AIエージェントがファイル操作やコード実行まで自律的に行う時代、従来のアプリ境界ではリスクが足りません。

Microsoft Build 2026(2026年6月2日)で発表された Microsoft Execution Containers(MXC) により、OpenClawなどのエージェントをWindows上でOSレベルのサンドボックス内に閉じ込めて実行できる基盤が整いました。企業PCでも「包含(containment)」付きで動かせる方向性が示されています。

この記事でわかること

  • MXCが解くセキュリティ課題と仕組み
  • OpenClaw on Windowsの連携内容
  • プロセス分離・セッション分離の違い
  • 利用開始の条件と今後のロードマップ

なぜ今、OSレベルの「包含」が必要か

チャットボット型のAIは、質問に答えるだけでした。一方、AIエージェントはファイルの読み書き、シェルでのコード実行、API呼び出し、ブラウザ操作まで、ユーザーの代わりにシステム横断で動きます。挙動は非決定的で、同じプロンプトでも結果が変わります。

このときエージェントがログイン中のユーザー権限をそのまま持つと、誤動作や悪意ある指示でデスクトップ上のファイルが消える、といった被害がユーザーセッション全体に波及します。Microsoftの公式ブログでも、エージェントは「ユーザーセッション全体の権限を持つリスク」に直結すると説明されています(参考)。

VentureBeatの報道では、Build前のデモでOpenClawに「デスクトップのファイルをすべて削除」と指示し、エージェントは試みるもののMXCサンドボックスが阻止した、とあります(参考)。The Vergeも、AIエージェントがユーザーのファイルをすべて削除する事態を防ぐ狙いだと伝えています(参考)。

MXCとは何か

Windows platform security for AI agents
Making Windows the trustworthy OS for agents AI agents are no longer just answering questions, they are taking actions a…
Windows Developer Blog

Microsoft Execution Containers(MXC) は、WindowsおよびWSL向けの、ポリシー駆動型エージェント実行レイヤーです。Build 2026時点では早期プレビューで、単体の購入製品ではなくOSに組み込まれるSDKとポリシーモデルとして位置づけられます。

開発者はエージェントがアクセスしてよい範囲(ファイル、ネットワークなど)を宣言し、Windowsがランタイムで一貫して強制します。低レベルの分離プリミティブを抽象化するため、アプリ側で個別にサンドボックス機構を組み立て直す必要がありません。

Microsoftはこれを Composable sandbox(包含のスペクトラム) と呼びます。同じポリシーモデルが、ワークロードの重さに応じて軽量なプロセス分離から、将来のマイクロVMやLinuxコンテナ、クラウド上の完全分離実行までマッピングされます。

Build 2026で使える包含の段階

早期プレビューで触れる中心は次の2つです。

プロセス分離は軽量で高速です。モデルが生成したコードを実行するコーディングエージェント向けで、GitHub Copilot CLIはすでにMXCのプロセス分離を採用しています。

セッション分離は、エージェント実行を対話デスクトップ、クリップボード、UI、入力デバイス、アクティブセッションから切り離します。UIスプーフィングや入力インジェクション、セッション間のデータ漏洩を抑える狙いです。別ユーザーアカウントでセッションを走らせ、ローカルIDまたはMicrosoft Entra連携のクラウドIDを付与して、人間とエージェントを区別・監査できます。初回リリースは非対話セッションをサポートします。

ロードマップには、ハイパーバイザーによる Micro-VM、WSL経由の Linux containers、クラウドVM側への拡張として Windows 365 for Agents へのMXC統合が挙がっています。Windows 365 for AgentsはBuild時点で一般提供(GA)済みで、侵害時も使い捨てのCloud PCに影響を閉じ込める設計です。

プロセス分離とセッション分離は、Build直後しばらくして Windows Insider ビルドで利用可能になる予定です。

Agent 365との関係

Microsoft Build 2026: Securing code, agents, and models across the development lifecycle | Microsoft Security Blog
Discover how Microsoft enables fast, secure AI development with MDASH and new security capabilities.
Microsoft Security Blog

Agent 365は、Defender、Entra、Intune、Purviewと連携し、ローカルで動くエージェントの検出・管理を担います。2026年5月時点でOpenClawから始まり、GitHub Copilot CLIやClaude Codeへ拡大する方針が示されています。

Build 2026では、Agent 365とWindowsが連携し MXC SDK を提供しました。EntraとIntuneのポリシーでMXC制約をエージェント単位に適用できます。Agent 365とMXCのEntra/Intune統合のプレビューは 2026年7月 予定と、複数の公式ブログに記載があります。IntuneではOpenClawエージェントの一般的な実行方法をブロックするポリシーも可能です。

OpenClaw on Windowsで何が変わったか

Build 2026: Furthering Windows as the trusted platform for development
Build is one of our favorite moments each year - a chance to connect with the global developer community and share what …
Windows Developer Blog

OpenClawは、マルチステップの自律ワークフローを担うオープンソースのAIエージェント基盤です。Build 2026では、OpenClawの nodegateway がMXC上でWindowsネイティブにコンテナ化実行できることが発表されました。

併せて OpenClaw Windows Hub(GitHub: openclaw-windows-node)として、WinUI 3のシステムトレイコンパニオンアプリが提供されます。WebアプリのラップではなくネイティブWinUIで、オンボーディングウィザードやゲートウェイ接続、Web Chat、Telegram/WhatsApp連携などを扱います。Microsoftはプロジェクトへの継続投資を表明し、オープンソースとして維持します。

最新リリース v0.6.0(2026年6月2日公開)では、system.runを MXC AppContainer サンドボックス内で実行する変更や、Node bridgeを wxc-exec.exe 経由に置き換える実装が入っています。設定UIも「Node Sandbox」としてスコープを明示する形に整理されています。

Release v0.6.0 · openclaw/openclaw-windows-node
OpenClaw Windows Hub v0.6.0 Downloads Installer (x64): OpenClawCompanion-Setup-x64.exe - Intel/AMD 64-bit Installer (AR…
GitHub

インストールには OpenClawCompanion-Setup-x64.exe(またはARM64版)を使います。要件はWindows 10 version 1903以降、WebView2 Runtime、ローカルで稼働するOpenClaw gatewayです。Microsoft Build Live BlogではOpenClaw on WindowsをGitHubで Alpha 提供としています。MXC本体の恩恵をフルに受けるには、Windows Insider上の対応ビルドが前提になります。

OpenClaw創設者のPeter SteinbergerはThe Vergeの取材で、社内でOpenClawを実行できる、という趣旨の発言をしています。報道によれば、2026年1月にMicrosoft開発者へ協力の連絡から本格的なプラットフォーム提携に至った経緯もあります。

従来の実行とMXC実行の違い

従来、ローカルエージェントは多くの場合、ログインユーザーと同じセッション・同じ権限で動きます。アプリが「信頼できる」と見なされれば、ユーザーが触れるファイルやUIにもアクセスできます。

MXCでは、エージェントごとにポリシーで境界を宣言し、OSが強制します。ファイルを読み取り専用にする、ブラウザやスクリーンキャプチャ・位置情報を制限する、といった設定をIntuneから中央管理できる、とVentureBeatは報じています。エージェントに強いIDをバインドし、行動を帰属・監査できる点も、企業導入では大きな差になります。

OpenClawに限らず、OpenAIのCodex、NVIDIAのOpenShell、Manus、Nous ResearchのHermesなどもMXC基盤を採用するパートナーとして名を連ねています。Windowsは「エージェント実行の信頼できる土台」として一つのSDKに寄せる構図です。

利用を始めるときの注意点

  • MXC SDK全体は early preview です。本番環境への無条件投入は避け、Insiderや検証用端末で試すのが現実的です。
  • OpenClaw Windows Hub v0.6.0は入手できますが、MXCによる包含の効果は対応するWindowsビルドとセットで確認してください。
  • Agent 365とMXCの統合プレビューは2026年7月以降の話です。今すぐEntra/Intuneで全ポリシーが効くわけではありません。
  • Microsoft Scout(OpenClawベースの別製品)はFrontier限定であり、本記事のMXC+OpenClaw Windows Hubとは別ラインです。

エコシステムの示唆

MXCはOpenClaw専用の仕組みではありません。コーディングエージェントから常時稼働の自律エージェントまで、同じポリシーモデルで包含の強さを選べる設計です。NVIDIAはOpenShellをWindowsに持ち込み、推論ルーティングやPII難読化とMXCを組み合わせるとBuild資料にあります。

AIエージェントを「便利なチャット」から「業務を任せる労働者」へ広げるには、モデルの性能だけでなく、意図した範囲だけを動かす実行基盤が欠かせません。Build 2026のMXC発表は、その実行基盤をWindowsのOS層に置いた宣言だと言えます。OpenClawが最初の顔として並んだことで、個人開発者から企業ITまで、同じ問題意識を共有しやすくなった面もあります。

Windows Developer Blogでは、開発者はMicrosoft Execution Containers SDKを探索し、多くの機能はWindows Insiderビルドで試せると案内されています。エージェントをローカルに置きたい組織は、OpenClawのAlphaビルドとInsiderチャネルの両方をウォッチする価値があります。