Microsoft isola agentes de IA da atividade do utilizador no Windows

A evolução das aplicações impulsionadas pela inteligência artificial permitiu transcender a mera geração de conteúdo para abordar a automatização de tarefas cotidianas, como a organização de ficheiros ou a gestão de agendas. Neste contexto, ferramentas experimentais como as Ações do Copilot, disponíveis no Copilot Labs, atuam como colaboradores digitais capazes de interagir com a interface, clicando e escrevendo como um humano faria.

Para dar suporte a essas capacidades de forma segura, a Microsoft introduziu no Windows uma nova funcionalidade experimental chamada espaços de trabalho para agentes, que estará disponível em breve numa versão preliminar privada para programadores dentro do programa Windows Insider. Esta novidade responde a uma abordagem escalonada que prioriza o fortalecimento da segurança fundamental antes de uma disponibilidade generalizada.

O conceito central desta arquitetura reside no isolamento: um espaço de trabalho para agentes é definido como um ambiente contido no sistema operativo onde cada agente opera utilizando a sua própria conta, distinta da do utilizador pessoal. Esta diferenciação de contas estabelece limites claros, permitindo uma autorização restrita e um isolamento em tempo de execução.

Tecnicamente, e nesta fase inicial, o espaço de trabalho do agente é executado numa sessão separada do Windows, o que permite que as tarefas automatizadas ocorram em paralelo com a sessão do utilizador e sem a interromper. A Microsoft afirma que esta configuração é mais eficiente em termos de consumo de recursos do que executar uma máquina virtual completa, como o Windows Sandbox, mas mantém as garantias de segurança necessárias, ajustando o consumo de memória e CPU de acordo com a atividade.

No que diz respeito à gestão de permissões e acesso à informação, as aplicações agênticas podem solicitar acesso de leitura e escrita a pastas conhecidas como Documentos, Transferências ou Ambiente de Trabalho dentro do diretório do perfil do utilizador. No entanto, esse acesso não é irrestrito e é regido pelas permissões que todos os utilizadores autenticados possuem, podendo ser revogado desativando o recurso experimental nas configurações do sistema.

Da mesma forma, esses agentes têm visibilidade sobre as aplicações instalados por padrão para todos os utilizadores, embora os administradores de TI possam limitar esse alcance instalando software apenas para utilizadores específicos. É fundamental destacar que o que um agente pode ver ou tocar não se aplica automaticamente a outros agentes, pois cada um possui seu próprio espaço e permissões independentes.

A integração de capacidades agênticas acarreta riscos inerentes, como alucinações dos modelos ou novas ameaças de segurança, como a injeção por meio de instruções (XPIA), onde conteúdo malicioso poderia alterar o comportamento do agente. Para mitigar esses vetores de ataque, a arquitetura foi projetada sob os princípios de privilégio mínimo e autorização explícita do utilizador, os agentes não devem ter direitos administrativos e seus privilégios devem ser granulares e limitados no tempo.

Para isso, aplica-se o princípio de não repúdio, garantindo que todas as ações do agente sejam observáveis, registáveis num sistema de auditoria à prova de manipulação e distinguíveis das realizadas pelo utilizador humano. A ativação destes ambientes requer que um administrador do dispositivo habilite a configuração de características experimentais do agente, uma ação que afeta todos os utilizadores do equipamento.

Atualmente, na versão de desenvolvimento, existem incidentes conhecidos que os responsáveis pelos sistemas devem considerar. Por exemplo, o sistema operativo não entrará em suspensão enquanto houver conversas ativas do Copilot, e é possível que apareçam avisos ao tentar desligar o equipamento indicando que outro utilizador está a utilizar o PC.

Em ambientes corporativos que utilizam gestão de privilégios de ponto final (Intune), verificou-se que os perfis criados para as contas dos agentes podem não ser eliminados corretamente após o encerramento da aplicação, deixando resíduos identificáveis na pasta de utilizadores.

A Microsoft indica que já está a trabalhar ativamente para corrigir estas incidências.