微軟近期針對 Windows 11 發布了一項重大變革 Experimental Agentic Features,將作業系統的發展方向推向了所謂的 Agentic OS 概念。這項更新不僅僅是增加一個聊天機器人,而是直接將 AI 整合進系統核心,使其具備自主代理能力。根據微軟最新的支援文件與測試版本資訊,Windows 11 這項改變將允許 AI 在背景自動執行任務,甚至存取使用者的個人檔案。然而這項便利性背後所潛藏的安全風險,也成為資安領域關注的焦點。
而這項功能也與微軟測試中的新版 Copilot on Windows 有關,提供一項新功能 Copilot Actions,目前測試的版本是 1.25112.74 與更新的版本會包含,已經在 Windows 測試用戶的 Insider 通道中開放下載更新。
微軟也發表了概念影片讓大家一睹為快 :
任務欄整合與自主代理的崛起
微軟這項改變是將 AI 代理深度整合至 Windows 11 的工作列中,這個與過去微軟部署在 Windows 系統上單純的 Copilot 截然不同,新的設計允許使用者直接在工作列上呼叫、監控與管理這些 AI 代理。當這些代理在背景執行任務時,工作列上的圖示會顯示狀態徽章,讓使用者能即時掌握 AI 是否正在處理資料或需要協助。
這項功能的的核心在於 Agent Workspace 代理工作區。這是一個獨立的 Windows 執行環境,擁有自己的使用者帳戶與桌面階段。在這個隔離的空間中,AI 代理可以平行運作,處理如整理文件、歸檔照片或轉換檔案格式等耗時工作,而不會干擾使用者當前的主畫面操作。
從被動助理到主動代理的關鍵差異
過去我們熟悉的 Copilot 屬於被動式助手,也就是使用者輸入一個指令,AI 給予一個回應,它的運作邏輯是等待與反應。然而新導入的 Agentic AI 則具有主動性與自主權。
這次更新的最大重點,是在於這些 AI 代理被設計成能夠在背景長時間執行,並且具備跨應用程式的執行能力,它不再只是回答問題的搜尋引擎,而是能夠模擬人類的操作行為,主動讀取資料夾內容並執行複雜的工作流程。
例如使用者可以指示代理整理下載資料夾中的所有 PDF 檔,代理便會自行開啟檔案、分析內容並依據類別移動檔案,全程無需使用者再次介入。
以下是 Windows 11 AI Agents 與 Microsoft Copilot 的比較 :
| 項目 | Windows 11 AI Agents | Microsoft Copilot(含內建 Windows 介面版) |
|---|---|---|
| 定位 | OS 級自主代理(system-level automation bot) | 使用者互動助理(user-level assistant) |
| 運作層級 | 作業系統核心(background service + agent account) | UI 層級(Win32 / UWP shell integration) |
| 是否可自主運作 | ✔ 可(基於事件觸發、背景任務) | ✖ 不行(需使用者指令) |
| 權限模型 | 以「獨立帳戶」運作,可讀寫檔案、操作系統 | 在使用者會話權限下執行,相對受限 |
| 能否影響檔案系統 | ✔ 可自動移動、分類、處理檔案 | ✖ 不會自動操作檔案 |
| 可否產生自動化流程 | ✔ 具備 workflow / automation 能力 | ✖ 主要生成文字、程式碼、搜尋 |
| 隔離機制 | Microsoft 宣稱有隔離帳戶(Agent Account Sandbox) | 無專屬 sandbox,以系統一般使用者層級權限運作 |
| 與第三方整合 | 未來支援第三方 Agent(高供應鏈風險) | 第三方 plugin 受限,邊界較清楚 |
| 安全風險類型 | 帳戶後門、系統誤操作、自動化錯誤、資料外洩、供應鏈攻擊 | 主要為資料洩漏、錯誤生成 |
| 可控性/透明度 | 中低(需另建監控與審計) | 高(完全可見、需手動觸發) |
| 與企業 IT 相關性 | 高(影響端點管理、權限模型、安全基線) | 中(主要是功能性提升) |
| 適合企業場景 | 高自動化、生產線 PC、後台流程 | 一般知識工作者的輔助工具 |
開放檔案權限與隱私考量
為了讓這些代理能夠有效運作,微軟在系統設定中新增了一個名為實驗性代理功能的開關。一旦啟用此功能,就代表使用者授權 AI 代理存取特定的資料夾,包括文件、下載、桌面、圖片、音樂與影片等核心目錄。
雖然微軟強調這些代理是在隔離的環境中運作,並且僅能存取使用者明確授權的範圍,但這也代表說呢,這款 AI Agent 代理將有能力翻找並讀取使用者硬碟中最私密的個人檔案。這項功能目前預設為關閉狀態,使用者必須擁有管理員權限才能手動開啟,顯示微軟對於此功能的隱私衝擊採取了較為謹慎的態度。
微軟示警 XPIA 跨提示注入攻擊風險
CyberQ 觀察,隨著作業系統賦予 AI 更多自主權,資安風險也隨之升高。微軟在相關的安全性文件中特別提到了 XPIA 跨提示注入攻擊(Cross-Prompt Injection Attack)的威脅。
XPIA 是一種針對 AI 代理的新型態攻擊手法。由於 Agentic AI 能夠讀取並處理文件內容,攻擊者可以在電子郵件、網頁或文件中埋藏惡意的指令。當 AI 代理讀取這些受感染的檔案時,可能會誤將惡意內容視為使用者的指令而執行。例如一個看似正常的履歷表檔案,內部可能隱藏了指示 AI 將使用者的敏感資料傳送到外部伺服器的命令。
CyberQ 認為,這類攻擊之所以危險,是因為 AI 目前尚難以完全區分惡意指令與正常內容。一旦代理被賦予了讀寫檔案與聯網的權限,這類注入攻擊就可能導致資料外洩或惡意軟體植入。微軟雖然表示會建立嚴格的稽核日誌與監控機制來防範,但也坦承這類新型態的資安風險是邁向 Agentic OS 過程中必須面對的嚴峻挑戰。
對於追求極致生產力的使用者而言,Windows 11 的這項更新無疑是一大步,但如何在自動化的便利與資訊安全之間取得平衡,將是未來每一位使用者與 IT 管理者必須審慎評估的課題。
本文題圖 Google Gemini AI 生成,配圖由 Perplexity AI 生成
