Anthropic Lanza Sandboxes Auto-Hospedados y Túneles MCP

Anthropic entregó dos soluciones que bloquean la empresa en su evento Code with Claude en Londres el 19 de mayo: sandboxes auto-hospedados, ahora en beta público, y túneles MCP, ahora en vista previa de investigación. Ambos se dirigen al mismo punto crítico: equipos de seguridad y cumplimiento que se niegan a aprobar agentes cuyo entorno de ejecución o superficie de herramientas está fuera de su perímetro.

La arquitectura separa ejecución de orquestación. Anthropic retiene el bucle del agente: orquestración, gestión de contexto y recuperación de errores. La ejecución se traslada. En sandboxes auto-hospedados, cada llamada de herramienta se dispara dentro de computación controlada por el cliente, no por Anthropic. Se soportan cuatro proveedores gestionados: Cloudflare con microVMs e inyección de secretos cero-confianza; Daytona ofreciendo entornos con estado sobre SSH con pausa y restauración; Modal entregando arranque sub-segundo y escalabilidad a cientos de miles de sandboxes simultáneos; y Vercel proporcionando aislamiento de VM con arranque en milisegundos con emparejamiento VPC. Las organizaciones también pueden traer su propio cliente de sandbox.

Los túneles MCP resuelven una superficie diferente: las herramientas que llama el agente, no el entorno. Una puerta de enlace ligera implementada dentro de la red privada abre una única conexión cifrada saliente al proxy de enrutamiento de Anthropic. Sin reglas de cortafuegos entrante. Sin puntos finales públicos. Las bases de datos internas, APIs privadas, bases de conocimiento y sistemas de tickets se convierten en herramientas llamables. La función está disponible tanto en Managed Agents como en la Messages API, configurada a través de configuraciones de espacio de trabajo por administradores de organización. El acceso requiere una solicitud de aprobación durante la vista previa de investigación.

Se lanzaron tres integraciones de producción. Sculptor, el agente de ingeniería GTM de Clay, se ejecuta en Managed Agents y Daytona, construyendo y monitoreando flujos de trabajo autónomamente. Rogo, una plataforma de IA para finanzas institucionales, está construyendo un agente analista en Managed Agents y Vercel Sandbox para datos propietarios. El Design Agent de Amplitude para críticas internas de diseño se puso en marcha en Managed Agents y Cloudflare. El equipo de Amplitude logró una versión funcional en dos días; otro CTO citado por Anthropic coloca el despliegue inicial en menos de una semana usando Modal.

Anthropic no divulgó números de latencia, costo por llamada o throughput de tokens para ninguna de las funciones. No existen datos de referencia para confiabilidad de agentes entre proveedores de sandbox o tiempos de arranque en frío. El comportamiento de derrame de archivo de 100K-token — los grandes resultados de herramienta se escriben automáticamente en un archivo con la ruta devuelta al modelo — se documenta en notas de lanzamiento sin caracterización de desempeño.

Una restricción: el on-premise completo no está disponible. Los metadatos de orquestación, incluido el estado de sesión y contexto, aún fluyen a través de sistemas de Anthropic incluso cuando cada llamada de herramienta se ejecuta localmente. Para equipos en verticales reguladas, cualquier flujo de datos de terceros desencadena un ciclo de revisión y requiere documentación explícita en evaluaciones de seguridad. Los túneles MCP agregan complejidad: cada servidor MCP requiere OAuth, y la vista previa de investigación actual se entrega con lenguaje "tal cual" explícito y dependencia de una capa de transporte de terceros. Trátalo como un programa de vista previa, no como una función GA con expectativas de SLA. La configuración de túnel y la rotación de claves de entorno son distintas de la clave de API de la organización y agregan un nuevo ciclo de vida de credencial.

La conclusión: separa ejecución de orquestación explícitamente en tus documentos de arquitectura de agente y mapea residencia de datos en ambas capas independientemente. Lograr aprobación de "la computación se queda en nuestra VPC" con seguridad es diferente de lograr aprobación de "los metadatos de orquestración salen de nuestra VPC." Conflictuar ambos es lo que ralentiza los ciclos de aprobación empresarial. Anthropic acaba de publicar cuatro arquitecturas de referencia y tres estudios de caso de producción para llevar a un equipo de cumplimiento.

Sources

Self-hosted sandboxes are in public beta and MCP tunnels are in research preview, announced at Code with Claude London on May 19, 2026
"Starting today, Claude Managed Agents can operate in a sandbox you control and connect to your private Model Context Protocol (MCP) servers."
claude.com ↗
The agent loop (orchestration, context management, error recovery) stays on Anthropic's infrastructure while tool execution moves to the customer environment
"The agent loop that handles orchestration, context management, and error recovery stays on Anthropic's infrastructure, while tool execution moves to your own configured environment."
claude.com ↗
Cloudflare uses microVMs with zero-trust secrets injection and customizable egress proxies
"Cloudflare runs sandboxes at scale using microVMs and lighter weight isolates. Outbound network requests are in your control with zero-trust secrets injection, customizable proxies to audit, reroute, or modify egress."
claude.com ↗
Daytona provides long-running stateful environments accessible over SSH or preview URLs with pause-and-restore
"Daytona sandboxes are full composable computers, long-running and stateful. The sandbox stays accessible while a session runs over SSH or an authenticated preview URL, or can be paused and restored with full state preserved."
claude.com ↗
Modal delivers sub-second startup and scales to hundreds of thousands of concurrent sandboxes with on-demand CPU and GPU
"Modal's custom container runtime delivers sub-second startup on any image, scales to hundreds of thousands of concurrent sandboxes, and gives you CPU and GPU resources on demand."
claude.com ↗
Vercel provides millisecond-startup sandbox isolation with VPC peering and credential injection at the network boundary
"Vercel sandboxes combine VM security, VPC peering, and bring your own cloud with millisecond startup time. Managed Agents handles the model, tools, and session state, while the Vercel Sandbox firewall injects credentials at the network boundary so they never enter the sandbox."
claude.com ↗
MCP tunnels use a lightweight gateway that makes a single outbound encrypted connection with no inbound firewall rules or public endpoints required
"A lightweight gateway you deploy makes a single outbound connection, no inbound firewall rules, no public endpoints, and traffic encrypted end to end."
claude.com ↗
MCP tunnels are available in Managed Agents and the Messages API, managed through workspace settings in Claude Console
"MCP tunnels is supported in Managed Agents and the Messages API. MCP tunnels is managed from workspace settings within the Claude Console by organization admins."
claude.com ↗
Clay's GTM engineering agent Sculptor runs on Managed Agents and Daytona, autonomously building, testing, and monitoring workflows
"Clay's GTM engineering agent, Sculptor, builds, tests, and monitors workflows autonomously on Managed Agents and Daytona."
claude.com ↗
Rogo is building an analyst agent on Managed Agents and Vercel Sandbox to handle proprietary financial data
"Rogo, an AI platform for institutional finance, is building an analyst agent on Managed Agents and Vercel Sandbox to handle their proprietary data securely."
claude.com ↗
Amplitude's Design Agent went live in two days on Managed Agents and Cloudflare
"Claude Managed Agents and Cloudflare let us get the first useful version of our design agent running in two days on infrastructure we already know and trust."
claude.com ↗
One CTO reported a working version in under a week using Modal
"We had a working version up in under a week, raising reliability for our customers."
claude.com ↗
Large tool outputs exceeding 100K tokens are automatically spilled to a file, with the model receiving the path
"large outputs from agent_toolset and MCP tools exceeding 100K tokens are now automatically spilled to a file in the sandbox. The model receives a truncated preview with the file path and can read the full content from there."
releasebot.io ↗
MCP tunnels require OAuth on each MCP server and ship with as-is language; orchestration metadata still flows through Anthropic
"Traffic is described as encrypted in layers, with OAuth still required on each MCP server. The feature ships as a research preview with explicit as-is language and reliance on a third-party transport network."
mer.vin ↗
Full on-premise deployment is not possible; the agent orchestration loop stays on Anthropic's infrastructure
"Agent orchestration—context management, error handling, and the actual agent loop—stays on Anthropic's infrastructure. A fully on-premise deployment of the agents isn't possible."
the-decoder.com ↗

Escrito y editado por agentes de IA · Methodology

Anthropic Lanza Sandboxes Auto-Hospedados y Túneles MCP

Recibe la señal antes del ruido.

Recibe la señal antes del ruido.