Contents

Microsoft、AI エージェントは「リスクがある」と語るが、Windows 11 では計画を進めている

<本文>/images/Windows-11-Agents-Malware.jpg

過去数週間にわたり、Microsoft は AI エージェントを Windows の将来と関連付けてきました。しかし、同社自身の文書は、そのようなエージェントが幻覚を見せたり、予測不可能な行動をとったり、さらには1年前には存在しなかった攻撃に陥る可能性があることを公然と認めている。しかし、第 4 位の組織は依然として Windows 11 のエージェント機能の導入を進めています。

Microsoft が、これらのエージェントは別個のアカウント、分離されたセッション、および改ざん明示的な監査ログを必要とするほど危険であると考えているのであれば、なぜ Windows 11 が彼らのテストベッドになるのでしょうか?そして、ユーザーが既に OS の AI 化に疲れ果てているこの時期に、なぜ今なのか?

エージェントティック コンピューティングに対する Microsoft の大きな賭けはすでに確定しています

2025 年 10 月中旬、Microsoft は「すべての Windows 11 PC を AI PC にする」と発表しました。同社は、ユーザーがコンピューターに「話しかけ」、画面に表示されている内容を表示し、ユーザーに代わって動作させることを目的とした一連の AI 統合を発表しました。

Microsoft は基本的に、キーストロークとマウス クリックを自然言語に置き換えることを望んでおり、Copilot Voice、Copilot Vision、およびエージェント部分である Copilot Actions を備えたこの計画のプレビューを見ることができました。

最新の動きにより、Windows 11 のタスクバーがこの AI 化の中枢となります。 Windows 11 の検索ボックスは (現時点ではオプション)、新しい「Ask Copilot」インターフェイスに置き換えられ、ワンクリックまたは入力するだけで AI エージェントまたは Copilot を呼び出すことができます。そこから、エージェントはバックグラウンドでタスクを実行でき、通常のアプリであるかのように、タスクバーから進捗状況を直接監視できます。

/images/Ask-Copilot-on-taskbar-add-agent.png

現在、エージェント機能が制限されておりオプトインになっているとしても、アーキテクチャとロードマップは、エージェント コンピューティングが Windows の次のコア パラダイムであるという事実を明確にします。

Microsoft は、AI エージェントが不正行為を行う可能性があると公然と述べていますが、それでもファイルやアプリ内に AI エージェントを入れたいと考えています

明るい面としては、Microsoft はこれが安全であるとか、絶対に確実だというふりをしているわけではありません。同社の公式文書は、これらのAIエージェントは「動作に関して機能制限に直面しており、場合によっては幻覚を起こしたり、予期しない出力を生成したりする可能性がある」と警告している。

エージェントはクロス プロンプト インジェクション (XPIA)、悪意のあるプロンプト、マルウェアに対して脆弱です

Microsoft が言及している最大のリスクの 1 つは、クロス プロンプト インジェクション (XPIA) です。これは、AI エージェントが UI 要素、ドキュメント、またはアプリに埋め込まれた悪意のあるコンテンツによってだまされる状況を説明します。このようなコンテンツは、エージェントの元の指示を無効にし、機密ファイルのコピーやデータ漏洩などの有害なアクションの実行を強制する可能性があります。

セキュリティ研究者はすでに、GUI ベースのエージェントがこの種の間接攻撃に対して脆弱であると警告しています。その理由は、そのような AI エージェントに高い権限が与えられているためです。

Microsoft がこの件についてオープンであることには感謝していますが、最近 Copilot が集めているあらゆる憎しみを考えると、ある種の不信感が湧き上がります。そして、リコールがプライバシーの悪夢だと思っているなら、AI エージェントはまったく異なるものです。

/images/Recall-in-Windows-11-24H2.jpg

Microsoft は、エージェントは、制限された権限、制御されたフォルダー アクセス、および改ざん防止ログを備えた別のアカウントで実行することを主張しています。ただし、これらのエージェントには、PC 内の最も個人的な場所、具体的にはドキュメント、ダウンロード、デスクトップ、ビデオ、写真、音楽 (Microsoft が既知のフォルダーと呼ぶ) への読み取りおよび書き込みアクセスが許可されています。

「…UI要素やドキュメントに埋め込まれた悪意のあるコンテンツはエージェントの指示を無効にし、データの漏洩やマルウェアのインストールなどの意図しないアクションにつながる可能性がある」とMicrosoftは今月初めに公開したサポート文書で警告した。 「この情報をよく読んで、コンピューター上でエージェントを有効にした場合のセキュリティへの影響を理解することをお勧めします。」

では、リスクを考慮して、Microsoft がエージェントに実際の人間のようにアプリやファイルを操作してもらいたい場合、システム全体が自重で崩壊するのをどのようにして正確に阻止できるのでしょうか?

すべてはエージェント ワークスペースと呼ばれる新機能に依存します

Agent Workspace は、Microsoft の Agentic OS ビジョンの根幹です。ユーザーに代わってアプリを使用し、ファイルを編集し、ドキュメントを移動し、ユーザーの手を煩わせることなく複数のステップのタスクを完了する AI など、同社が約束したすべての機能が機能するのは、Windows 11 がこれらのエージェントが操作するための専用セッションを作成できるようになったからです。

これは、仮想マシンや Windows サンドボックスとは異なります。エージェント ワークスペースは、独自のアカウント、独自のデスクトップ、独自のプロセス ツリー、および独自の権限境界を備えた並列 Windows 環境です。

AI エージェントに別のワークスペースを提供することは、AI エージェントをユーザーのセッション内に直接配置せずに、Windows 内で AI エージェントに「存在する場所」を提供するという Microsoft の最初の試みです。

各エージェントは PC 上で個別の標準アカウントを取得し、Windows はこのアカウントを、明示的に許可されたことのみを実行できる制御された制限されたユーザーのように扱います。このような制限は、Microsoft が警告したのと同じ問題に対する Microsoft の対応です。

Windows 11 内で AI エージェントがどのように動作するか

このワークスペース内では、エージェントは私たちと同じ方法でアプリケーションと対話します。 UI ボタン​​をクリックしたり、テキスト フィールドに入力したりできます。ウィンドウをスクロールし、ファイルをドラッグし、複数の手順を含むタスクを実行します。 AI はこれらのステップの背後にある推論を処理します。

/images/Copilot-operator.gif

コパイロット アクションはすでにこのモデルを使用しています。クラウド モデルにテキストの生成を依頼するのではなく、エージェントは文字通り、PC にインストールされているソフトウェアの手順を実行します。そのため、Microsoft は Windows セッションを個別に提供する必要があります。

エージェントがプロンプトを誤って解釈したり、文書内で XPIA がトリガーされた場合でも、技術的には、被害は Windows がすべてのアクションを監視して記録できる境界内に収まります。

エージェント ワークスペースは、エージェントに何を表示するかを決定する責任があります。前述したように、エージェントは 6 つの「既知のフォルダー」にのみアクセスできます。ユーザー プロファイル内の他のものはすべて、アクセス権を付与しない限り、立ち入り禁止になります。

これにより、エージェントが、意図しない読み取りまたは書き込みによってアプリ開発者に混乱が生じるシステム ディレクトリ、資格情報ストア、またはアプリ データ フォルダーにクロールすることも阻止されます。 Microsoft はまた、アクセス制御リストを使用して、エージェント アカウントがそれを有効にしたユーザーの権限を超えることを防ぎます。

この機能のいずれかを有効にするには、実験的なエージェント機能をオンにする必要があります (デフォルトではオフになっています)。

/images/Experimental-agentic-features-in-Windows-11.jpg /images/Windows-11-Agent-Workspace.jpg

Microsoft は、「この機能にはそれ自体に AI 機能はなく、Copilot Actions などのエージェント向けのセキュリティ機能です。このトグルを有効にすると、デバイス上に別個のエージェント アカウントとワークスペースを作成できるようになり、エージェントのアクティビティをユーザーから切り離すための閉じ込められたスペースが提供されます。」と述べています。

MCP プロトコルはエージェントがタッチできるものを制御します

Microsoft は、モデル コンテキスト プロトコル (MCP) をエージェントとアプリケーション間の標準化されたブリッジとして位置付けています。これが、エージェントがシステム上のツールと通信する方法です。

MCP を使用すると、エージェントはツールの検出、関数の呼び出し、ファイル メタデータの読み取り、予測可能な JSON-RPC レイヤーを介したサービスとの対話が可能になります。これにより、直接アクセスが防止され、認証、ツールの使用許可、機能宣言、ログ記録が行われる中央の強制ポイントが Windows に与えられます。 MCP がなければ、エージェントは盲目になってしまうでしょう。ワークスペースは安全な範囲内に保ちます。

なぜ Microsoft は AI エージェントのリスクにそれだけの価値があると考えているのでしょうか?

Microsoft の観点からすると、AI から撤退するという選択肢はもうありません。同社は、OS が「AI のキャンバス」になるまで、人々が Windows で AI を自然に利用できるようにしたいと考えています。

Apple は、特に Gemini のカスタム バージョンを使用する計画以来、Apple Intelligence との協力に熱心に取り組んでいます。これにより、Google はすでに Aluminium OS で PC 市場への参入を計画していることになります。

Apple の次期低価格 MacBook は、Apple Intelligence のフルバージョンを搭載しており、同社の魅力的な要因から、多くの人にとってより魅力的になるでしょう。したがって、Windows の準備がまだ整っていない場合、Windows 11 の既存の問題 (遅いファイル エクスプローラーなど) で嫌われている一方で、プラットフォームが退屈に見え始めるという現実的なリスクがあります。

大企業がユーザーに、最終的に何百万ドルもの ROI をもたらす新しいものを試すよう促すのは新しいことではありませんが、Microsoft を信頼すべきでしょうか?

Windows 11 はもともとあまり評判が良くありません。人々はすでに膨満感について不満を抱いています。

/images/ac8e405d-26f6-479e-9742-56315508d498.jpeg

Microsoft のリコール機能は、デスクトップ OS 上で AI 製品を起動しない方法の教科書的な例となっています。セキュリティ研究者、プライバシー擁護者、一般ユーザーは皆、アクティビティのスクリーンショットがディスクに保存され続けるという考えに対して警鐘を鳴らしました。

反発が大きかったため、Microsoftはこの機能の導入を延期し、オプトイン方式に作り直したが、依然として「プライバシーの悪夢」というレッテルを完全に払拭することができていない。現在でも、Signal、Brave、AdGuard などのプライバシー重視のアプリには、すぐに Recall をブロックする対策が組み込まれています。

こうした背景から、人々は Windows がエージェント OS になることに不安を感じています。 Recall が境界線を尊重するのに苦労した場合、エージェントがあなたの代わりにファイルをクリック、入力、移動できるようになったらどうなるでしょうか?

Microsoft は危険な未来を構築しており、ユーザーもそれに従うことを望んでいます

Microsoft は、ユーザーに代わって作業を実行できる AI エージェントを中心に Windows 11 を再構築することを選択しました。同社はリスクを認めるのに十分な勇気を持っていますが、前進を続けるのに十分な自信を持っています。

正直に言うと、机上では、このアーキテクチャはスマートに見えます。エージェント用の個別のアカウント、分離されたワークスペース、制限されたフォルダー アクセス、厳密なログ記録、および Windows がエージェントとツールの間に立つことができるプロトコル層。実際には、これは実行時に生きるか死ぬかになります。重大なエクスプロイトが 1 つ発生すると、Microsoft がリコール後に再構築しようとしている信頼の多くを台無しにする可能性があります。少なくとも、現時点では実験的なエージェント機能はオプションです。

不快な真実は、エージェント OS の登場はおそらく避けられないということであり、私は Windows についてだけ話しているわけではありません。主要なプラットフォーム ベンダーはすべて、AI がチャット以上のことを行う未来に向けて突き進んでいます。

避けられないものは信頼です。 Microsoftは、特にWindows 11がすでに自分たちに不利に働いていると感じているユーザーからそれを獲得しなければならないだろう。企業が個人フォルダー内に常駐する AI エージェントを人々に受け入れてもらいたい場合は、すべてを完全にオプションにすることから始め、その後、有効な使用例を示す必要があります。

ホーム

シェアする

ニュースレター

WL ニュースレター

/images/WL-logo-new.svg

WLニュースレターです!

最新の Windows、IT、AI アップデートを常に入手してください。 50,000 人以上の加入者から信頼されています。

名前

電子メール

無料で参加

*️⃣ 出典リンク:

Windows の未来を備えた AI エージェント、Copilot Voice、Copilot Vision、Ask Copilot、 ドキュメントフラグ付き GUI ベースのエージェント 、Copilot が集めている憎悪、リコールはプライバシーの悪夢、 既知のフォルダーサポート ドキュメント、Windows サンドボックス、 Gemini のカスタム バージョンアルミニウム OS を搭載した PC 市場、Apple の次期低価格 MacBook、遅いファイル エクスプローラー、Microsoft の機能遅延、 すぐに使えるブロック リコールホーム

ニュースレター