A Microsoft emitiu atualizações críticas em sua documentação de suporte referente aos novos recursos experimentais de inteligência artificial do Windows 11, especificamente focados nas funcionalidades “agênticas” (agentic AI).
A empresa detalhou o funcionamento do novo Agent Workspace e das Copilot Actions, alertando que, embora essas ferramentas prometam automação avançada, elas introduzem vetores de risco significativos, como a injeção de prompt entre domínios (XPIA). Devido à natureza dessas ameaças, a Microsoft confirmou que as funcionalidades permanecerão desativadas por padrão, exigindo intervenção manual de um administrador para serem habilitadas.
A implementação marca uma mudança arquitetônica no sistema operacional. Diferente de assistentes tradicionais, os novos agentes operam em um ambiente isolado, projetado para executar tarefas complexas em segundo plano enquanto o usuário utiliza o dispositivo.
O alerta da empresa é claro: a ativação deve ser feita apenas por quem compreende as implicações de segurança, visto que agentes autônomos são suscetíveis a ataques da mesma forma que usuários humanos ou componentes de software tradicionais.
O funcionamento técnico do Agent Workspace
Para viabilizar a operação segura desses agentes, o Windows 11 introduz o conceito de Agent Workspace. Segundo a documentação técnica (atualizada em novembro de 2025), este espaço não é uma máquina virtual completa como o Windows Sandbox, o que exigiria muitos recursos. Em vez disso, o sistema cria uma sessão separada do Windows para o agente.
Isso garante o que a Microsoft chama de “isolamento de tempo de execução” (runtime isolation). O agente opera com uma conta de usuário distinta da conta pessoal do usuário principal. Essa separação estabelece limites claros: o agente possui seu próprio desktop e permissões escopadas, permitindo que ele interaja com aplicativos em paralelo à sessão do usuário, mas sem acesso irrestrito a todo o sistema.
O risco de Cross-Prompt Injection (XPIA)
Mesmo com o isolamento da sessão, a Microsoft destaca o risco de Cross-Prompt Injection (XPIA). Esta vulnerabilidade ocorre quando conteúdos maliciosos embutidos em documentos, e-mails ou elementos de interface são processados pela Inteligência Artificial.
Se um agente estiver executando uma tarefa de organização de arquivos e encontrar um comando malicioso oculto (“prompt injection”), ele pode ser enganado e sobrescrever suas instruções originais. Isso poderia levar o agente a realizar ações não intencionais, como exfiltração de dados ou instalação de malware, acreditando estar cumprindo uma ordem legítima. Como o agente possui permissões de leitura e escrita em pastas críticas, o dano potencial é amplificado.
Permissões de acesso e ativação
Quando ativado, o agente necessita de acesso ao sistema de arquivos para ser útil. No ambiente do Agent Workspace, o acesso ao diretório de perfil do usuário (C:\Users\username\) é limitado, mas permissões explícitas de leitura e escrita são concedidas para seis pastas conhecidas:
- Documentos
- Downloads
- Área de Trabalho (Desktop)
- Música
- Imagens
- Vídeos
Para ativar esses recursos experimentais, o usuário deve possuir privilégios de administrador e navegar até:
Configurações > Sistema > Componentes de IA > Recursos agênticos experimentais.
Uma vez ativado por um administrador, o recurso fica disponível para todos os usuários do dispositivo.
Bugs e problemas conhecidos
Além dos riscos de segurança, a Microsoft listou problemas operacionais nas compilações de teste (como a build 26220.7262). Usuários devem estar cientes de que:
- Suspensão do Sistema: O Windows não entrará em modo de suspensão (sleep) enquanto houver conversas ativas do Copilot ou ações do agente em andamento.
- Avisos de Desligamento: Ao tentar desligar ou reiniciar o PC, o usuário poderá ver o aviso: “Outra pessoa ainda está usando este PC”, devido à sessão separada do agente rodando em segundo plano.
- Perfis Intune: Em ambientes corporativos, podem ser criados perfis de gerenciamento duplicados para as contas dos agentes, gerando arquivos residuais na pasta de usuários.
A solução paliativa recomendada pela empresa para os problemas de energia é encerrar manualmente as ações do Copilot ou fechar o aplicativo através da bandeja do sistema antes de se afastar do computador.
Auditoria e Princípios de Segurança
Para mitigar o uso indevido, a Microsoft estabeleceu princípios de “não-repúdio” e observabilidade. Todas as ações realizadas por um agente devem gerar logs de auditoria à prova de violação, permitindo que administradores verifiquem exatamente o que foi executado pela Inteligência Artificial e o que foi executado pelo humano. A premissa fundamental é que o agente nunca deve possuir privilégios superiores aos do usuário que o iniciou e deve sempre solicitar aprovação para manipulação de dados sensíveis.
Fonte: Microsoft Support, WindowsCentral
