
Seit einigen Wochen bringt Microsoft KI-Agenten mit der Zukunft von Windows in Verbindung. In der unternehmenseigenen Dokumentation wird jedoch offen zugegeben, dass solche Agenten halluzinieren, unvorhersehbar handeln und sogar auf Angriffe hereinfallen können, die es vor einem Jahr noch nicht gab. Dennoch treibt das viertgrößte Unternehmen weiterhin die Entwicklung von Agentenfunktionen in Windows 11 voran.
Wenn Microsoft glaubt, dass diese Agenten riskant genug sind, um separate Konten, isolierte Sitzungen und manipulationssichere Prüfprotokolle zu benötigen, warum wird Windows 11 dann zum Testfeld für sie? Und warum jetzt, zu einer Zeit, in der die Benutzer bereits von der KI-Fizierung des Betriebssystems erschöpft sind?
Microsofts große Wette auf Agentic Computing ist bereits abgeschlossen
Mitte Oktober 2025 gab Microsoft bekannt, dass sie „jeden Windows 11-PC zu einem KI-PC machen“. Das Unternehmen stellte eine Reihe von KI-Integrationen vor, die es Ihnen ermöglichen sollen, mit Ihrem Computer zu „sprechen“, ihm zu zeigen, was auf Ihrem Bildschirm angezeigt wird, und ihn dann in Ihrem Namen handeln zu lassen.
Microsoft möchte im Wesentlichen, dass Sie Tastenanschläge und Mausklicks durch natürliche Sprache ersetzen, und wir konnten eine Vorschau dieses Plans mit Copilot Voice, Copilot Vision und dem Agententeil Copilot Actions sehen.
Die neuesten Schritte machen die Windows 11-Taskleiste zum Nervenzentrum dieser KI-Fiktion. Das Suchfeld von Windows 11 wird (vorerst optional) durch eine neue „Ask Copilot“-Schnittstelle ersetzt, mit der Sie KI-Agenten oder Copilot mit einem einzigen Klick oder einer einzigen Eingabe herbeirufen können. Von dort aus können Agenten Aufgaben im Hintergrund ausführen und Sie können ihren Fortschritt direkt über die Taskleiste überwachen, als wären sie normale Apps.

Auch wenn heute die Agentenfunktionalität begrenzt ist und Opt-In möglich ist, machen die Architektur und die Roadmap deutlich, dass Agentic Computing das nächste Kernparadigma für Windows ist.
Microsoft sagt offen, dass KI-Agenten sich schlecht benehmen können, möchte sie aber dennoch in Ihren Dateien und Apps haben
Positiv zu vermerken ist, dass Microsoft nicht vorgibt, dass dies sicher oder narrensicher sei. In der offiziellen Dokumentation des Unternehmens wird gewarnt, dass diese KI-Agenten „funktionalen Einschränkungen hinsichtlich ihres Verhaltens unterliegen und gelegentlich halluzinieren und unerwartete Ergebnisse erzeugen können“.
Agenten sind anfällig für Cross Prompt Injection (XPIA), bösartige Eingabeaufforderungen und Malware
Eines der größten Risiken, von dem Microsoft spricht, ist Cross Prompt Injection (XPIA). Es beschreibt eine Situation, in der ein KI-Agent durch schädliche Inhalte, die in UI-Elemente, Dokumente oder Apps eingebettet sind, ausgetrickst wird. Solche Inhalte könnten möglicherweise die ursprünglichen Anweisungen des Agenten außer Kraft setzen und ihn zu schädlichen Aktionen wie dem Kopieren vertraulicher Dateien oder der Weitergabe von Daten zwingen.
Sicherheitsforscher haben GUI-basierte Agenten bereits als anfällig für diese Art indirekter Angriffe eingestuft. Der Grund dafür sind die hohen Privilegien, die solchen KI-Agenten eingeräumt werden.
Obwohl wir es zu schätzen wissen, dass Microsoft diesbezüglich offen ist, entsteht angesichts des ganzen Hasses, den Copilot heutzutage hervorruft, ein gewisses Misstrauen. Und wenn Sie glauben, dass Recall ein Albtraum für die Privatsphäre war, sind KI-Agenten eine ganz andere Sache.

Microsoft besteht darauf, dass Agenten unter separaten Konten ausgeführt werden, mit eingeschränkten Berechtigungen, kontrolliertem Ordnerzugriff und manipulationssicheren Protokollen. Es gewährt diesen Agenten jedoch weiterhin Lese- und Schreibzugriff auf einige unserer persönlichsten Speicherorte auf dem PC, insbesondere auf Dokumente, Downloads, Desktop, Videos, Bilder und Musik, die Microsoft als bekannte Ordner bezeichnet.
„…bösartige Inhalte, die in UI-Elemente oder Dokumente eingebettet sind, können Agentenanweisungen außer Kraft setzen und zu unbeabsichtigten Aktionen wie Datenexfiltration oder Malware-Installation führen“, warnte Microsoft in einem Anfang dieses Monats veröffentlichten Supportdokument. „Wir empfehlen Ihnen, diese Informationen durchzulesen und sich über die Sicherheitsauswirkungen der Aktivierung eines Agenten auf Ihrem Computer zu informieren.“
Wenn Microsoft also angesichts der Risiken möchte, dass Agenten wie eine echte Person mit Apps und Dateien interagieren, wie verhindert es dann genau, dass das gesamte System unter seinem eigenen Gewicht zusammenbricht?
Das Ganze hängt von einer neuen Funktion namens Agent Workspace ab
Agent Workspace ist das Rückgrat der Vision von Microsoft für ein Agentic OS. Alles, was das Unternehmen versprochen hat, einschließlich der KI, die Apps für Sie nutzt, Dateien bearbeitet, Dokumente verschiebt und mehrstufige Aufgaben erledigt, ohne Sie zu stören, funktioniert nur, weil Windows 11 jetzt dedizierte Sitzungen für die Arbeit dieser Agenten erstellen kann.
Es ist anders als eine virtuelle Maschine oder eine Windows-Sandbox. Agent Workspace ist eine parallele Windows-Umgebung mit eigenem Konto, eigenem Desktop, eigener Prozessstruktur und eigener Berechtigungsgrenze.
Die Bereitstellung eines separaten Arbeitsbereichs für KI-Agenten ist Microsofts erster Versuch, ihnen einen „Ort zum Existieren“ innerhalb von Windows zu geben, ohne dass sie direkt in der Sitzung des Benutzers sitzen.
Jeder Agent erhält ein separates Standardkonto auf Ihrem PC, und Windows behandelt dieses Konto wie einen kontrollierten, eingeschränkten Benutzer, der nur die Dinge tun kann, die Sie ausdrücklich zulassen. Mit solchen Einschränkungen reagiert Microsoft auf die gleichen Probleme, vor denen es gewarnt hat.
Wie KI-Agenten in Windows 11 funktionieren
Innerhalb dieses Arbeitsbereichs interagiert der Agent mit Anwendungen auf die gleiche Weise wie wir. Es kann auf UI-Schaltflächen klicken und Textfelder eingeben. Scrollen Sie durch Fenster, ziehen Sie Dateien und erledigen Sie Aufgaben, die mehrere Schritte umfassen. Die KI übernimmt die Begründung dieser Schritte.

Copilot Actions nutzt dieses Modell bereits. Anstatt ein Cloud-Modell mit der Generierung von Text zu beauftragen, führt der Agent die Schritte buchstäblich in einer auf Ihrem PC installierten Software aus. Aus diesem Grund muss Microsoft ihm separate Windows-Sitzungen zuweisen.
Wenn ein Agent eine Eingabeaufforderung falsch interpretiert oder XPIA innerhalb eines Dokuments ausgelöst wird, wird der Schaden technisch gesehen innerhalb einer Grenze eingedämmt, in der Windows jede Aktion überwachen und protokollieren kann.
Agent Workspace ist für die Entscheidung verantwortlich, was den Agenten angezeigt wird. Wie bereits erwähnt, erhalten Agenten nur Zugriff auf die sechs „bekannten Ordner“. Alles andere im Benutzerprofil ist tabu, es sei denn, Sie gewähren ihm Zugriff.
Dies sollte auch verhindern, dass Agenten in Systemverzeichnisse, Anmeldeinformationsspeicher oder App-Datenordner kriechen, wo unbeabsichtigte Lese- oder Schreibvorgänge für App-Entwickler Chaos verursachen würden. Microsoft verwendet außerdem Zugriffskontrolllisten, um zu verhindern, dass das Agentenkonto die Berechtigungen des Benutzers überschreitet, der es aktiviert hat.
Um eine dieser Funktionen zu aktivieren, müssen Sie die experimentellen Agentenfunktionen aktivieren, die standardmäßig deaktiviert sind.

Microsoft sagt: „Diese Funktion verfügt über keine eigenständigen KI-Funktionen, sondern ist eine Sicherheitsfunktion für Agenten wie Copilot Actions. Durch die Aktivierung dieses Schalters können ein separates Agentenkonto und ein separater Arbeitsbereich auf dem Gerät erstellt werden, wodurch ein geschlossener Bereich bereitgestellt wird, um die Agentenaktivität von der des Benutzers getrennt zu halten.“
Das MCP-Protokoll steuert, was Agenten berühren können
Microsoft positioniert das Model Context Protocol (MCP) als standardisierte Brücke zwischen Agenten und Anwendungen. Auf diese Weise kommuniziert der Agent mit Tools im System.
Mit MCP kann der Agent über eine vorhersehbare JSON-RPC-Schicht Tools erkennen, Funktionen aufrufen, Dateimetadaten lesen und mit Diensten interagieren. Dies verhindert jeglichen direkten Zugriff und gibt Windows einen zentralen Durchsetzungspunkt, an dem Authentifizierung, Berechtigung zur Verwendung von Tools, Funktionserklärungen und Protokollierung erfolgen. Ohne das MCP wäre ein Agent blind. Der Arbeitsbereich hält es innerhalb sicherer Grenzen.
Warum glaubt Microsoft, dass sich das Risiko mit KI-Agenten lohnt?
Aus Sicht von Microsoft ist ein Abschied von der KI keine Option mehr. Das Unternehmen möchte, dass Benutzer KI in Windows so natürlich nutzen, dass das Betriebssystem zu einer „Leinwand für KI“ wird.
Apple arbeitet intensiv an Apple Intelligence, insbesondere seit dem Plan, eine benutzerdefinierte Version von Gemini zu verwenden, was uns zu Google führt, das bereits plant, mit Aluminium OS in den PC-Markt einzusteigen.
Apples kommendes Budget-MacBook mit einer Vollversion von Apple Intelligence wird für viele attraktiver sein, allein schon wegen der Attraktivität des Unternehmens. Wenn Windows also nicht bereits darauf vorbereitet ist, besteht ein echtes Risiko, dass die Plattform langweilig aussieht, während man sich gleichzeitig wegen der bestehenden Probleme in Windows 11, wie dem langsamen Datei-Explorer, verhasst fühlt.
Große Unternehmen, die Benutzer dazu drängen, neue Dinge auszuprobieren, die ihnen letztendlich einen ROI in Millionenhöhe bescheren, sind nichts Neues, aber sollten Sie Microsoft vertrauen?
Windows 11 genießt zunächst keinen guten Ruf. Die Leute beschweren sich bereits darüber, wie aufgebläht es sich anfühlt.

Die Rückruffunktion von Microsoft ist zum Paradebeispiel dafür geworden, wie man ein KI-Produkt nicht auf einem Desktop-Betriebssystem startet. Sicherheitsforscher, Befürworter des Datenschutzes und normale Benutzer waren alle alarmiert über die Idee, dass ständig Screenshots Ihrer Aktivitäten auf der Festplatte gespeichert werden.
Die Gegenreaktion war so laut, dass Microsoft die Funktion verzögerte, sie in eine Opt-In-Funktion umwandelte und das Label „Datenschutz-Albtraum“ immer noch nicht ganz loswerden kann. Schon jetzt sind datenschutzorientierte Apps wie Signal, Brave und AdGuard mit Maßnahmen ausgestattet, die Recall standardmäßig blockieren.
All dieser Kontext macht die Leute nervös, weil Windows zu einem Agenten-Betriebssystem werden könnte. Wenn Recall Schwierigkeiten hatte, Grenzen zu respektieren, was passiert dann, wenn Agenten auch für Sie auf Dateien klicken, tippen und verschieben können?
Microsoft baut eine riskante Zukunft auf und hofft, dass die Benutzer ihm folgen
Microsoft hat sich entschieden, Windows 11 um KI-Agenten herum neu zu erstellen, die in Ihrem Namen arbeiten können. Das Unternehmen ist mutig genug, die Risiken einzugestehen, aber auch zuversichtlich, weiter voranzukommen.
Ehrlich gesagt sieht die Architektur auf dem Papier schick aus. Getrennte Konten für Agenten, isolierte Arbeitsbereiche, eingeschränkter Ordnerzugriff, strikte Protokollierung und eine Protokollschicht, die Windows zwischen Agenten und Tools stehen lässt. In der Praxis wird dies bei der Hinrichtung über Leben oder Tod entscheiden. Ein schwerwiegender Exploit könnte einen Großteil des Vertrauens zunichtemachen, das Microsoft nach Recall wiederherzustellen versucht. Zumindest sind die Experimental Agentic-Funktionen vorerst optional.
Die unangenehme Wahrheit ist, dass ein Agenten-Betriebssystem wahrscheinlich unvermeidlich ist, und ich spreche nicht nur von Windows. Jeder große Plattformanbieter drängt auf eine Zukunft, in der KI mehr kann, als nur mit Ihnen zu chatten.
Was nicht unvermeidlich ist, ist Vertrauen. Das wird sich Microsoft verdienen müssen, insbesondere bei Nutzern, die bereits das Gefühl haben, dass Windows 11 gegen sie arbeitet. Wenn das Unternehmen möchte, dass die Leute KI-Agenten akzeptieren, die sich in ihren persönlichen Ordnern befinden, müssen sie zunächst alles völlig optional machen und dann gültige Anwendungsfälle angeben.
Zuhause
Teilen
Newsletter
WL-Newsletter
WL-Newsletter!
Bleiben Sie mit den neuesten Windows-, IT- und KI-Updates auf dem Laufenden. Mehr als 50.000 Abonnenten vertrauen darauf.
Name
Kostenlos beitreten
*️⃣ Quelllink:
KI-Agenten mit der Zukunft von Windows, Copilot Voice, Copilot Vision, Ask Copilot, Dokumentation, markierte GUI-basierte Agenten , Hass, den Copilot hervorruft, Rückruf war ein Datenschutz-Albtraum, bekannte Ordner , Supportdokument, Windows Sandbox, benutzerdefinierte Version von Gemini , PC-Markt mit Aluminium OS, Apple kommendes Budget-MacBook, langsamer Datei-Explorer, Microsoft hat die Funktion verzögert, Block Recall sofort einsatzbereit, Zuhause ,
Newsletter
,