Durante las últimas semanas, Microsoft ha estado vinculando los agentes de IA con el futuro de Windows. Pero la propia documentación de la empresa admite abiertamente que dichos agentes pueden alucinar, actuar de forma impredecible e incluso sucumbir a ataques que no existían hace un año. Aún así, la cuarta empresa más grande sigue adelante con funciones agentes en Windows 11.
Si Microsoft cree que estos agentes son lo suficientemente vulnerables como para requerir cuentas separadas, sesiones aisladas y registros de auditoría a prueba de manipulaciones, ¿por qué Windows 11 se está convirtiendo en un banco de pruebas para ellos? ¿Y por qué ahora, en un momento en el que los usuarios ya están cansados de la IA del sistema operativo?
La gran apuesta de Microsoft por la computación agente ya está echada
A mediados de octubre de 2025, Microsoft dijo que “hará de cada PC con Windows 11 una PC con IA”. La compañía ha presentado una ola de integraciones de IA que significan que puedes “hablar” con tu computadora, mostrarle lo que hay en tu pantalla y luego ella puede hacer el trabajo por ti.
Básicamente, Microsoft quiere que reemplace las pulsaciones de teclas y los clics del mouse con lenguaje natural, y hemos visto una vista previa de este plan con Copilot Voice, Copilot Vision y la parte agente, Copilot Actions.
Los últimos movimientos hacen de la barra de tareas de Windows 11 el centro neurálgico de esta IA. El cuadro de búsqueda de Windows 11 está siendo reemplazado por una nueva interfaz “Preguntar al copiloto” (opcional, por ahora) que le permite convocar a un agente de IA o copiloto con un solo clic o tipo. Desde allí, los agentes pueden ejecutar tareas en segundo plano y usted puede monitorear su progreso directamente desde la barra de tareas, como si fueran aplicaciones normales.
Incluso si la funcionalidad agente es limitada y está habilitada hoy en día, la arquitectura y la hoja de ruta aclaran el hecho de que la computación agente es el próximo paradigma clave para Windows.
Microsoft afirma abiertamente que los agentes de IA pueden comportarse mal, pero aun así los quieren en sus archivos y aplicaciones
Lo bueno es que Microsoft no pretende que sea seguro o infalible. funcionario de la empresa documentación Advierte que se trata de un agente de IA “Se enfrentan a limitaciones funcionales en términos de comportamiento y, a veces, pueden tener alucinaciones inesperadas”.
Los agentes son vulnerables a la inyección cruzada de indicaciones (XPIA), indicaciones maliciosas y malware.
El mayor riesgo del que habla Microsoft es la inyección cruzada (XPIA). Describe un escenario en el que un agente de IA es engañado por contenido malicioso incrustado en elementos, documentos o aplicaciones de la interfaz de usuario. Dicho contenido podría anular las instrucciones originales del agente y provocar que realice acciones maliciosas, como copiar archivos confidenciales o filtrar datos.
Ya investigadores de seguridad Agente basado en GUI marcado Vulnerable a este tipo de ataques indirectos, debido a los altos privilegios otorgados a dichos agentes de IA.
Si bien apreciamos que Microsoft sea abierto al respecto, surge cierta desconfianza, considerando todo el odio que Copilot está generando en estos días. Y si pensaba que Recall era una pesadilla para la privacidad, los agentes de IA son algo completamente diferente.
Microsoft insiste en que los agentes se ejecuten con cuentas separadas con permisos limitados, acceso controlado a carpetas y registros a prueba de manipulaciones. Pero aún les da a estos agentes acceso de lectura y escritura a lo que Microsoft llama algunas de nuestras ubicaciones personales en la PC, especialmente documentos, descargas, escritorios, videos, imágenes y música. carpetas conocidas.
“…El contenido malicioso incrustado en elementos o documentos de la interfaz de usuario puede anular las instrucciones del agente, lo que lleva a acciones no deseadas como la filtración de datos o la instalación de malware”, advirtió Microsoft en un mensaje. Documentos de respaldo Publicado a principios de este mes. “Le recomendamos que lea esta información y comprenda las implicaciones de seguridad de habilitar un agente en su computadora”.
Entonces, en términos de riesgo, si Microsoft quiere que los agentes interactúen con aplicaciones y archivos como una persona real, ¿cómo evita que todo el sistema colapse bajo su propio peso?
Todo se basa en una nueva función llamada Agent Workspace
Agent Workspace es la columna vertebral de la visión de Microsoft de un sistema operativo agente. Todo lo que prometió la compañía, incluida la IA que usa aplicaciones por usted, edita archivos, rota documentos y completa tareas de varios pasos sin molestarlo, simplemente funciona porque Windows 11 ahora puede crear sesiones dedicadas para que trabajen estos agentes.
No es como una máquina virtual o un entorno limitado de Windows. Agent Workspace es un entorno paralelo de Windows, completo con su propia cuenta, su propio escritorio, su propio árbol de procesos y sus propios límites de permisos.
Proporcionar un espacio de trabajo separado para los agentes de IA es el primer intento de Microsoft de darles un “lugar para existir” dentro de Windows, en lugar de tenerlo directamente dentro de la sesión de un usuario.
Cada agente obtiene una cuenta estándar independiente en su PC y Windows trata esta cuenta como un usuario controlado y limitado que sólo puede hacer cosas que usted permita explícitamente. Estas prohibiciones son la respuesta de Microsoft a los mismos problemas sobre los que advirtieron.
Cómo funcionan los agentes de IA en Windows 11
Dentro de este espacio de trabajo, los agentes interactúan con las aplicaciones como lo hacemos nosotros. Puede hacer clic en los botones de la interfaz de usuario y escribir en campos de texto. Desplácese por Windows, arrastre y suelte archivos y realice tareas que implican varios pasos. La IA maneja la lógica detrás de estos pasos.
Copilot Actions ya utiliza este modelo. En lugar de pedirle a un modelo en la nube que genere texto, el agente literalmente ejecuta los pasos del software instalado en su PC. Microsoft debe proporcionar una sesión de Windows independiente para ello.
Si un agente malinterpreta un mensaje o si XPIA se activa dentro de un documento, el daño ocurrirá, técnicamente, dentro de un límite donde Windows puede monitorear y registrar cada acción.
Los espacios de trabajo de los agentes son responsables de decidir qué mostrarles a los agentes. Como mencioné, los agentes sólo pueden acceder a seis “carpetas conocidas”. Todo lo demás en el perfil de usuario está prohibido, es decir, a menos que le dé acceso.
Esto también evitará que los agentes rastreen directorios del sistema, almacenes de certificados o carpetas de datos de aplicaciones donde las lecturas o escrituras no deseadas causarían caos a los desarrolladores de aplicaciones. Microsoft Agent también utiliza listas de control de acceso para impedir el acceso más allá de los permisos del usuario que activó la cuenta.
Para habilitar cualquiera de estas funciones, debe habilitar Propiedades agentes experimentales.que está desactivado de forma predeterminada.
Microsoft dice, “Esta característica no tiene capacidades de IA propias, es una característica de seguridad para agentes como Copilot Actions. Al habilitar esta opción se crea una cuenta de agente y un espacio de trabajo separados en el dispositivo, lo que proporciona un lugar para mantener la actividad del agente separada de la del usuario”.
El protocolo MCP controla lo que los agentes pueden tocar
Microsoft está posicionando el Model Context Protocol (MCP) como el puente estándar entre agentes y aplicaciones. Así es como el agente interactúa con las herramientas del sistema.
MCP permite a los agentes descubrir herramientas, llamar a funciones, leer metadatos de archivos e interactuar con servicios a través de una capa JSON-RPC predecible. Esto evita cualquier acceso directo y le brinda a Windows un punto de cumplimiento central donde se realizan la autenticación, el permiso para usar herramientas, la declaración de capacidades y el registro. Si no fuera por MCP, un agente estaría ciego. El lugar de trabajo lo mantiene dentro de límites seguros.
¿Por qué Microsoft cree que vale la pena correr el riesgo con los agentes de IA?
Desde la perspectiva de Microsoft, alejarse de la IA ya no es una opción. La empresa quiere que la gente utilice la IA de forma natural en Windows para convertirse en un sistema operativo “Lienzo para IA”.
Apple está trabajando con Apple Intelligence, especialmente porque planea usar uno Versión personalizada de GéminisLo que nos lleva al plan de ingresar ya a Google. Mercado de PC con sistema operativo de aluminio.
El próximo MacBook económico de Apple, con la versión completa de Apple Intelligence, será más atractivo para muchos, aunque sólo sea por la elección de la empresa. Entonces, si Windows aún no está listo, existe un riesgo real de que la plataforma comience a parecer aburrida, a pesar de que Windows 11 es odiado por los problemas que tiene, como un explorador de archivos lento.
Las grandes corporaciones que presionan a los usuarios para que prueben cosas nuevas que, en última instancia, les brindan millones en retorno de la inversión no son nada nuevo, pero ¿debería confiar en Microsoft?
Para empezar, Windows 11 no tiene una gran reputación. La gente ya se ha quejado de lo hinchado que está.
La función Recall de Microsoft se ha convertido en un ejemplo de libro de texto de cómo no lanzar un producto de IA en un sistema operativo de escritorio. Tanto los investigadores de seguridad como los defensores de la privacidad y los usuarios habituales han expresado su preocupación por la idea de que se almacenen en el disco capturas de pantalla constantes de su actividad.
La reacción fue lo suficientemente fuerte como para que Microsoft retrasó la función, la modificó para habilitarla y todavía no puede deshacerse de la etiqueta de “pesadilla de privacidad”. Incluso ahora, las aplicaciones centradas en la privacidad como Signal, Brave y AdGuard están a la altura. Recuperación de bloques lista para usar.
Todo este contexto pone nervioso a Windows por ser un sistema operativo agente. Si Recall tiene dificultades para respetar los límites, ¿qué sucede cuando los agentes también pueden hacer clic, escribir y mover archivos por usted?
Microsoft está construyendo un futuro arriesgado y espera que los usuarios lo sigan
Microsoft ha decidido reconstruir Windows 11 en torno a agentes de inteligencia artificial que puedan funcionar para usted. La organización es lo suficientemente audaz para aceptar riesgos, pero lo suficientemente segura para seguir adelante.
Honestamente, sobre el papel, la arquitectura parece inteligente. Cuentas separadas para agentes, espacios de trabajo separados, acceso limitado a carpetas, registro estricto y una capa de protocolo que permite a Windows interponerse entre los agentes y las herramientas. En realidad, esta ejecución es de vida o muerte. Un exploit grave podría deshacer gran parte de la confianza que Microsoft está tratando de reconstruir después del retiro. Al menos, las características experimentales de agentes son opcionales por ahora.
La incómoda verdad es que un sistema operativo agente probablemente sea inevitable, y no me refiero sólo a Windows. Todos los principales proveedores de plataformas están avanzando hacia un futuro en el que la IA haga más que simplemente chatear con usted.
Lo que no es inevitable es la fe. Microsoft necesita ganárselo, especialmente de los usuarios que ya sienten que Windows 11 está jugando en su contra. Si las empresas quieren que las personas adopten agentes de IA en sus carpetas personales, deben comenzar haciendo que todo sea completamente opcional y luego proporcionar casos de uso válidos.
