Para isso, os desenvolvedores criaram o Agent Workspace, a base do “sistema operacional para agentes”. Tudo o que a empresa prometeu, incluindo algoritmos de IA capazes de interagir com aplicativos, editar e mover arquivos, e executar tarefas complexas, só funciona porque o Windows 11 pode criar sessões isoladas para os agentes executarem. Diferentemente de uma máquina virtual, o Agent Workspace é um ambiente Windows paralelo com sua própria conta de usuário, área de trabalho, árvore de processos e permissões limitadas.

Fornecer um espaço de trabalho separado para os agentes de IA é a primeira tentativa da Microsoft de lhes dar um “local para existir” dentro do Windows sem permitir que residam na sessão do usuário. Cada agente recebe uma conta separada no PC, e o Windows mantém o controle sobre essas contas, permitindo apenas as ações para as quais o usuário concedeu permissão explicitamente. Essas restrições foram a resposta da Microsoft às preocupações que a própria empresa havia mencionado.

Dentro do espaço isolado, o agente de IA interage com os aplicativos como um usuário. Ele pode clicar em botões na interface, inserir texto em campos, percorrer páginas, mover arquivos e assim por diante. A IA é responsável pela lógica por trás dessas ações. O recurso Ações do Copiloto já utiliza esse modelo. Em vez de acessar um modelo de IA baseado em nuvem, por exemplo, para gerar texto, o agenteEle executa etapas automaticamente usando o software instalado no PC.

É por isso que a Microsoft aloca sessões separadas para essa finalidade. Se o agente de IA interpretar incorretamente um comando ou se instruções maliciosas estiverem contidas em um objeto com o qual interage, o dano fica tecnicamente limitado ao espaço controlado pelo Windows, onde todas as ações são registradas. Isso também deve impedir que os agentes penetrem em diretórios do sistema, repositórios de credenciais e pastas de aplicativos, onde leituras ou gravações não intencionais poderiam interromper a funcionalidade do produto.

Para interagir com o agente de IA, é necessário habilitar os Recursos Experimentais de Agentes, que estão desabilitados por padrão. “Esse recurso em si não fornece capacidades de IA; trata-se de um recurso de segurança para agentes como o Copilot Actions. Habilitar essa opção cria uma conta de agente e um espaço de trabalho separados no dispositivo, proporcionando um ambiente isolado para separar a atividade do agente da atividade do usuário”, explica a Microsoft.

Para o controle de acesso, a Microsoft utiliza o Protocolo de Contexto de Modelo (MCP), que funciona como uma ponte entre agentes e aplicativos. É assim que os agentes interagem com as ferramentas do sistema. O MCP permite que o agente de IA descubra ferramentas, invoque funções, leia metadados de arquivos e interaja com serviços. Isso impede o acesso direto e oferece ao Windows um ponto central de controle onde a autenticação, as permissões de ferramentas e outras tarefas são realizadas. Sem o MCP, o agente de IA ficaria “cego”, e o Espaço de Trabalho o mantém dentro de limites seguros.

A Microsoft nem sequer cogita recuar na implementação de IA no Windows. A empresa quer que os usuários interajam com a IA da forma mais natural possível. O recurso Recall mencionado anteriormente tornou-se um exemplo claro de como não lançar um produto de IA em um sistema operacional para desktops. A reação negativa dos usuários foi tão significativa que a Microsoft foi obrigada a adiar o lançamento desse recurso, que registra todas as ações do usuário no sistema, redesenhá-lo e torná-lo opcional.

No entanto, é evidente que a Microsoft fez sua escolha.O objetivo é reconstruir o Windows 11 e integrar agentes capazes de executar diversas tarefas. A empresa tem a audácia de reconhecer os riscos e a confiança necessária para seguir em frente. É possível que o surgimento de sistemas operacionais baseados em agentes seja praticamente inevitável. Todas as grandes empresas de IA estão caminhando rumo a um futuro em que a IA faça mais do que apenas se comunicar com os usuários.