Microsoft Build 2026 で発表された Microsoft Execution Containers (MXC) は、AIエージェントを「どこで動かすか」を作り直す試みである。便利だがファイル削除や情報漏洩のリスクを抱えるAIエージェントを、どの粒度でどう隔離するか。発表内容を整理し、AIエージェントを実装・運用する側の視点で意味を考える。
出典: マイクロソフト、AIエージェントのためのカスタマイズ可能な分離環境「Microsoft Execution Containers(MXC)」発表
要点 (事実のみ)
- 2026年6月3日未明、Microsoft Build 2026 で MXC を発表
- AIエージェント向けのカスタマイズ可能な分離環境を提供する技術
- 分離レベルは「プロセス」「セッション」「仮想マシン」から選択可能
- ポリシーによりAIエージェントの用途・目的別に制限内容をカスタマイズできる
- 背景課題として「重要ファイルの削除や情報漏洩などの危険性」を挙げる
- OpenClaw が MXC を活用して Windows 上で動作することを併せて発表
- GitHub (
microsoft/mxc) で公開
AIエージェントのセキュリティリスクをどう監視するか
私の見解を書く。AIエージェントを本番に乗せるとき必ず詰まるのは、「権限をどこまで渡すか」と「壊れたときに何を巻き戻せるか」の2点である。プロセス/セッション/VM の三段で隔離レベルを選べる設計は、この詰まり方をそのまま反映している。読み取りだけのリサーチエージェントはプロセスで足り、ファイルを書く業務自動化はセッション、未知のスクリプトを走らせるなら VM ── 用途別にポリシーを切り替えるのは、私たちが社内エージェントの PoC でも結局たどり着いた構造に近い。
ただし重要なのは、隔離は「壊れないこと」を保証するためではなく「壊れても観測できる・止められる・戻せる」を保証するための土台に過ぎないという点である。MXC の本当のインパクトは技術より配布側にある。Microsoft が Windows と一緒にこれを押し込んでくることで、社内端末でエージェントを動かす中堅企業にとって Group Policy 配下のガバナンス議論が現実的なテーマになる。発注側の意思決定としては、自社のエージェント設計をいま自前で進めるか、半年後の Windows 標準化に合わせて統合するか、という選択肢が増えた段階だと整理している。
(編集レンズ: 実装運用 / 発注側 / 作る側)
出典: マイクロソフト、AIエージェントのためのカスタマイズ可能な分離環境「Microsoft Execution Containers(MXC)」発表 (Publickey, 2026-06-03)
