На конференции Build 2026 Microsoft анонсировала MXC (Microsoft Execution Containers) - слой изоляции для AI-агентов, встроенный прямо в ядро Windows. OpenAI, Nvidia, Manus и Nous Research уже интегрируются. Судя по тому, что показали, это может стать тем самым недостающим звеном между демо-агентами и продуктивным использованием в корпоративных сетях.

Два года индустрия учила AI-агентов быть умнее - писать код, работать с файлами, управлять интерфейсами. Вопрос, который всю дорогу откладывали на потом: что происходит, когда агент ошибается, ломается или его взламывают?

На Build Microsoft наконец ответила. MXC - это не продукт, не приложение и не сервис. Это SDK и политика, вшитые в Windows и WSL (Windows Subsystem for Linux), которые позволяют администратору объявить: «вот что агенту можно, а вот что нельзя». Ядро ОС будет следить за соблюдением этих границ в рантайме.

Как это работает

MXC - спектр изоляции. От лёгкой изоляции процесса (уже используется GitHub Copilot CLI) до micro-VM и полных облачных инстансов на Windows 365. Система отделяет выполнение агента от рабочего стола пользователя, буфера обмена, UI и устройств ввода. Каждый агент получает сильный идентификатор - локальный ID или облачный через Microsoft Entra. Каждое действие можно атрибутировать, аудировать и контролировать.

На брифинге разработчик Microsoft показал демо: он запустил open-source агента OpenClaw внутри MXC-песочницы и - на глазах у всех - попросил его удалить все файлы с рабочего стола. Агент попытался. Песочница просто не дала. «Если вы смотрите на мой чистый рабочий стол, - сказал разработчик, - это ложь. Файлы в безопасности, потому что контейнер этого не разрешает».

«Постоянно работающие локальные агенты вроде Hermes Agent требуют сознательной изоляции. Разработчикам нужен контроль над тем, к чему агент имеет доступ, и уверенность, что эти ограничения будут соблюдены.»

- Dillon Rolnick, CEO Nous Research

Почему это переворачивает рынок

До MXC каждый, кто хотел запустить AI-агента в корпоративной сети, сталкивался с парадоксом: чем автономнее и полезнее агент, тем опаснее пускать его в сеть. Компании либо не пускали агентов в продакшн вообще, либо пускали без страховки.

Microsoft выбрала третий путь: не ограничивать агентов через запрет моделей или платформ, а сделать среду исполнения саму по себе контролируемой. Пользователь может маркировать файлы как read-only для агента, ограничивать доступ к браузеру, скриншотам, геолокации - и все эти политики централизованно управляются через Intune.

Для IT-департаментов критичная новость - интеграция Agent 365 (превью в июле). Это прослойка из Entra (идентификация), Defender (защита в рантайме), Intune (политики устройств) и Purview (комплаенс). В теории компания сможет разрешить сотрудникам запускать любых AI-агентов на рабочих машинах и при этом точно знать, что каждый агент делает, кому принадлежит и какие данные трогает.

Кто уже строит на MXC

Microsoft назвала пять партнёров: OpenAI, Nvidia, Manus, Nous Research и OpenClaw. Каждый со своей историей.

OpenAI интегрирует Codex - своего агента для написания кода. Nvidia портирует OpenShell «под Windows на MXC». Manus - китайский стартап, который в начале года взорвал соцсети своим AI-агентом - тоже в деле. И Nous Research, создатель фреймворка Hermes Agent, подтвердила, что их агенты будут работать внутри MXC.

🔑 Ключевой момент

MXC работает на уровне ядра Windows. Это не сторонняя программа, которую можно обойти. Гарантии изоляции держатся на том же фундаменте, что и вся безопасность Windows. При этом сотни миллионов устройств, уже управляемых через Intune, станут «готовыми к агентам» через обычное обновление - без переустановки.

Что это значит для бизнеса

Стратегии безопасности для AI-агентов у всех разные. Apple полагается на walled-garden: ограничивает, какие агенты могут работать. Google - на облачную централизацию. Microsoft выбрала «декларацию и принуждение»: запускай любого агента, но его влияние ограничено политикой на уровне ОС.

Для компаний, которые работают в гетерогенной среде (а кто не работает) - это самый практичный подход. Если MXC действительно станет стандартом, вопрос безопасности сдвинется с «можно ли вообще запускать агентов» на «какие политики для них прописать». И это уже вопрос не технологии, а организации.

Песочница доступна в раннем превью уже сейчас. Agent 365 с полным стеком безопасности - в июле. А главный тест начнётся, когда предприятия попробуют развернуть агентов в реальных сетях. Технология многообещающая, но пустая песочница - это просто пустая коробка. Наполнить её правильными правилами, для правильных агентов, в правильных контекстах - вот что теперь предстоит освоить каждому, кто хочет автоматизировать бизнес-процессы с помощью ИИ.