Ativei os agentes de IA do Windows 11 e revoguei imediatamente seu acesso aos arquivos

Eu sou o cara que ligue os servidores MCP em seu laboratório doméstico por diversão, fiquei atraído pelo anúncio da Microsoft sobre Device Agents para Windows 11. Sou o público-alvo, goste ou não. Passei meses usando os modelos LLM locais e de limite para monitorar meu cluster Proxmox ou DNS ou navegar nos logs do visualizador de eventos do Windows. Automação de agente é meu caso de uso favorito para inteligência artificial e acredito que será o que a maioria das pessoas usará.

Eu realmente queria gostar do Copilot Actions. Eu fiz isso. É um sistema que tentei construir sozinho e, sem uma integração profunda com o Windows 11, é uma luta. Eu li o que ele queria acessar, liguei os interruptores, apertei-o por uma tarde e desliguei-o imediatamente. Não é ruime a Microsoft pensou mais na segurança do que na Internet, mas a margem de confiança padrão é menor do que eu gostaria em um dispositivo que armazena minha vida digital, e você deve entender exatamente o que está acontecendo se usá-lo.

Conectei Claude ao meu cluster Proxmox via MCP e agora ele cria VMs a partir das conversas.

Esta pode ser minha maneira favorita de usar o Proxmox

O que o Copilot Actions e o Agent Workspace realmente fazem

O marketing da Microsoft não é claro, então é hora de analisá-lo

Na minha opinião, a equipe de marketing da Microsoft fez um truque sujo com o Copilot. As postagens do blog de tecnologia explicam muito melhor o que foram projetados, por que foi construído dessa maneira e como a segurança é integrada. O Windows 11 inclui duas coisas que constituem o sistema do agente. Espaço de trabalho do agentequal é o tempo de execução e Ações co-pilotoqual é o agente que o utiliza.

O espaço de trabalho do agente cria continha sessões de desktop em sua conta padrão do Windowsseparadamente do seu usuário logado. É um local onde os agentes funcionam sem acesso de administrador e estão sujeitos a registros, listas de controle de acesso (ACLs) e ferramentas empresariais que seu departamento de TI já conhece. É inteligente e ajuda a construir confiança.

O agente pode abrir aplicativos, clicar, digitar, rolar, mover arquivos entre pastas e extrair tabelas de arquivos PDF enquanto você continua trabalhando em outras tarefas. Você ainda recebe uma pequena janela para observar seu progresso e pode assumir o controle a qualquer momento. Ah, e você precisa habilitá-lo primeiro porque ele vem por padrão. É a coisa mais inteligente que a Microsoft já fez nos últimos tempos.

O nível de acesso à pasta é todo o jogo

O Copilot Actions pode acessar seus documentos mais pessoais e muito mais

Ah, mas o chute. Quando o Copilot Actions precisar dos seus arquivos, requer acesso de leitura e gravação a seis pastas conhecidas: Documentos, Downloads, Desktop, Música, Imagens e Vídeos. Você sabe, as pastas que contêm a maior parte de suas informações privadas. Somente minha pasta de documentos está cheia de PDFs fiscais, projetos incompletos, configurações SSH e outras chaves de API que realmente deveriam ser armazenadas em outro lugar, além de centenas de capturas de tela. Eu não daria a outra pessoa acesso a essas pastas, então por que daria a um agente toda a minha pegada digital?

Ele também usa rótulos do Windows para atingir o público-alvo pastas conhecidas não são caminhos absolutos, então não posso mover coisas da unidade C: por segurança. O Windows ainda sabe onde eles estão.

Eu não poderia viver com esse nível de controle

Posso ver a utilidade das ações do Copilot, mas há três coisas que impedem que ela permaneça ativada. O primeiro é que “isolado” e “temporário” não são a mesma coisa, mas ficam sempre confusos quando se fala em fluxos de trabalho de agentes. A sandbox do Windows é temporária e desaparece quando você conclui a tarefa nela. O espaço de trabalho de um agente não é; ele pode acessar suas pastas reais sem perder o acesso quando terminar.

Mais preocupante é o fato de que a injeção cruzada é um problema sempre presente, e um agente que alimenta documentos, conteúdo da web e imagens corre o risco de receber instruções ocultas. Não sou alarmista; A Microsoft alerta sobre isso em sua documentação. Agora imagine dizer ao agente para encontrar suas informações bancárias e enviá-las para um servidor externo, ao mesmo tempo que concede acesso de leitura e gravação à sua pasta Documentos. Não é uma imagem bonita.

A razão final é que os agentes cometem erros. Seja interpretando mal interfaces sujas de aplicativos ou extraindo o contexto errado de um arquivo, essas alucinações de IA podem fornecer a pesquisa errada para trabalhar ou podem excluir o arquivo errado. A Copilot Actions troca sua conveniência pelo risco de perder arquivos ou dados, e essa troca é um retrocesso para mim.

A Microsoft quer que o Copilot funcione como OpenClaw, gerenciando sua caixa de entrada de forma autônoma 24 horas por dia, 7 dias por semana

Chegou a hora das grandes empresas de IA usarem suas garras.

Para ser justo com a Microsoft, esta é a boa versão da ideia

A ideia do acesso menos privilegiado vai na direção certa

Serei honesto: a Microsoft fez muitas coisas certas com o Copilot Actions. Contas de agentes separadas, isolamento de tempo de execução, desativado por padrão, controles de loop humano e fatos, os agentes são assinados criptograficamente, portanto, aqueles comprometidos podem ter seus certificados revogados todas são coisas boas de se ver. Isso é o mais próximo que Claude ou Perplexity podem chegar realizar ações no seu computadore isso é encorajador.

Mas uma “boa versão de uma ideia arriscada” ainda é uma ideia arriscada, não importa quantas salvaguardas existam. E os mais importantes ainda não tenho: escopo por aplicativo, registros de auditoria verificáveis ​​de forma inequívoca, aprovações irreversíveis necessárias para qualquer evento catastrófico e dados privados tratados no dispositivo. A Microsoft parece estar caminhando nessa direção e estarei acompanhando as coisas de perto para ver como isso se desenvolve. Prefiro usar as ferramentas de agente integradas que possuem os controles que desejo; é mais limpo e simples do que gerenciar sua própria pilha. Simplesmente ainda não chegou lá.

A Microsoft adicionou discretamente uma maneira de remover o Copilot do seu PC na Política de Grupo

É muito fácil de ativar, mas há um porém.

O que eu faço quando preciso realizar tarefas de agente

É hora de colocar as coisas na sandbox para que não possam ir além do que estou pedindo

Não desisti do trabalho de arquivos do agente. Recuso-me a conceder a esses agentes acesso de longo prazo ao meu sistema de arquivos. Tudo o que os agentes podem tocar, desde meu servidor Proxmox até minhas configurações de DNS, está contido na tarefa e não retém acesso após a conclusão da tarefa. É a mesma disciplina que uso com meus conectores MCP, onde cada ferramenta tem um limite claro de permissões que não pode ultrapassar.

É mais trabalhoso, mas com ferramentas de automação, você só precisa fazer a etapa de configuração uma vez. Depois disso, é uma questão de correr Terraform e Ansible criam uma nova máquina virtualconecte-o ao meu servidor LLM local e forneça à máquina virtual uma cópia dos arquivos necessários. Isso mantém meus dados seguros, os agentes não têm acesso a pastas desnecessárias e todos os dados privados permanecem no dispositivo.

Finalmente encontrei um LLM local que realmente quero usar para codificação

O Qwen3-Coder-Next é um ótimo modelo e fica ainda melhor com Claude Code como arnês.

O Agent OS está chegando e prefiro possuir uma fronteira do que alugá-la

A Microsoft pode ter entendido errado quando introduziu o Copilot pela primeira vez, mas os agentes reais são o futuro. Não de uma forma impressionante e que substitua o usuário, mas de uma forma verdadeiramente útil para realizar tarefas tediosas. A correção não é uma rejeição da ideia do Copilot; é parar de aceitar a ideia de outra pessoa sobre como deveria ser sua confiança. Proteja o acesso específico a tarefas, isole o tempo de execução, mantenha o conteúdo privado no dispositivo e registre tudo.

O Copilot Actions está quase pronto para uso e é muito mais fácil de usar do que criar um LLM nativo e vinculá-lo ao seu contêiner. Depois que o Windows adicionar escopo por aplicativo e logs confiáveis ​​às Ações do Copilot, ativarei essa opção novamente. Até então, ele pode ficar fora dos meus dispositivos e estarei executando LLMs locais que sei que não enviam meus dados para servidores externos.

Link da fonte