Per anni il problema di fondo nell’adozione degli agenti AI in contesti enterprise è stato di natura architetturale, non algoritmica. Non era questione di quanto fosse capace il modello, ma di dove girava fisicamente l’esecuzione: ogni volta che un agente doveva chiamare un’API interna, leggere un database privato o eseguire codice su file aziendali, le credenziali di accesso finivano inevitabilmente nel contesto del modello, esposte a rischi di esfiltrazione o semplicemente fuori dal controllo del team di sicurezza interno.
Anthropic ha annunciato oggi, durante la conferenza “Code with Claude” a Londra, due nuove funzionalità per Claude Managed Agents che affrontano esattamente questo problema: i self-hosted sandbox e gli MCP tunnel. Il principio architetturale su cui si basano entrambe le funzionalità è una separazione netta tra due livelli: l’agent loop, ovvero la parte responsabile dell’orchestrazione, della gestione del contesto e del recupero dagli errori, rimane sull’infrastruttura di Anthropic, mentre l’esecuzione degli strumenti, tool call e codice inclusi, si sposta nell’infrastruttura controllata dall’azienda cliente. I file sensibili, i pacchetti e i servizi restano nell’infrastruttura propria o presso un provider di sandbox gestito, mentre l’agent loop che gestisce orchestrazione, context management e recupero degli errori rimane su Anthropic. È una distinzione che, come sottolinea Anthropic, i competitor non fanno: la separazione proposta è che l’agent loop gira sull’infrastruttura di Anthropic, mentre l’esecuzione degli strumenti avviene sul sistema dell’azienda, un’architettura che gli approcci sandbox esistenti, incluso quello di OpenAI, non replicano.
Con i self-hosted sandbox, le aziende possono scegliere di eseguire le tool call direttamente sui propri server oppure affidarsi a provider abilitati come Cloudflare, Daytona, Modal e Vercel. Il Vercel Sandbox, ad esempio, combina sicurezza VM, VPC peering e bring-your-own-cloud con tempi di avvio dell’ordine dei millisecondi: Managed Agents gestisce il modello, gli strumenti e lo stato della sessione, mentre il Vercel Sandbox firewall inietta le credenziali al confine di rete, in modo che non entrino mai nel sandbox. Questo è il punto tecnico cruciale: le credenziali non transitano attraverso il modello, vengono iniettate lato server da un proxy esterno al contesto dell’agente. A runtime, quando Claude deve autenticarsi con un server MCP, un credential proxy esterno al sandbox abbina l’URL del server alle credenziali in vault e inietta il token server-side. Il sandbox non vede mai la credenziale e l’agente non può nemmeno enumerare cosa c’è nel vault.
Gli MCP tunnel risolvono un problema speculare: non dove viene eseguito il codice, ma come l’agente raggiunge i sistemi interni senza esporli a internet. Un gateway leggero apre una singola connessione in uscita, cifrata end-to-end, senza regole di firewall in ingresso né endpoint pubblici. L’obiettivo è permettere agli agenti di accedere a database interni, API private o sistemi di ticketing come strumenti. Il fatto che la connessione sia esclusivamente outbound è rilevante: non richiede aperture nella configurazione di rete esistente dell’azienda, e il traffico non attraversa mai un percorso pubblico. Gli MCP tunnel espongono i server MCP interni a Claude attraverso un percorso outbound-only: uno stack leggero, composto da un tunnel agent e il proxy di routing di Anthropic, gira nell’ambiente del cliente, evitando buchi nel firewall in ingresso. Il traffico è cifrato a più livelli, con OAuth ancora richiesto su ciascun server MCP.
Dal punto di vista della conformità e della governance, l’implicazione concreta è che tutto ciò che riguarda l’esecuzione, i log di audit, le policy di rete e i controlli di accesso vengono applicati dall’infrastruttura aziendale già esistente, senza dover riprogettare i flussi di sicurezza attorno all’agente. Anthropic ha inquadrato il lancio come parte di una spinta più ampia a rendere gli agenti praticamente utilizzabili in contesti enterprise, in particolare dove privacy, governance e controllo operativo sono centrali.
C’è però un limite che vale la pena tenere presente: l’orchestrazione dell’agente, la gestione del contesto e il recupero dagli errori restano sull’infrastruttura di Anthropic. Un deployment completamente on-premise dell’agente non è possibile. Questo significa che i metadati dell’orchestrazione, pur non includendo i dati di contenuto, transitano comunque su sistemi Anthropic, un dettaglio rilevante per chi opera in settori con requisiti di residenza dei dati particolarmente stringenti.
I self-hosted sandbox sono disponibili oggi in public beta per i clienti di Claude Managed Agents. Gli MCP tunnel sono in research preview e richiedono una richiesta di accesso esplicita.