Windows 11: Microsoft ammette i rischi dell'IA, ma insiste sull'integrazione

Microsoft ha più volte dichiarato che in futuro Windows 11 ospiterà sempre più agenti IA per automatizzare diverse attività. Tuttavia, documenti interni rivelano che questi algoritmi possono generare risultati inattesi, agire in modo imprevedibile e persino diventare strumenti per attacchi hacker. Nonostante ciò, il colosso del software continua a sviluppare funzionalità basate su agenti IA in Windows 11.

Se Microsoft considera gli agenti IA così rischiosi da richiedere account separati, sessioni isolate e registri di controllo per proteggerli da accessi non autorizzati, è difficile capire perché Windows 11 sia il banco di prova per questa tecnologia. Soprattutto considerando la crescente insofferenza degli utenti verso l'integrazione pervasiva dell'IA nel sistema operativo.

Già a metà ottobre, Microsoft aveva annunciato l'ambizioso progetto di trasformare ogni PC con Windows 11 in una macchina potenziata dall'intelligenza artificiale, presentando diverse integrazioni IA per consentire agli utenti di "comunicare" con il PC, mostrare all'IA il contenuto dello schermo e delegare azioni. L'obiettivo è sostituire tasti e clic del mouse con il linguaggio naturale, partendo dall'implementazione di Copilot Voice, Copilot Vision e Copilot Actions.

Le recenti modifiche al sistema operativo trasformano la barra delle applicazioni di Windows 11 in un hub per il sottosistema IA. Il campo di ricerca è stato sostituito dall'interfaccia Ask Copilot, che permette di avviare agenti IA o l'assistente Copilot con un semplice clic o comando testuale. Gli agenti operano in background, con la possibilità di monitorare i progressi direttamente dalla barra delle applicazioni, come se fossero normali applicazioni. Sebbene le funzionalità IA siano attualmente opzionali e limitate, la roadmap di Microsoft indica chiaramente che il calcolo tramite agenti rappresenta la prossima fase evolutiva di Windows.

Un aspetto positivo è che Microsoft non nasconde i potenziali rischi. La documentazione ufficiale ammette che gli agenti IA "hanno limitazioni funzionali nel loro comportamento, a volte possono avere allucinazioni e produrre risultati imprevedibili".

Inoltre, gli agenti IA sono vulnerabili ad attacchi di iniezione di prompt interprogramma (XPIA), prompt dannosi e malware. Microsoft teme particolarmente gli attacchi XPIA, in cui un aggressore nasconde istruzioni malevole all'interno di elementi dell'interfaccia utente, documenti o applicazioni con cui l'agente interagisce. Questo potrebbe consentire di reindirizzare le istruzioni originali dell'agente e costringerlo a eseguire azioni dannose, come la copia di dati sensibili.

Gli esperti di sicurezza informatica hanno già avvertito che gli agenti IA che operano tramite interfaccia grafica sono vulnerabili a tali attacchi, poiché per svolgere i loro compiti ricevono privilegi elevati sul dispositivo. Microsoft ne è consapevole, ma non rinuncia all'idea di implementare ulteriormente gli agenti IA. È evidente che gli utenti, già preoccupati per la funzione Recall, considerata un incubo per la privacy, non accoglieranno con favore gli agenti IA, che rappresentano un pericolo ancora maggiore.

Microsoft sottolinea che gli agenti operano con account separati, hanno autorizzazioni limitate e sono protetti da modifiche non autorizzate alle istruzioni. Tuttavia, concede loro il diritto di leggere e scrivere nelle cartelle personali dell'utente, come "Documenti", "Download", "Immagini", "Video" e altro.

"Contenuti dannosi incorporati in elementi dell'interfaccia utente o documenti possono sovrascrivere le istruzioni dell'agente, portando a azioni indesiderate, tra cui l'estrazione di dati e l'installazione di malware", avverte Microsoft. "Consigliamo di consultare queste informazioni e comprendere le implicazioni per la sicurezza derivanti dall'attivazione dell'agente sul computer".

Se Microsoft vuole che gli agenti IA interagiscano con applicazioni e file come utenti reali, deve evitare un collasso del sistema. Per questo, gli sviluppatori hanno creato Agent Workspace, la base del "sistema operativo ad agenti". Tutte le promesse dell'azienda, inclusi gli algoritmi IA in grado di interagire con le applicazioni, modificare e spostare file ed eseguire attività complesse, sono possibili perché Windows 11 può creare sessioni isolate per il lavoro degli agenti. Non si tratta di una macchina virtuale, ma di un ambiente Windows parallelo con un proprio account, desktop, albero di processi e autorizzazioni limitate.

Fornire uno spazio di lavoro separato per gli agenti IA è il primo tentativo di Microsoft di dare loro un "luogo in cui esistere" all'interno di Windows, senza consentire l'accesso alla sessione utente. Ogni agente riceve un account separato sul PC e Windows controlla questi account, consentendo solo le azioni esplicitamente autorizzate dall'utente. Queste restrizioni sono la risposta di Microsoft ai timori sollevati dalla stessa azienda.

All'interno dello spazio isolato, l'agente IA interagisce con le applicazioni come un utente: può premere pulsanti, inserire testo nei campi, scorrere pagine, spostare file e altro. L'IA gestisce la logica dietro queste azioni. La funzione Copilot Actions utilizza già questo modello: invece di rivolgersi a un modello IA nel cloud, ad esempio per la generazione di testo, l'agente esegue autonomamente i passaggi utilizzando il software installato sul PC.

Per questo Microsoft dedica sessioni separate. Se un agente IA interpreta male un prompt o se istruzioni dannose sono contenute in un oggetto con cui interagisce, il danno è tecnicamente limitato allo spazio controllato da Windows, dove ogni azione viene registrata. Questo dovrebbe anche impedire agli agenti di accedere a directory di sistema, archivi di credenziali e cartelle di applicazioni, dove letture o scritture involontarie potrebbero compromettere la funzionalità del prodotto.

Per iniziare a interagire con un agente IA, è necessario attivare le funzioni sperimentali Experimental Agentic Features, disabilitate per impostazione predefinita. "Questa funzione non ha capacità IA proprie, è una funzione di sicurezza per agenti come Copilot Actions. L'attivazione consente di creare un account agente separato e uno spazio di lavoro sul dispositivo, fornendo un ambiente isolato per separare l'attività dell'agente da quella dell'utente", spiega Microsoft.

Per controllare gli accessi, Microsoft utilizza il Model Context Protocol (MCP), presentato come un ponte tra agenti e applicazioni. È così che gli agenti interagiscono con gli strumenti nel sistema. MCP consente all'agente IA di individuare gli strumenti, richiamare le funzioni, leggere i metadati dei file e interagire con i servizi, impedendo l'accesso diretto e fornendo a Windows un punto di controllo centrale per l'autenticazione, l'autorizzazione all'uso degli strumenti e altro. Senza MCP, l'agente IA sarebbe "cieco" e l'Agent Workspace lo manterrebbe al sicuro.

Microsoft non sembra intenzionata a rinunciare all'integrazione dell'IA in Windows. L'azienda vuole che l'interazione degli utenti con l'IA sia il più naturale possibile. La già citata funzione Recall è un esempio di come non si dovrebbe lanciare un prodotto IA in un sistema operativo desktop. La reazione negativa degli utenti è stata così forte che Microsoft è stata costretta a rinviare il lancio della funzione, che registra tutte le azioni dell'utente nel sistema, a rielaborarla e a renderla opzionale.

Tuttavia, è chiaro che Microsoft ha fatto la sua scelta: ricostruire Windows 11 e integrarlo con agenti in grado di svolgere diverse attività. L'azienda è abbastanza audace da ammettere i rischi e abbastanza sicura da andare avanti. Non è escluso che l'avvento dei sistemi operativi ad agenti sia inevitabile. Ogni grande azienda del settore IA si sta muovendo verso un futuro in cui l'IA fa qualcosa di più che semplicemente comunicare con gli utenti.