Windows 11でAIエージェントを安全に動かす基盤「Agent Workspace」が試験導入

［システム］－［AI コンポーネント］設定ページ

　米国時間11月17日にDev/Betaチャネルでリリースされた「Windows 11 Insider Preview」Build 26220.7262（KB5070303）では、［システム］－［AI コンポーネント］設定ページに ［試験的なエージェント機能］ というオプションが追加されている。既定は無効だが、有効にすることで「Copilot Actions」などのAIエージェント機能が利用できるようになる。

　「Copilot Actions」は、AIエージェントがユーザーに代わってアプリやファイルを操作できるようにする仕組み。この前の旅行で撮影した写真の整理、ダウンロードフォルダーの掃除、ファイルの変換、PDFドキュメントからの情報抽出といった面倒な処理をAIに任せることができる。

　しかし、そのためにはAIエージェントにある程度の権限を与えて、自由にふるまえるようにしてやる必要がある。そうなると心配になってくるのが、エージェントが暴走して意図しない動作をしないか、処理の途中で悪意あるプロンプトを仕込まれる「クロスプロンプトインジェクション」（XPIA）などのセキュリティ攻撃を受け、マルウェアをインストールされたり、機密データを盗まれてしまわないかといったことだ。

　そこでMicrosoftはWindowsにエージェント機能を構築するにあたり、3つの原則を定めている。

• Non-repudiation：エージェントの挙動はユーザーの行動と区別され、すべて観察できる
• Confidentiality：ユーザーのデータを利用するエージェントはセキュリティおよびプライバシー基準を満たす
• Authorization：ユーザーの承認なくしてユーザーデータに関するアクションを実行しない

［試験的なエージェント機能］オプションを有効に

　では、［試験的なエージェント機能］オプションを有効にすると、実際に何が起こるのだろうか。同社は、以下の2つが実施されると説明している。

• エージェントアカウントの作成：エージェント固有のOSアカウントが割り当てられる。権限は「管理者」ではなく「標準」となっており、特権の必要なアクションは実行できない。また、ユーザーのOSアカウントとは区別される。将来リリースでは、より厳しいルールを追加することも検討されているという
• エージェントワークスペースの作成

　 「エージェントワークスペース」（Agent Workspace） は、ユーザーのデスクトップ環境とは隔離されたエージェント専用のデスクトップ環境だ。ユーザーのデスクトップ環境と切り離すことで、ユーザーセッションと並行してエージェントがタスクを実行できるようにするとともに、エージェントが無制限にユーザーデータへアクセスできないようにする。また、エージェントデスクトップ環境で実行されたタスクは、ユーザーの操作とは区別される。エージェントが行ったことは、あとからすべて検証・追跡が可能。こうすることでセキュリティとコンプライアンス、透明性を保てるわけだ。

　同社によると、「Copilot Actions」などのエージェント型アプリがアクセスできるユーザーデータは、ユーザーフォルダー以下にある以下の6つの一般的なフォルダーのみだ。

• ドキュメント
• ダウンロード
• デスクトップ
• ミュージック
• ピクチャー
• ビデオ

　それも、アクセスの際にはかならずユーザーによる許可が必要となる。

　［試験的なエージェント機能］オプションは、「管理者」ユーザーのみが有効にでき、システム全体に適用される。不要になれば、いつでも無効化できる。

　なお、初期バージョンでは「Copilot」会話中はPCがスリープしない、OSをシャットダウンする際に『他のユーザーが使用している』旨の警告が出る場合があるといった問題が確認されている点には注意したい。あくまでもフィードバックを収集するために試験提供されている段階であり、業務上の機密データを扱わせたり、クリティカルなタスクを任せるのはお勧めできない。