Windows 正在成为AI Agent的操作系统

我们都熟悉微软Windows操作系统的基本概念：安装应用、点击鼠标，或许还会编写一些脚本。这种模式依然存在，但它如今与一种全新的模式并存：软件不再被动地等待指令，而是主动为用户服务。AI Agent能够理解任务、做出决策并执行操作，其表现更像是数字同事，而非单纯的工具。

这种转变迫使人们重新思考操作系统必须承担的功能。如果智能体要执行模仿人类行为的任务——例如检索文件、更改设置、操作应用程序——Windows 就必须能够识别它们、管理它们并约束它们。在 Ignite 2025 大会上，微软预览了多项Windows 更新，展现了这一变革的早期轮廓。

01

用于智能体交互的新型管道层

此次转型的关键要素之一是对模型上下文协议 (MCP) 的原生支持。MCP 为智能体提供了一种标准化的方式来与工具和数据源交互——这在人工智能功能正以前所未有的方式出现在各种意想不到的地方的当下至关重要，例如，新一代人工智能浏览器正竞相成为数字工作的核心界面。随着这些浏览器引入各自的智能体功能，仅仅浏览是不够的。操作系统必须为任何访问系统资源的操作提供稳定、安全的接入点。

Windows 在 MCP 的基础上更进一步，引入了设备端“Agent连接器”注册表——这些 MCP 服务器代表着文件访问或系统配置等特定功能。所有对这些连接器的调用都通过操作系统级Agent进行处理，该Agent负责身份验证、权限、授权和审计日志记录。

正如贾廷德在我们的讨论中所解释的那样，“这种基础设施不能仅仅依靠中间件或应用程序来实现，因为它需要操作系统层面的集成，以确保安全性、用户许可和控制权。” 这番话也解释了为什么微软要将这些控制措施嵌入到平台层，而不是留给各个开发者自行实现。

02

清晰的能力，清晰的防护措施

首批预览版连接器主要集中在两个核心领域：文件资源管理器和系统设置。它们允许Agent检索和整理文件，或修改显示模式或辅助功能等设置。这些都是一些简单且常见的任务，但它们恰恰说明了结构的重要性。连接器会明确说明其功能、适用条件和限制。这样就避免了歧义、无需抓取界面信息，也无需猜测行为。

Windows 通过明确同意模型来支持这些功能。每当Agent想要访问连接器时，系统都会向用户提供清晰的说明和选项：允许一次、始终允许或从不允许。这是一种常见的模式，但需要避免像 cookie 横幅和 UAC 提示那样变得令人厌烦。

透明度至关重要。系统提示能够准确告知Agent程序的需求及其原因，远比通用的权限请求更有用。而且，由于所有选择都可以在集中式设置页面中撤销，因此该模型鼓励谨慎的实验，而不是无法撤销的全面批准。

03

赋予经纪人专属空间

其中一项最有趣的变化是Agent工作区——一个独立的桌面环境，Agent程序在其中以各自的身份运行。Agent程序不会与您的操作混杂在一起，而是在一个封闭的会话中与您并行运行。操作系统可以对操作进行归因、监控访问并限制Agent程序的访问权限。

该设计认识到一种正在出现的现实：智能体的行为越来越不像传统软件，而更像是自主行动者。它们执行任务的速度比人类更快，有时甚至比预期更激进。误解指令会导致意想不到的后果。“精灵问题”（即智能体执行的是提示的字面意思而非预期含义）并非假设。因此，控制至关重要。

正如 Divya 所说，“Windows 系统上的Agent程序在任何时候都会以最小权限运行。它们只能访问你定义的内容。”

自网络安全诞生以来，“最小权限原则”一直是其核心准则。将其应用于智能体人工智能也至关重要，必须在自主软件深入融入日常工作流程之前，为其构建可控边界。

04

随着自主性的增强，人们对安全性的期望也随之提高

一旦系统允许自主软件代表用户执行操作，安全标准就会急剧提高。连接器现在必须经过签名、打包，并关联明确的功能声明。操作系统知道连接器的创建者、功能以及是否被篡改过。Agent程序也通过标准化的Agent服务器运行，该服务器负责强制执行身份验证、授权和审计。

可见性的重要性显而易见。如果Agent程序删除了错误的日历条目、错误地修改了配置，或者以意想不到的方式提升了权限，系统必须能够准确地确定是哪个Agent程序执行了这些操作以及原因。当应用程序只是按照用户的指示运行时，这种级别的可观察性并非必要。但当软件可以独立运行时，这种可观察性就变得至关重要了。

企业已经开始不再将智能客服视为工具，而是将其视为一种新型的数字员工——他们能力强、速度快，但也可能容易出错。如果没有操作系统层面的控制措施，就无法可靠地监控或管理他们的这种行为。

05

本地AI作为一种原生能力

另一个关键组成部分是扩展设备端人工智能处理能力。Windows 正在引入用于图像生成、视频增强、内容搜索和其他模型驱动功能的 API，包括支持直接在设备上运行更高级的模型。本地推理可以降低延迟，避免敏感数据在网络上传输，并使Agent能够更快地访问其依赖的功能。

这部分功能并非 Windows 独有，但与操作系统级连接器和权限的集成使其有所不同。Agent可以使用与系统资源相同的受控路径来调用本地模型，从而确保行为的可预测性和可审计性。

06

一个开始转变的平台

这一切并不意味着Windows会突然变成一个以Agent为先的操作系统。用户仍然是体验的核心。但是，双轨制模式——用户在一个空间操作，Agent在另一个空间操作——的基础工作已经开始。

操作系统正逐渐成为身份、权限、隔离和日志记录的交汇点。随着越来越多的应用程序、浏览器和服务推出自己的AI助手或嵌入式Agent，Windows正将自身定位为这些Agent安全权限的仲裁者。

这仅仅是漫长转型过程的早期阶段。AI Agent的价值需要时间才能在企业和消费者层面真正显现。但架构要素——标准接口、清晰的权限设置、隔离的执行环境以及系统级的可观测性——正开始逐步成型。