Windows Centralは11月18日(米国時間)、「Windows 11 agentic OS faces Xpia malware threat|Windows Central」において、Microsoftが推進するAI OSのリスクについて警告した。
これはMicrosoftが11月17日(米国時間)にエージェントワークスペース](https://support.microsoft.com/en-au/windows/experimental-agentic-features-a25ede8a-e4c2-4841-85a8-44839191dfb3)の概要を説明したことに起因する話で、Microsoftも潜在的なリスクを把握しているという。
新しい実験的機能「エージェントワークスペース」を導入
Microsoftが新たに導入する新機能「エージェントワークスペース」は11月17日(米国時間)、Windows Insider ProgramのDevおよびBetaチャネル向けにリリースされた。Windows内の独立した領域を割り当て、アプリや個人用ファイルへのアクセスを許可し、バックグラウンドでタスクを実行することができるという。
エージェントは複数同時に並走可能で、各エージェントは独立したアカウントおよび権限で動作する。この明確な境界によりエージェントの完全な制御、アクションの可視性、アクセスの管理が可能とされる。
エージェントワークスペースはデフォルトで無効。管理者ユーザーのみ有効にすることができる。有効にすると他の管理者や一般ユーザーを含むデバイス上のすべてのユーザーに対して有効になる。
-
エージェントワークスペースの設定画面 引用:Microsoft
エージェントワークスペースに潜在的なリスクあり
Microsoftは機能の概要を説明すると同時に、その潜在的リスクも伝えている。リスクの概要は次のとおり。
- エージェントはデフォルトですべてのユーザーが利用できるアプリにアクセスできる
- エージェントアカウントは、認証されたすべてのユーザーがアクセスできるすべてのフォルダー(パブリックユーザープロファイルなど)にアクセスできる
- AIモデルは動作に関して機能上の制限があり、ハルシネーションを起こして予期しない出力を生成する可能性がある
- エージェントはクロスプロンプトインジェクション攻撃(XPIA: Cross-Prompt Injection Attacks)などの新たなセキュリティリスクをもたらす。具体例としてはUI要素やドキュメントに埋め込まれた指示を理解し、その指示に従って意図しない動作を引き起こす可能性がある
- ユーザーが承認した特定のコンテキストでは、機密情報(クレジットカード情報)にアクセスできる
含まれる既知の不具合
このリリースのWindows 11に含まれる既知の不具合は次のとおり。
- Copilot Actionsがアクティブな会話をしている間、デバイスをスリープ状態にすることができない
- Copilot Actionsがアクティブな会話をしている間、デバイスのシャットダウンまたは再起動を試みると「他のユーザーがまだこのPCを使用しています」という警告が表示される可能性がある
- Endpoint Privilege Managementを導入しているエンタープライズユーザーの場合、エージェントアカウント用に作成されたIntune管理対象プロファイルがCopilot Actionsの会話終了時や、アプリの終了時にクリーンアップされないことがある
エージェントワークスペースはWindows Insider ProgramのDevおよびBetaチャネル向けのWindows 11 Insider Preview Build 26220.7262に導入された(参考:「Announcing Windows 11 Insider Preview Build 26220.7262 (Dev & Beta Channels) | Windows Insider Blog」)。段階的な展開の対象となっており、初期は限定的なユーザーのみ利用可能とみられる。
Windows Centralは「現時点でこれ(エージェントワークスペース)をサポートするAIアプリはありません」と述べ、利用には制限があると指摘している。この問題についてはCopilotの近日中の対応が予定されており、フィードバックを確認しながら順次利用の幅を拡大していくものと予想されている。
