「Microsoft Execution Containers」(MXC)が早期プレビュー
米Microsoftは6月2日(現地時間)、開発者カンファレンス「Build 2026」で、「Microsoft Execution Containers」(MXC)を発表した。AIエージェントなどをホスト環境から隔離し、安全に実行するためのサンドボックスシステムで、Windows、Mac、Linuxをサポートする。
「MXC」は、大きく分けてアプリケーション層、コア、隔離バックエンド層、実行環境の4つからなる。開発言語にはRustとTypeScriptが採用されている。各層の役割は以下の通り。
アプリケーション層:ユーザーが扱うコマンドラインツール(wxc-exec.exe)、TypeScript SDK「MXC」コア:JSONベースでポリシーを管理、バックエンドの統括(オーケストレーション)とライフサイクル管理(展開→スタート→実行→停止→撤収)隔離バックエンド層:複数のバックエンドを選べる
►Windows:ProcessContainer(既定)、Windows Sandbox、WSL container、MicroVM、HyperLight、isolation_session
►Linux:Bubblewrap(既定)、LXC、MicroVM、HyperLight
►macOS:Seatbelt実行環境(サンドボックス):ファイルシステム、ネットワーク、クリップボードを含むUIなどをポリシーに従って制限し、AIモデルの出力、プラグイン、ツールといった信頼できないコードをホスト環境から隔離して実行
エージェントがアクセスできるファイルやネットワークなどは開発者がJSON形式で宣言的に定義でき、サンドボックスで実行する際に「MXC」がエージェントに強制する。サンドボックスはプロセスレベルの軽量な隔離から、仮想マシン(VM)による強い隔離まで、用途とリスクに応じて使い分けられる。
Microsoftは「MXC」を、以下のように自社の「Agent 365」やパートナーの製品とも統合していく方針。
Agent 365との統合:「Defender」「Entra」「Intune」「Purview」による保護をエージェントへ適用可能に。7月にプレビュー「OpenClaw」がMXCでWindowsをネイティブサポート:「OpenClaw」のWindowsノードとゲートウェイが「MXC」コンテナー上で動作するため、システムを安全に保てるNVIDIAの「OpenShell」:「MXC」をベースに自律型の常時オンエージェントをデプロイ可能に
「OpenClaw」などを安全に隔離
MXCのサンドボックスの設定
なお、現時点ではまだ早期プレビューという扱いだ。生成されるポリシーが必要以上に緩いケースが残っているほか、仕様もまだ変更される可能性があり、「MXC」に頼ったセキュリティ設計は望ましくないという点には十分注意したい。