Guillem Alsina Gonzàlez
La evolución de las aplicaciones impulsadas por inteligencia artificial ha permitido trascender la mera generación de contenido para abordar la automatización de tareas cotidianas, como la organización de ficheros o la gestión de agendas. En este contexto, herramientas experimentales como las Acciones de Copilot, disponibles en Copilot Labs, actúan como colaboradores digitales capaces de interactuar con la interfaz, pulsando y escribiendo tal y como lo haría un humano.
Para dar soporte a estas capacidades de manera segura, Microsoft ha introducido en Windows una nueva característica experimental denominada espacios de trabajo para agentes, la cual estará disponible próximamente en una versión preliminar privada para desarrolladores dentro del programa Windows Insider. Esta novedad responde a un enfoque escalonado que prioriza el fortalecimiento de la seguridad fundacional antes de una disponibilidad generalizada.
El concepto central de esta arquitectura radica en el aislamiento: un espacio de trabajo para agentes se define como un entorno contenido dentro del sistema operativo donde cada agente opera utilizando su propia cuenta, distinta de la del usuario personal. Esta diferenciación de cuentas establece límites claros, permitiendo una autorización restringida y un aislamiento en tiempo de ejecución.
Técnicamente, y en esta fase inicial, el espacio de trabajo del agente se ejecuta en una sesión de Windows separada, lo que permite que las tareas automatizadas ocurran en paralelo a la sesión del usuario y sin interrumpirla. Desde Microsoft afirman que esta configuración resulta más eficiente en términos de consumo de recursos que ejecutar una máquina virtual completa, como Windows Sandbox, pero mantiene las garantías de seguridad necesarias, ajustando el consumo de memoria y CPU según la actividad.
En lo referente a la gestión de permisos y acceso a la información, las aplicaciones agénticas pueden solicitar acceso de lectura y escritura a carpetas conocidas como Documentos, Descargas o Escritorio dentro del directorio del perfil del usuario. Sin embargo, este acceso no es irrestricto, y se rige por los permisos que poseen todos los usuarios autenticados, pudiendo ser revocado deshabilitando la característica experimental desde la configuración del sistema.
Así mismo, estos agentes tienen visibilidad sobre las aplicaciones instaladas por defecto para todos los usuarios, aunque los administradores de TI pueden limitar este alcance instalando software únicamente para usuarios específicos. Es fundamental destacar que lo que un agente puede ver o tocar no se aplica automáticamente a otros agentes, ya que cada uno posee su propio espacio y permisos independientes.
La integración de capacidades agénticas conlleva riesgos inherentes, como las alucinaciones de los modelos o nuevas amenazas de seguridad como la inyección a través de instrucciones (XPIA), donde contenido malicioso podría alterar el comportamiento del agente. Para mitigar estos vectores de ataque, la arquitectura se ha diseñado bajo principios de mínimo privilegio y autorización explícita del usuario, los agentes no deben ostentar derechos administrativos y sus privilegios deben ser granulares y limitados en el tiempo.
Para ello, se aplica el principio de no repudio, asegurando que todas las acciones del agente sean observables, registrables en un sistema de auditoría a prueba de manipulaciones, y distinguibles de las realizadas por el usuario humano. La activación de estos entornos requiere que un administrador del dispositivo habilite la configuración de características agénticas experimentales, una acción que afecta a todos los usuarios del equipo.
Actualmente, en la versión de desarrollo, existen incidencias conocidas que los responsables de sistemas deben considerar. Por ejemplo, el sistema operativo no entrará en suspensión mientras existan conversaciones activas de Copilot, y es posible que aparezcan advertencias al intentar apagar el equipo indicando que otro usuario está utilizando el PC.
En entornos corporativos que utilizan gestión de privilegios de punto final (Intune) se ha detectado que los perfiles creados para las cuentas de los agentes pueden no eliminarse correctamente tras el cierre de la aplicación, dejando residuos identificables en la carpeta de usuarios.
Desde Microsoft indican que ya están trabajando activamente en subsanar estas incidencias.
