Selama dua tahun terakhir, industri teknologi berlomba-lomba untuk mengembangkan kemampuan agen AI—mengajarkan mereka untuk menulis kode, menavigasi antarmuka perangkat lunak, mengelola file, dan mengatur alur kerja multi-langkah dengan kemandirian yang semakin meningkat. Namun, satu pertanyaan penting yang terus mengusik kepala para kepala petugas keamanan informasi adalah: apa yang terjadi jika agen tersebut mengalami kesalahan?
- Kenapa setiap agen AI otonom bisa menjadi insiden keamanan yang menunggu terjadi
- Jawaban Microsoft adalah sandbox yang dapat diskalakan dari satu proses ke virtual machine penuh
- Demontrasi langsung menunjukkan agen AI mencoba menghapus file—dan gagal karena OS tidak mengizinkannya
- Integrasi Defender, Entra, Intune, dan Purview yang tiba di bulan Juli mengubah MXC menjadi kontrol penerbangan perusahaan
- OpenAI, Nvidia, Manus, dan Nous Research sudah membangun di atas MXC—dan ini mengubah perhitungan
- Bagaimana kerangka agen sumber terbuka menjadi ladang uji Microsoft untuk keamanan AI di Windows
- Membangun penampungan ke dalam OS memberi Microsoft keunggulan strategis atas taman terlarang Apple dan model cloud-first Google
- Bagian tersulit bukan membangun sandbox—tetapi menulis kebijakan yang ada di dalamnya
Pada hari Selasa yang lalu, dalam konferensi pengembang Build tahunan, Microsoft memberikan jawaban yang mungkin menjadi acuan definitif. Perusahaan ini meluncurkan Microsoft Execution Containers, atau MXC—lapisan eksekusi berbasis kebijakan yang terintegrasi ke dalam sistem operasi Windows, yang memungkinkan pengembang dan administrator TI untuk menetapkan dengan jelas apa yang dapat dan tidak dapat diakses oleh agen AI, dengan batasan yang ditegakkan oleh kernel OS saat runtime.
Pengumuman ini mungkin tampak kecil di antara banyak pembaruan fokus pengembang lainnya, tetapi bisa jadi ini adalah langkah paling penting yang diambil Microsoft di Build tahun ini. MXC memiliki potensi untuk membentuk cara setiap perusahaan di seluruh dunia memikirkan penerapan perangkat lunak AI otonom.
MXC bukanlah produk yang bisa dibeli. Ini adalah SDK dan model kebijakan—primitif mendasar yang tertanam dalam Windows dan Windows Subsystem for Linux—yang menyediakan apa yang disebut Microsoft sebagai “spectrum sandbox yang dapat dibangun.” Spectrum ini mencakup mulai dari isolasi proses yang ringan, yang sudah diadopsi oleh antarmuka perintah GitHub Copilot, hingga micro-virtual machines, kontainer Linux, dan instans cloud penuh yang berjalan di Windows 365.
Sistem ini memisahkan eksekusi agen dari desktop pengguna, clipboard, antarmuka pengguna, dan perangkat input. Yang terpenting, setiap agen terikat pada identitas yang kuat—baik ID lokal atau identitas yang disediakan cloud yang didukung oleh Microsoft Entra—sehingga setiap aksi yang diambil oleh agen dapat dilacak, diaudit, dan diatur.
Dampaknya sangat besar. Hingga saat ini, penerapan agen AI di perusahaan terjebak dalam paradoks: semakin otonom dan bergunanya agen, semakin berbahaya membiarkannya beroperasi di jaringan korporat tanpa pengaman. MXC adalah upaya Microsoft untuk menembus paradoks ini—bukan dengan mengurangi kemampuan agen, tetapi dengan membuat lingkungan di mana mereka beroperasi menjadi lebih terkontrol.
Kenapa setiap agen AI otonom bisa menjadi insiden keamanan yang menunggu terjadi
Untuk memahami pentingnya MXC, mari kita lihat apa yang sebenarnya dilakukan agen AI saat berjalan di komputer Anda. Berbeda dengan aplikasi tradisional yang beroperasi dalam batasan yang sudah dipahami—seperti pengolah kata yang membaca dan menulis dokumen, atau browser yang mengambil halaman web—sebuah agen AI, secara desain, tidak dapat diprediksi. Ia menerima tujuan dalam bahasa alami, mempertimbangkan cara untuk mencapainya, lalu mengambil tindakan: membuka file, menjalankan kode, memanggil API, menjelajah web, serta berinteraksi dengan perangkat lunak lain. Setiap interaksi ini menciptakan yang disebut profesional keamanan sebagai “permukaan serangan.”
Blog resmi Microsoft menggambarkan tantangan ini dengan tegas. Mereka menulis bahwa “seiring agen menjadi semakin cakap dan otonom, mereka memberikan peningkatan produktivitas yang signifikan. Namun, mereka juga memperkenalkan risiko baru, dan masalahnya bukan hanya pada agen itu sendiri, tetapi pada seluruh sistem tempat agen beroperasi.” Setiap interaksi antara agen dan manusia, alat, aplikasi, model, serta agen lainnya “membuka permukaan serangan baru dan memperkenalkan berbagai mode kegagalan.” Microsoft menggambarkan ini sebagai “masalah sistem multi-layer.”
Ini bukanlah masalah teoretis. Dalam beberapa bulan menjelang Build, para peneliti keamanan menunjukkan banyak cara di mana agen AI dapat dimanipulasi—melalui injeksi prompt, melalui panggilan alat jahat, hingga eksfiltrasi data yang disamarkan sebagai alur kerja normal. Bagi perusahaan yang menangani data sensitif, model berhak, dan informasi yang terregulasi, ketidakadaan lingkungan eksekusi yang terpercaya telah menjadi rintangan terbesar untuk memindahkan agen dari demonstrasi ke penerapan.
Jawaban Microsoft adalah sandbox yang dapat diskalakan dari satu proses ke virtual machine penuh
MXC bekerja berdasarkan prinsip sederhana: tetapkan apa yang bisa dilakukan agen sebelum dijalankan, dan biarkan sistem operasi menegakkan deklarasi tersebut saat runtime. Seorang pengembang atau administrator TI menulis kebijakan yang menentukan file, direktori, dan sumber daya jaringan apa yang diperbolehkan diakses oleh agen. MXC kemudian menciptakan lingkungan eksekusi yang terkurung—sandbox yang menegakkan batasan tersebut terlepas dari apa yang coba dilakukan agen.
Keunikan MXC, dan potensi kekuatannya, terletak pada beragam opsi isolasinya. Microsoft merancang sistem agar satu SDK dan model kebijakan dapat dipetakan ke konstruk isolasi yang sesuai untuk setiap beban kerja. Untuk asisten pengkodean ringan yang hanya perlu membaca direktori proyek saat ini, isolasi proses yang cepat mungkin sudah cukup. Sedangkan bagi agen otonom yang menjalankan kode sembarangan yang diunduh dari internet, micro-VM penuh mungkin diperlukan. Sistem ini dirancang untuk dapat “dibentuk dinamis berdasarkan niat dan risiko,” yang berarti tingkat isolasi dapat disesuaikan berdasarkan apa yang sebenarnya dilakukan agen, bukan hanya kategori yang mereka tempati.
Isolasi sesi adalah fitur penting yang sangat diperhatikan. MXC memisahkan eksekusi agen dari desktop pengguna, clipboard, antarmuka pengguna, dan perangkat input. Ini langsung mengurangi beberapa jenis serangan yang diidentifikasi peneliti keamanan sebagai berbahaya bagi agen AI, seperti spoofing UI, di mana agen memanipulasi apa yang dilihat pengguna untuk mengecoh mereka dalam menyetujui tindakan berbahaya; injeksi input, di mana agen mengirimkan keystroke atau klik mouse ke aplikasi lain; serta kebocoran data antar sesi, di mana informasi dari sesi pengguna satu bocor ke sesi pengguna lain.
Demontrasi langsung menunjukkan agen AI mencoba menghapus file—dan gagal karena OS tidak mengizinkannya
Selama pertemuan pra-pengumuman dengan VentureBeat, seorang pengembang Microsoft memberikan demonstrasi yang menjelaskan teknologi ini dengan jelas. Ia telah menyiapkan kerangka agen sumber terbuka OpenClaw yang berjalan di dalam sandbox MXC di mesin pengembangannya. Ia kemudian memberi instruksi kepada agen untuk menghapus semua file di desktopnya. Agen tersebut mencoba untuk melakukannya—tetapi sandbox mencegahnya. “Jika Anda melihat desktop saya di sini, Anda dapat melihat betapa bersihnya desktop saya,” kata pengembang tersebut. “Itu adalah kebohongan.” File-file tersebut, ia jelaskan, aman sepenuhnya karena “kontainer tidak akan membiarkan itu.”
Demonstrasi ini melanjutkan, menunjukkan seberapa detail kontrol yang dimiliki MXC. Pengguna dapat menandai file tertentu sebagai hanya-baca untuk agen, membatasi akses ke browser dan tangkapan layar, mengontrol apakah agen dapat melihat data lokasi, dan seluruh izin ini dikelola secara terpusat oleh departemen TI perusahaan melalui kebijakan Intune. Agen beroperasi dalam apa yang efektif seperti cermin satu arah: ia dapat melakukan pekerjaan yang diminta, tetapi tidak dapat melihat atau menyentuh apa pun di luar batas yang ditetapkan oleh kebijakan.
Pavan Davuluri, Wakil Presiden Eksekutif Microsoft untuk Windows dan Perangkat, menekankan selama pra-pengumuman bahwa prinsip-prinsip yang diperkenalkan MXC—keamanan, penampungan, isolasi, dan kontrol pengguna—sangat penting untuk menjadikan agen AI layak secara komersial.
Ia menekankan bahwa kemampuan ini “tidak unik untuk OpenClaw” dan bahwa “pola ini berulang terus-menerus” untuk agen mana pun yang berjalan di perangkat Windows. Primitif yang ada di sistem operasi kini “untuk file seputar keamanan, penampungan, isolasi, dan kontrol pengguna,” ujarnya, adalah apa yang akan membuat agen aman untuk konsumen biasa dan penerapan perusahaan.
Integrasi Defender, Entra, Intune, dan Purview yang tiba di bulan Juli mengubah MXC menjadi kontrol penerbangan perusahaan
Bagi departemen TI perusahaan, elemen paling signifikan dari pengumuman MXC bukanlah SDK itu sendiri tetapi integrasinya dengan tumpukan keamanan perusahaan Microsoft yang ada melalui apa yang disebut perusahaan sebagai Agent 365. Akan hadir dalam pratinjau pada bulan Juli, Agent 365 menggabungkan layanan identitas Microsoft Entra dan platform manajemen perangkat Intune di atas MXC, sehingga administrator TI dapat mengatur penampungan agen secara terpusat sementara pengembang memilih tingkat isolasi yang dibutuhkan beban kerja mereka.
Integrasinya lebih jauh: Microsoft Defender akan menyediakan perlindungan ancaman saat runtime, Entra akan menangani manajemen identitas dan akses, Intune akan menegakkan kebijakan tingkat perangkat, dan Microsoft Purview akan memperluas kemampuan tata kelola data dan kepatuhan terhadap aktivitas agen. Ini berarti bahwa sebuah perusahaan bisa, secara teori, membolehkan karyawan menjalankan agen AI di mesin korporasi mereka—bahkan agen yang kuat dan otonom yang menjalankan kode dan mengelola file—sambil mempertahankan tingkat visibilitas dan kontrol yang sama yang dimiliki departemen TI saat ini terhadap aplikasi tradisional.
Microsoft menggambarkan lapisan identitas dalam blog resminya: “Windows memberi agen ID lokal atau identitas yang disediakan cloud yang didukung oleh Entra dan mengatribusikan semua aktivitas dari kontainer tersebut ke identitas itu, sehingga Anda dapat jelas membedakan antara tindakan manusia dan tindakan agen.” Bagi industri yang teratur—layanan keuangan, kesehatan, dan pemerintah—kemampuan untuk menghasilkan jejak audit yang membedakan antara tindakan manusia dan tindakan agen di mesin yang sama bisa menjadi persyaratan regulasi, bukan hanya fitur yang menarik untuk dimiliki. Setiap tindakan agen yang dapat diatribusikan ke identitas tertentu, setiap batasan penampungan yang dapat diberlakukan melalui infrastruktur kebijakan yang sudah mengatur ratusan juta perangkat Windows—ini adalah arsitektur yang bisa membawa agen AI dari program pilot ke produksi.
OpenAI, Nvidia, Manus, dan Nous Research sudah membangun di atas MXC—dan ini mengubah perhitungan
Pengumuman platform di konferensi pengembang sering kali bersifat aspiratif. Apa yang membedakan peluncuran MXC adalah luasnya dan spesifiknya mitra yang sudah mulai membangun di atasnya. Microsoft menyebut lima: OpenAI, Nvidia, Manus, Nous Research (pembuat agen Hermes), dan proyek sumber terbuka OpenClaw. Masing-masing mengintegrasikan MXC dengan cara yang berbeda untuk memperjelas berbagai kasus penggunaan bagi teknologi ini.
Keterlibatan OpenAI sangat mencolok. David Wiesen, anggota staf teknis OpenAI, menyatakan bahwa “bekerja sama dengan Microsoft pada Microsoft Execution Containers (MXC) memungkinkan kami menjelajahi pola baru bagi agen AI untuk secara aman dan efisien menghasilkan dan menjalankan kode.” Ia menambahkan bahwa dengan menggabungkan kemampuan Codex dengan lingkungan eksekusi MXC, tujuannya adalah “membantu pengembang bergerak dari niat ke eksekusi yang dapat diandalkan lebih cepat, sambil mempertahankan keamanan dan kontrol yang dibutuhkan perusahaan.” Referensi kepada Codex—agen generasi kode OpenAI—menunjukkan bahwa MXC bisa menjadi lingkungan eksekusi default untuk salah satu produk agen yang paling dinanti di industri.
Nvidia membawa kerangka OpenShell-nya ke Windows yang dibangun di atas MXC, menyediakan apa yang digambarkan Microsoft sebagai “paket mudah-deploy untuk agen yang otonom dan selalu aktif dengan aman.” Manus, startup agen AI yang mendapatkan perhatian viral lebih awal tahun ini, juga sedang berintegrasi. Tao Zhang, Chief Product Officer Manus, mengatakan bahwa MXC “memberi pengembang cara yang berbasis kebijakan untuk mendefinisikan apa yang bisa diakses agen dan menegakkan batasan tersebut pada runtime, sehingga agen yang lebih otonom dapat beroperasi dengan aman dalam lingkungan perusahaan.” Dillon Rolnick, CEO Nous Research, memberikan penjelasan ringkas mengapa MXC sangat penting: “Agen lokal yang berjalan terus-menerus, seperti Hermes Agent, membutuhkan isolasi yang disengaja. Pengembang perlu kontrol atas apa yang dapat diakses agen serta mempercayai bahwa kontrol tersebut akan bekerja.”
Bagaimana kerangka agen sumber terbuka menjadi ladang uji Microsoft untuk keamanan AI di Windows
Salah satu cerita menarik di balik pengumuman MXC melibatkan OpenClaw. Selama pra-pengumuman pers, seorang pengembang Microsoft menggambarkan bagaimana kemitraan ini berkembang secara organik—Peter Steinberger, pencipta OpenClaw, mengirim pesan langsung kepadanya pada bulan Januari yang menyatakan ketertarikan untuk berkolaborasi. Apa yang dimulai sebagai obrolan santai menjadi kemitraan platform yang komprehensif, dengan pengembang Microsoft memberikan kontribusi pada aplikasi pendamping Windows OpenClaw, yang dibangun sebagai aplikasi WinUI asli alih-alih aplikasi web terbungkus.
Integrasi OpenClaw berfungsi sebagai apa yang disebut Scott sebagai “aplikasi uji terbaik untuk semua hal yang sedang dibuat [tim platform Windows].” Jika OpenClaw—yang secara alami memberi agen kebebasan yang luas untuk menjalankan tugas di mesin pengguna—dapat berjalan dengan aman dalam batasan penampungan MXC, maka sistem penampungan tersebut sudah cukup kuat untuk agen mana pun. Scott menjelaskan filosofi di balik pekerjaan tersebut: “Pikirkan OpenClaw Windows sebagai aplikasi uji tertinggi… Jika OpenClaw dapat berhasil di Windows, itu berarti dukungan untuk Linux ada, dukungan kontainer ada, penampungan ada.”
Aplikasi pendamping ini mendemonstrasikan seluruh spektrum kontrol perusahaan MXC—izin file, akses jaringan, batasan tangkapan layar, data lokasi—semua dapat dikelola secara terpusat melalui kebijakan Intune. Microsoft mendonasikan proyek ini kepada OpenClaw dan berencana untuk terus berkontribusi sebagai sumber terbuka. Seperti yang diungkapkan salah satu anggota tim kepemimpinan Windows selama pengarahan: “Semua agen, semua datang, semua orang diterima di Windows… Ini bakal berjalan dengan baik di Windows, karena primitifnya ada.”
Membangun penampungan ke dalam OS memberi Microsoft keunggulan strategis atas taman terlarang Apple dan model cloud-first Google
MXC tiba di saat industri teknologi menghadapi ketegangan mendasar. Agen AI mungkin mewakili kategori baru perangkat lunak yang paling signifikan sejak aplikasi mobile, dan setiap perusahaan teknologi besar berlomba untuk membangunnya. Namun, infrastruktur keamanan dan tata kelola yang diperlukan untuk menerapkan agen ini secara bertanggung jawab di lingkungan perusahaan hampir tidak ada. Pendekatan Microsoft sangat berbeda karena menempatkan lapisan kepercayaan di level sistem operasi daripada di kerangka agen, penyedia model, atau produk keamanan pihak ketiga.
Ini adalah pilihan arsitektural yang disengaja. Dengan membangun penampungan dalam Windows itu sendiri, Microsoft memastikan bahwa jaminan keamanan berlaku terlepas dari agen, model, atau kerangka kerja mana yang dipilih oleh pengembang.
Ini juga berarti bahwa ratusan juta perangkat Windows yang sudah dikelola melalui Intune dan diamankan melalui Defender dapat, pada prinsipnya, menjadi siap agen melalui pembaruan perangkat lunak daripada penerapan yang memerlukan penggantian total.
Pendekatan Apple terhadap agen AI sangat bergantung pada ekosistem taman terlarang mereka, menawarkan keamanan melalui pembatasan—membatasi agen yang dapat berjalan dan apa yang dapat mereka lakukan. Pendekatan Google, yang berpusat pada infrastruktur cloud-nya, menawarkan keamanan melalui sentralisasi. Pendekatan Microsoft menawarkan keamanan melalui deklarasi dan penegakan—memungkinkan agen mana pun untuk beroperasi, tetapi membatasi dampaknya melalui kebijakan level OS.
Bagi perusahaan yang beroperasi dalam lingkungan heterogen dengan berbagai alat dan beberapa penyedia AI, model Microsoft mungkin terbukti paling praktis. Dinamika persaingan sudah mulai berubah: dengan Codex OpenAI, OpenShell Nvidia, dan kerangka agen independen seperti Manus serta Hermes semua membangun di atas MXC, Microsoft sedang memposisikan Windows tidak hanya sebagai platform tempat agen berjalan, tetapi juga sebagai platform di mana agen bisa dipercaya untuk beroperasi.
Bagian tersulit bukan membangun sandbox—tetapi menulis kebijakan yang ada di dalamnya
MXC sekarang tersedia dalam pratinjau awal, yang berarti pengembang dapat mulai membangun berdasarkan SDK dan menguji kebijakan penampungan. Integrasi dengan Agent 365 bersama Defender, Entra, Intune, dan Purview direncanakan untuk pratinjau pada bulan Juli—sebuah garis waktu yang cukup agresif, yang menunjukkan bahwa banyak pekerjaan teknik sudah selesai, tetapi cukup jauh untuk memungkinkan perbaikan berdasarkan umpan balik pengembang.
Namun, ujian sebenarnya akan datang ketika perusahaan mulai menerapkan agen secara luas di jaringan produksi. Penampungan hanya sebaik kebijakan yang mengaturnya, dan menulis kebijakan agen yang efektif untuk lingkungan perusahaan yang kompleks akan menjadi disiplin baru—yang belum dikembangkan oleh departemen TI dan belum ada vendor yang menemukan cara untuk mengajarkannya. Teknologinya menjanjikan, tetapi sandbox kosong hanyalah kotak kosong. Mengisinya dengan aturan yang tepat, untuk agen yang tepat, dalam konteks yang tepat, akan membutuhkan tingkat kedewasaan organisasi yang belum banyak dipertimbangkan oleh kebanyakan perusahaan.
Meski begitu, pentingnya apa yang diumumkan Microsoft pada hari Selasa sulit untuk dipandang sepele. Untuk pertama kalinya, seorang vendor sistem operasi besar telah mengusulkan jawaban yang komprehensif, di tingkat kernel, mengenai bagaimana perangkat lunak AI otonom harus dibatasi, diidentifikasi, dan diatur di perangkat di mana sebagian besar pekerjaan di dunia sebenarnya dilakukan. Industri telah menghabiskan dua tahun mengajarkan agen untuk bertindak. Microsoft sekarang bertaruh bahwa bisnis yang lebih besar—dan masalah teknik yang lebih sulit—adalah mengajarkan sistem operasi untuk mengawasi.
