實驗性「代理工作區」AI功能概述與隔離機制

微軟在最新的 Windows 11 開發者預覽版中推出了一項實驗性的智能體 AI 功能，允許用戶自動執行日常任務，但警告稱，不當的安全控制可能會帶來比收益更大的風險。這項名為「代理工作區」的實驗性功能，本質上是在 Windows 上創建一個單獨的空間，用戶可以在該空間中授予 AI 代理存取其應用程式和資料的權限，以完成後台任務。 代理程式使用與使用者帳戶分開的獨立帳戶進行操作，以實現範圍授權和執行時間隔離，並且對資料夾的存取權限受到限制，除非使用者授予它們更多權限。雖然該功能預設為關閉狀態，但該公司警告稱，啟用該功能會帶來風險，只有了解其安全影響的用戶才應該啟用該功能。 微軟警告說，總體而言，啟用智慧AI會將作業系統變成個人助理，但也會使系統面臨幻覺和精心設計的提示所觸發的惡意行為等風險。 微軟表示：「應對人工智慧代理的安全挑戰需要遵循一套嚴格的安全原則，以確保代理的行為符合用戶意圖並保護其敏感信息。我們正在製定一套持久的安全和隱私原則，您必須遵守這些原則才能在 Windows 中使用新的代理功能。」

 

人工智慧代理程式導入的新型資安風險

「代理工作區」的引入，在提升操作系統便利性的同時，也催生了許多新型安全隱患。微軟特別指出，一旦該功能由管理員啟用，它將對設備上的所有用戶（包括標準用戶）生效，進一步擴大了潛在的攻擊面。該功能啟動後，即會創建代理帳戶和代理工作區，並允許如 Copilot 等應用程式請求存取用戶資料夾。

這些代理式 AI 應用程式帶來了諸如「跨提示注入」（Cross-Prompt Injection, XPIA）等新型安全風險。這是一種新型的網路攻擊手法，惡意內容可嵌入在 UI 元素或文件中，從而覆蓋代理程式的原始指令，導致其執行意圖之外的惡意行為，例如數據外洩或惡意軟體安裝。這表示攻擊者可能無需直接駭入系統，僅透過巧妙設計的輸入內容即可操縱 AI 代理，使其成為執行惡意活動的潛在幫兇。由於 AI 代理的行為與任何用戶或軟體一樣容易受到攻擊，因此對其行動的監控與限制顯得至關重要。

 

應對代理AI威脅的嚴格安全原則與防護措施

為有效管理這些不斷演變的風險，微軟提出了一套核心的安全與隱私原則。首先是嚴格遵循「最小權限原則」（Least Privilege）。代理程式在任何情況下，其權限級別都不得高於啟動它們的用戶。此外，代理程式必須與系統中的其他實體保持隔離，除了它們的擁有者之外，任何其他實體都不應能存取。

用戶對代理程式的活動應保有全程的可見性與控制權，Windows 系統亦必須能使用防篡改的稽核日誌來驗證代理所採取的行動。這些防護措施旨在確保代理程式的行為與用戶的意圖保持一致。微軟強調，他們深知在推動 AI 創新同時，建立強大的安全框架是確保用戶信任和系統穩定的關鍵，因此將在遵守既定安全標準的前提下，逐步在 Windows 11 中推廣代理功能，包括在任務欄中的 Copilot 提問功能，以及在檔案總管和 Outlook 中整合 AI 生成的摘要等。

資料來源：https://www.securityweek.com/microsoft-highlights-security-risks-introduced-by-new-agentic-ai-feature/