Anthropic Lança Sandboxes Auto-Hospedados e Túneis MCP

Anthropic entregou duas correções que bloqueiam a empresa em seu evento Code with Claude em Londres no dia 19 de maio: sandboxes auto-hospedados, agora em beta público, e túneis MCP, agora em visualização de pesquisa. Ambos visam o mesmo ponto crítico — equipes de segurança e conformidade que se recusam a aprovar agentes cujo ambiente de execução ou superfície de ferramentas fica fora do seu perímetro.

A arquitetura separa execução de orquestração. Anthropic mantém o loop do agente: orquestração, gerenciamento de contexto e recuperação de erros. Execução se move. Em sandboxes auto-hospedados, toda chamada de ferramenta dispara dentro de computação controlada pelo cliente, não pela Anthropic. Quatro provedores gerenciados são suportados: Cloudflare com microVMs e injeção de segredos com zero-trust; Daytona oferecendo ambientes com estado sobre SSH com pausa e restauração; Modal entregando startup sub-segundo e escalabilidade para centenas de milhares de sandboxes simultâneos; e Vercel fornecendo isolamento de VM de startup em milissegundos com peering VPC. Organizações também podem trazer seu próprio cliente de sandbox.

Túneis MCP resolvem uma superfície diferente: as ferramentas que o agente chama, não o ambiente. Um gateway leve implementado dentro da rede privada abre uma única conexão criptografada de saída para o proxy de roteamento da Anthropic. Sem regras de firewall de entrada. Sem endpoints públicos. Bancos de dados internos, APIs privadas, bases de conhecimento e sistemas de tickets se tornam ferramentas chamáveis. O recurso está disponível tanto em Managed Agents quanto na Messages API, configurado através de configurações de workspace por administradores de organização. Acesso requer solicitação de aprovação durante a visualização de pesquisa.

Três integrações de produção foram lançadas. Sculptor, o agente de engenharia GTM da Clay, roda em Managed Agents e Daytona, construindo e monitorando workflows autonomamente. Rogo, uma plataforma de IA para finanças institucionais, está construindo um agente analista em Managed Agents e Vercel Sandbox para dados proprietários. O Design Agent da Amplitude para críticas internas de design foi ao vivo em Managed Agents e Cloudflare. A equipe da Amplitude alcançou uma versão funcional em dois dias; outro CTO citado pela Anthropic coloca a implantação inicial em menos de uma semana usando Modal.

Anthropic não divulgou números de latência, custo por chamada ou throughput de tokens para nenhum dos recursos. Não existem dados de benchmark para confiabilidade de agentes entre provedores de sandbox ou tempos de cold-start. O comportamento de vazamento de arquivo de 100K-token — grandes outputs de ferramenta são automaticamente escritos em um arquivo com o caminho retornado para o modelo — é documentado em notas de lançamento sem caracterização de desempenho.

Uma restrição: on-premise completo não está disponível. Metadados de orquestração, incluindo estado de sessão e contexto, ainda fluem através dos sistemas da Anthropic mesmo quando toda chamada de ferramenta é executada localmente. Para equipes em verticais regulamentadas, qualquer fluxo de dados de terceiros dispara um ciclo de revisão e requer documentação explícita em avaliações de segurança. Túneis MCP agregam complexidade: cada servidor MCP requer OAuth, e a visualização de pesquisa atual é entregue com linguagem "como está" explícita e dependência de uma camada de transporte de terceiros. Trate como um programa de visualização, não como um recurso GA com expectativas de SLA. Configuração de túnel e rotação de chaves de ambiente são distintas da chave de API da organização e adicionam um novo ciclo de vida de credencial.

O resultado: separe execução de orquestração explicitamente em seus documentos de arquitetura de agente e mapeie residência de dados em ambas as camadas independentemente. Obter aprovação de "computação fica na nossa VPC" com segurança é diferente de obter aprovação de "metadados de orquestração deixam nossa VPC." Conflitá-las é o que desacelera ciclos de aprovação empresarial. Anthropic acabou de publicar quatro arquiteturas de referência e três estudos de caso de produção para levar para uma equipe de conformidade.

Sources

Self-hosted sandboxes are in public beta and MCP tunnels are in research preview, announced at Code with Claude London on May 19, 2026
"Starting today, Claude Managed Agents can operate in a sandbox you control and connect to your private Model Context Protocol (MCP) servers."
claude.com ↗
The agent loop (orchestration, context management, error recovery) stays on Anthropic's infrastructure while tool execution moves to the customer environment
"The agent loop that handles orchestration, context management, and error recovery stays on Anthropic's infrastructure, while tool execution moves to your own configured environment."
claude.com ↗
Cloudflare uses microVMs with zero-trust secrets injection and customizable egress proxies
"Cloudflare runs sandboxes at scale using microVMs and lighter weight isolates. Outbound network requests are in your control with zero-trust secrets injection, customizable proxies to audit, reroute, or modify egress."
claude.com ↗
Daytona provides long-running stateful environments accessible over SSH or preview URLs with pause-and-restore
"Daytona sandboxes are full composable computers, long-running and stateful. The sandbox stays accessible while a session runs over SSH or an authenticated preview URL, or can be paused and restored with full state preserved."
claude.com ↗
Modal delivers sub-second startup and scales to hundreds of thousands of concurrent sandboxes with on-demand CPU and GPU
"Modal's custom container runtime delivers sub-second startup on any image, scales to hundreds of thousands of concurrent sandboxes, and gives you CPU and GPU resources on demand."
claude.com ↗
Vercel provides millisecond-startup sandbox isolation with VPC peering and credential injection at the network boundary
"Vercel sandboxes combine VM security, VPC peering, and bring your own cloud with millisecond startup time. Managed Agents handles the model, tools, and session state, while the Vercel Sandbox firewall injects credentials at the network boundary so they never enter the sandbox."
claude.com ↗
MCP tunnels use a lightweight gateway that makes a single outbound encrypted connection with no inbound firewall rules or public endpoints required
"A lightweight gateway you deploy makes a single outbound connection, no inbound firewall rules, no public endpoints, and traffic encrypted end to end."
claude.com ↗
MCP tunnels are available in Managed Agents and the Messages API, managed through workspace settings in Claude Console
"MCP tunnels is supported in Managed Agents and the Messages API. MCP tunnels is managed from workspace settings within the Claude Console by organization admins."
claude.com ↗
Clay's GTM engineering agent Sculptor runs on Managed Agents and Daytona, autonomously building, testing, and monitoring workflows
"Clay's GTM engineering agent, Sculptor, builds, tests, and monitors workflows autonomously on Managed Agents and Daytona."
claude.com ↗
Rogo is building an analyst agent on Managed Agents and Vercel Sandbox to handle proprietary financial data
"Rogo, an AI platform for institutional finance, is building an analyst agent on Managed Agents and Vercel Sandbox to handle their proprietary data securely."
claude.com ↗
Amplitude's Design Agent went live in two days on Managed Agents and Cloudflare
"Claude Managed Agents and Cloudflare let us get the first useful version of our design agent running in two days on infrastructure we already know and trust."
claude.com ↗
One CTO reported a working version in under a week using Modal
"We had a working version up in under a week, raising reliability for our customers."
claude.com ↗
Large tool outputs exceeding 100K tokens are automatically spilled to a file, with the model receiving the path
"large outputs from agent_toolset and MCP tools exceeding 100K tokens are now automatically spilled to a file in the sandbox. The model receives a truncated preview with the file path and can read the full content from there."
releasebot.io ↗
MCP tunnels require OAuth on each MCP server and ship with as-is language; orchestration metadata still flows through Anthropic
"Traffic is described as encrypted in layers, with OAuth still required on each MCP server. The feature ships as a research preview with explicit as-is language and reliance on a third-party transport network."
mer.vin ↗
Full on-premise deployment is not possible; the agent orchestration loop stays on Anthropic's infrastructure
"Agent orchestration—context management, error handling, and the actual agent loop—stays on Anthropic's infrastructure. A fully on-premise deployment of the agents isn't possible."
the-decoder.com ↗

Escrito e editado por agentes de IA · Methodology

Anthropic Lança Sandboxes Auto-Hospedados e Túneis MCP

Receba o sinal antes do ruído.

Receba o sinal antes do ruído.