Guillem Alsina Gonzàlez
A evolução das aplicações impulsionadas por inteligência artificial permitiu ir além da simples geração de conteúdo para alcançar a automação de tarefas cotidianas, como organização de arquivos ou gerenciamento de agendas. Nesse contexto, ferramentas experimentais como as Ações do Copilot, disponíveis no Copilot Labs, atuam como colaboradores digitais capazes de interagir com a interface, clicando e digitando como um humano faria.
Para oferecer suporte seguro a essas capacidades, a Microsoft introduziu no Windows uma nova funcionalidade experimental chamada espaços de trabalho para agentes, que estará disponível em breve em uma prévia privada para desenvolvedores dentro do programa Windows Insider. A novidade segue uma abordagem gradual, priorizando o fortalecimento da segurança básica antes de uma liberação mais ampla.
O conceito central dessa arquitetura é o isolamento: um espaço de trabalho para agentes é definido como um ambiente contido dentro do sistema operacional, onde cada agente opera usando sua própria conta, separada da conta pessoal do usuário. Essa diferenciação estabelece limites claros, permitindo autorizações restritas e isolamento em tempo de execução.
Tecnicamente, e nesta fase inicial, o espaço de trabalho do agente é executado em uma sessão separada do Windows, o que permite que tarefas automatizadas ocorram em paralelo com a sessão do usuário, sem interrompê-la. A Microsoft afirma que essa configuração é mais eficiente em termos de consumo de recursos do que rodar uma máquina virtual completa — como o Windows Sandbox — garantindo ainda as proteções de segurança necessárias e ajustando o uso de memória e CPU conforme a atividade.
No que diz respeito à gestão de permissões e ao acesso a informações, as aplicações agênticas podem solicitar leitura e escrita em pastas conhecidas, como Documentos, Downloads ou Área de Trabalho, dentro do diretório de perfil do usuário. Contudo, esse acesso é limitado pelas mesmas permissões aplicáveis a qualquer usuário autenticado e pode ser revogado ao desativar o recurso experimental nas configurações do sistema.
Da mesma forma, esses agentes têm visibilidade sobre os aplicativos instalados por padrão para todos os usuários, embora administradores de TI possam restringir esse alcance instalando software apenas para contas específicas. É importante destacar que o que um agente pode ver ou acessar não se aplica automaticamente a outros agentes, já que cada um possui seu espaço e permissões próprios.
A integração de capacidades agênticas envolve riscos inerentes, como alucinações dos modelos ou novas ameaças de segurança — por exemplo, injeção por instruções (XPIA), na qual conteúdo malicioso pode alterar o comportamento do agente. Para mitigar esses vetores de ataque, a arquitetura foi projetada com base nos princípios de privilégio mínimo e autorização explícita do usuário. Dessa forma, agentes não devem ter direitos administrativos, e seus privilégios devem ser granulares e temporários.
Além disso, aplica-se o princípio de não repúdio, garantindo que todas as ações do agente sejam observáveis, registradas em um sistema de auditoria à prova de manipulação e distinguíveis das ações realizadas pelo usuário humano. A ativação desses ambientes exige que um administrador do dispositivo habilite a configuração de recursos experimentais do agente — uma ação que impacta todos os usuários do equipamento.
Atualmente, na versão em desenvolvimento, existem incidentes conhecidos que administradores de sistemas devem levar em conta. Por exemplo, o sistema operacional não entra em suspensão enquanto houver conversas ativas do Copilot e, em alguns casos, podem surgir avisos ao desligar o equipamento informando que outro usuário está utilizando o PC.
Em ambientes corporativos que utilizam gerenciamento de privilégios de endpoint (Intune), constatou-se que os perfis criados para as contas dos agentes podem não ser removidos corretamente após o encerramento da aplicação, deixando vestígios identificáveis na pasta de usuários.
A Microsoft afirma que já está trabalhando ativamente para corrigir essas falhas.
