Deutsch

Anthropic hat AI-Agents in Ihre Firewall verlegt: Was Self-Hosted Sandboxes und MCP-Tunnel für CTOs bedeuten

AI-Agent, der innerhalb eines Unternehmenssicherheitsperimeters mit einer einzigen ausgehenden MCP-Tunnelverbindung läuft

Der mit Abstand häufigste Grund, warum AI-Agent-Pilotprojekte in der Sicherheitsprüfung scheitern, ist nicht das Modell. Es ist die Grenze. Und Anthropic hat diese Grenze gerade verschoben.

Am 19. Mai 2026 kündigte Anthropic auf der Veranstaltung Code with Claude London zwei Ergänzungen seiner Claude Managed Agents-Plattform an: Self-Hosted Sandboxes (jetzt in der öffentlichen Beta) und Model Context Protocol (MCP) Tunnel (in der Forschungsvorschau). Laut Anthropics Ankündigung adressieren beide Funktionen dasselbe Grundproblem: Unternehmen wollen autonome Agents, aber ihre Sicherheitsteams erlauben es nicht, dass Agent-Ausführungsumgebungen oder interne Systeme den Unternehmenssicherheitsperimeter verlassen.

Das ist kein Nischenanliegen. Es ist der Einwand, der die meisten Agent-Pilotprojekte in regulierten Branchen beendet, bevor sie überhaupt beginnen. Dieser Release umgeht das Problem nicht. Er beseitigt es.

Was Anthropic tatsächlich ausgeliefert hat

Die beiden Funktionen lösen verwandte, aber unterschiedliche Probleme. Beide zu verstehen ist die Zeit eines Chief Technology Officers (CTO) wert.

Self-Hosted Sandboxes platzieren die Agent-Ausführungsumgebung innerhalb der Grenze des Kunden. Ein Claude Managed Agent läuft innerhalb einer Sandbox, die der Kunde kontrolliert. Sowohl die Umgebung, in der der Agent Tools ausführt, als auch die MCP-Server, mit denen er sich verbindet, bleiben innerhalb der etablierten Sicherheits- und Laufzeitkontrollen des Unternehmens. Der Kunde entscheidet, wo die Sandbox läuft: auf der eigenen Infrastruktur oder über von Anthropic vorab validierte Managed-Compute-Anbieter: Cloudflare, Daytona, Modal oder Vercel. Jeder Anbieter übernimmt Isolierung und Rechenleistung; der Kunde behält die Laufzeitkontrolle und die Sicherheitsrichtlinien.

MCP-Tunnel lösen das ergänzende Problem. Ein Unternehmen kann die Sandbox intern betreiben, muss aber möglicherweise Agents auf Dienste zugreifen lassen, die sich in einem privaten Netzwerk befinden. Der bisherige Ansatz hätte erfordert, ein Loch in die Firewall zu schlagen: einen öffentlichen Endpunkt, eingehende Regeln, exponierte Angriffsfläche. MCP-Tunnel funktionieren anders. Der Kunde installiert ein schlankes Gateway innerhalb seines Netzwerks. Dieses Gateway baut eine einzige ausgehende Verbindung auf. Keine eingehenden Firewall-Regeln. Keine öffentlichen Endpunkte. Der Datenverkehr ist Ende-zu-Ende verschlüsselt. Der Agent in Anthropics Cloud erreicht interne Dienste über diesen ausgehenden Tunnel, nicht über einen exponierten eingehenden Port.

Zusammen ermöglichen die beiden Funktionen eine spezifische Architektur: Der Agent wird innerhalb Ihrer Grenze ausgeführt, erreicht private Systeme ohne diese zu exponieren, und Produktionsdaten müssen nie den Perimeter verlassen, um Anbieter-Infrastruktur zu erreichen.

Key Facts

  • Self-Hosted Sandboxes sind in der öffentlichen Beta: Agents laufen innerhalb der eigenen Unternehmensinfrastruktur oder über Cloudflare, Daytona, Modal oder Vercel (Anthropic, Mai 2026).
  • MCP-Tunnel nutzen eine einzige ausgehende Verbindung von einem kundenseitig installierten Gateway, ohne eingehende Firewall-Regeln und mit Ende-zu-Ende-Verschlüsselung (Anthropic, Mai 2026).
  • Beide Funktionen wurden am 19. Mai 2026 auf Code with Claude London als Ergänzungen zu Claude Managed Agents angekündigt.

Warum der Perimeter das eigentliche Hindernis war

Die meisten CTO-Gespräche über AI-Agents konzentrieren sich auf Fähigkeiten: was das Modell leisten kann, wie es mit Tool-Nutzung umgeht, ob es bei Ihrem Fachbereich halluziniert. Das sind reale Fragen. In regulierten Umgebungen findet das Fähigkeitsgespräch jedoch oft gar nicht erst statt, weil das Architekturgespräch es zuvor beendet.

Sicherheitsteams in Finanzdienstleistungen, Gesundheitswesen und behördennahen Organisationen unterliegen expliziten Anforderungen an Datenstandort und Perimeterwahrung. Query-Kontext, abgerufene Dokumente oder Zwischenergebnisse an die Cloud-Infrastruktur eines Anbieters zu senden, ist häufig vollständig untersagt. Nicht aus Vorliebe. Durch interne Richtlinien, manchmal durch Regulierung.

Das traditionelle Modell für cloudbasierte AI-Agents platzierte die Ausführungsumgebung in der Cloud des Anbieters. Ihre Daten mussten dorthin reisen, wo der Agent lebte. Das ist die Architekturannahme, die dieser Release aufbricht.

InfoQs Berichterstattung bezeichnete die MCP-Tunnel-Funktion als Lösung für den Zugriff auf private Netzwerke, die keine VPN-Infrastruktur oder eingehende Exposition erfordert. The New Stack hob die Sandbox-Flexibilität als Möglichkeit hervor, Claude Agents in Umgebungen zu betreiben, in denen Anthropics Managed Compute bisher nicht zugelassen war.

Für CTOs, die der Reifung der Agent-Fähigkeiten zugesehen haben und auf die Nachreifung der Sicherheitsarchitektur gewartet haben, ist das genau diese Nachreifung.

Die Architekturverschiebung in einem Satz

Altes Modell: Senden Sie Ihre Daten dorthin, wo der Agent lebt. Neues Modell: Betreiben Sie den Agent dort, wo Ihre Daten leben, oder lassen Sie den Agent Ihre Daten über einen kontrollierten ausgehenden Kanal erreichen.

Ausschließlich ausgehende MCP-Tunnel-Architektur: ein Gateway baut eine Verbindung nach außen auf, keine eingehenden Firewall-Regeln

Diese Unterscheidung ist architektonisch relevant, weil sie zwei Belange trennt, die zuvor gekoppelt waren: wo das Reasoning des Agents stattfindet (das Modell) und wo die Agent-Ausführung und der Datenzugriff stattfinden (die Sandbox und MCP-Verbindungen). Das Modell läuft weiterhin in Anthropics Infrastruktur. Der Ausführungskontext, die Tools, der Datenzugriff, die Ergebnisse können jetzt innerhalb der Unternehmensgrenze bleiben.

Diese Trennung macht diese Architektur für regulierte Anwendungsfälle tragfähig. Der Modellanbieter sieht Eingaben und Ausgaben, wie er es immer getan hat. Aber interne Serviceaufrufe, abgerufene Dokumente und Zwischenergebnisse von Tools müssen nicht über das öffentliche Internet übertragen werden.

Das ist architektonisch verschieden von der Fleet-Governance- und Control-Plane-Diskussion, die parallel in der Branche stattfindet. Microsofts Agent-365-Plattform befasst sich mit Agent-Identität, Sichtbarkeit und Überwachung über eine Fleet: wer welchen Agent betreibt, was er getan hat, ob man ihn blockieren kann. Die Anthropic-Ankündigung befasst sich mit etwas, das früher im Stack angesiedelt ist: wo der Agent ausgeführt wird und wie er interne Systeme erreicht. Beide Belange sind real; sie gehören auf verschiedene Teile der CTO-Checkliste.

Für weiteren Kontext zur Governance-Schicht behandelt der Gartner-Beitrag zur Coding-Agent-Neuausrichtung den Beschaffungs- und Anbieterabhängigkeitsaspekt, der diese Architekturentscheidungen verstärkt.

Die Agent-Perimeter-Checkliste

Bevor Sie eine Claude Managed Agents-Bereitstellung in einer regulierten oder sicherheitssensiblen Umgebung genehmigen, sollte ein CTO klare Antworten auf diese sechs Fragen erhalten. Nennen wir es die Agent-Perimeter-Checkliste.

1. Wo führt der Agent Tools aus? Befindet sich die Ausführungsumgebung in der Cloud des Anbieters, in Ihrer eigenen Infrastruktur oder bei einem genehmigten Managed Provider? Self-Hosted Sandboxes machen diese Frage für Claude Agents beantwortbar. Zuvor war das nicht möglich.

2. Wie erreicht der Agent interne Systeme? Erfordert der Zugriff eingehende Firewall-Regeln oder öffentliche Endpunkte? MCP-Tunnel beantworten das mit „keine eingehenden Regeln, eine einzige ausgehende Verbindung". Das ist eine Architektur, die Ihr Sicherheitsteam anhand ihrer eigenen Meriten bewerten kann.

3. Welche Daten passieren das öffentliche Internet? Erfassen Sie genau, welche Daten die Grenze verlassen: Eingaben an das Modell (ja, diese erreichen Anthropic), Tool-Call-Parameter (jetzt potenziell in Ihrer Sandbox enthalten) und abgerufene interne Dokumente (jetzt über den ausgehenden Tunnel erreichbar, ohne Ihr Netzwerk zu verlassen).

4. Wer kontrolliert die Laufzeit? Können Sie die Sicherheitsrichtlinien, Protokollierungsanforderungen und Beendigungskontrollen Ihres Unternehmens auf die Umgebung anwenden, in der der Agent ausgeführt wird? Mit Self-Hosted Sandboxes ist das möglich.

5. Wie ist Ihr Datenstandort-Status? Wenn regulatorische Anforderungen vorgeben, dass bestimmte Datenkategorien eine geografische Grenze nicht verlassen dürfen, respektiert Ihre Sandbox-Konfiguration das? Die Managed-Provider-Optionen (Cloudflare, Daytona, Modal, Vercel) haben unterschiedliche Verfügbarkeitszonen und Datenstandort-Verpflichtungen. Prüfen Sie das vor der Bereitstellung.

6. Gibt es einen Prüfpfad für Agent-Aktionen? Können Sie nachvollziehen, was der Agent getan hat, welche internen Systeme er aufgerufen hat und welche Daten er berührt hat? Das hängt nicht nur von der Sandbox ab; es erfordert auch, dass Ihre MCP-Server-Implementierungen aussagekräftige Protokolle ausgeben. Aber die Sandbox-Architektur ist die Grundlage, die sinnvolles Logging erst ermöglicht.

Diese Fragen gelten für jede unternehmensweite Agent-Bereitstellung, nicht nur für Anthropics. Aber die Self-Hosted-Sandboxes- und MCP-Tunnel-Funktionen sind das erste Mal, dass die Antworten auf die Fragen 1 bis 4 für Claude Agents in regulierten Umgebungen wirklich befriedigend sind.

Der Analyse zur agentic AI-Governance für Revenue Operations befasst sich mit verwandten Belangen zur Agent-Überwachung auf Geschäftsbereichsebene, was diese infrastrukturschichtige Checkliste ergänzt.

Was noch in der Vorschau ist und was das bedeutet

Self-Hosted Sandboxes befinden sich in der öffentlichen Beta, was bedeutet, dass die Funktion allgemein für Tests verfügbar ist, aber möglicherweise noch keine Produktions-SLA-Verpflichtungen trägt. MCP-Tunnel befinden sich in der Forschungsvorschau, was bedeutet, dass der Zugriff eine Anfrage erfordert und die API-Oberfläche sich wahrscheinlich noch ändern wird. CTOs sollten die Tunnel-Funktion als etwas betrachten, für das man jetzt planen, aber nicht auf einen engen Zeitplan hin in den Produktivbetrieb überführen sollte.

Das Managed-Provider-Ökosystem (Cloudflare, Daytona, Modal, Vercel) bietet Organisationen, die keine eigenen Sandbox-Server betreiben können, einen realistischen Weg zu einer konformen Rechenumgebung, ohne auf die vollständige allgemeine Verfügbarkeit von Anthropics eigener verwalteter Infrastruktur warten zu müssen.

Für Organisationen, die bereits Rework zur Koordination der betrieblichen Workflows nutzen, in die Agents letztendlich integriert werden, lohnt es sich, die Sandbox-Architekturfrage jetzt zu stellen: Welche Workflows kommen für die Agent-Ausführung infrage, und erfüllen diese Kandidaten die Perimeter-Anforderungen, die Ihr Sicherheitsteam stellen wird?

Häufig gestellte Fragen

Was ist eine Self-Hosted AI-Agent-Sandbox?

Eine Self-Hosted AI-Agent-Sandbox ist eine isolierte Ausführungsumgebung, die vom Kunden kontrolliert wird und in der ein AI-Agent seine Tool-Aufrufe und Berechnungen ausführt. Anstatt innerhalb der Cloud-Infrastruktur des AI-Anbieters zu laufen, wird der Agent innerhalb einer Rechenumgebung betrieben, die der Kunde besitzt oder bei einem genehmigten Anbieter vertraglich vereinbart hat. Das hält Agent-Ausführung, Tool-Aufrufe und Zwischenergebnisse innerhalb der Sicherheitsgrenze des Kunden.

Was ist ein MCP-Tunnel?

Ein MCP-Tunnel ist ein Mechanismus für den Zugriff auf private Netzwerke für MCP-Server (Model Context Protocol). Anstatt interne MCP-Server über eingehende Firewall-Regeln dem öffentlichen Internet auszusetzen, installiert der Kunde ein schlankes Gateway in seinem Netzwerk. Dieses Gateway baut eine ausgehende Verbindung zur AI-Agent-Infrastruktur auf. Der Agent erreicht interne Dienste über diesen Tunnel, ohne dass eine eingehende Exposition erforderlich ist. Der Datenverkehr ist Ende-zu-Ende verschlüsselt.

Bedeutet das, dass Anthropic meine internen Daten nie sieht?

Nicht ganz. Das zugrunde liegende Modell (Claude) verarbeitet weiterhin Eingaben und erzeugt Ausgaben; diese Anfragen erreichen Anthropics Infrastruktur. Was Self-Hosted Sandboxes und MCP-Tunnel ändern, ist, dass Tool-Ausführung, interne Serviceaufrufe und abgerufene Dokumente innerhalb des Unternehmensnetzwerks bleiben können, anstatt zur Cloud des Anbieters übertragen zu werden. Die Grenze dessen, was Anthropic sieht, verschiebt sich, aber die Modellinteraktion selbst bleibt cloudbasiert. Organisationen mit strengen Datenschutzanforderungen sollten Anthropics Datenverarbeitungsverträge zusammen mit der Sandbox-Architektur prüfen.

Was CTOs diese Woche tun sollten

Drei Maßnahmen, die wenig kosten und das Architekturgespräch vorbereiten:

  • Beantragen Sie Zugang zu MCP-Tunneln. Die Funktion befindet sich in der Forschungsvorschau, was bedeutet, dass der Zugang eingeschränkt ist. Jetzt in die Vorschau zu kommen bedeutet, dass Ihr Team die Architektur bewertet, während sie noch in der Gestaltung ist. Die Feedbackschleife mit Anthropic während Vorschauphasen ist schneller als nach der allgemeinen Verfügbarkeit.

  • Wenden Sie die Agent-Perimeter-Checkliste auf Ihren wichtigsten Agent-Anwendungsfall an. Sie haben wahrscheinlich ein Pilotprojekt, das in der Sicherheitsprüfung ins Stocken geraten oder gescheitert ist. Wenden Sie die sechs oben genannten Fragen auf diesen spezifischen Anwendungsfall an. Wo hat er die Checkliste nicht erfüllt? Schließt diese Architektur diese Lücken? Diese Übung dauert einen Nachmittag und gibt Ihnen ein konkretes Gespräch, das Sie mit Ihrem CISO führen können.

  • Gleichen Sie Ihre Sandbox-Provider-Optionen mit Ihren Datenstandort-Anforderungen ab. Wenn Ihre Organisation geografische oder regulatorische Einschränkungen hat, wo Rechenleistung betrieben werden kann, prüfen Sie jetzt die Datenstandort-Verpflichtungen von Cloudflare, Daytona, Modal und Vercel. Warten Sie nicht bis zur Mitte eines Beschaffungsprozesses, um eine Diskrepanz zu entdecken.

Das Agent-Pilotprojekt, das vor sechs Monaten in der Sicherheitsprüfung gescheitert ist, hat möglicherweise jetzt einen tragfähigen Weg. Das ist es wert, einen halben Tag zu investieren, um das herauszufinden.

Mehr erfahren