Español

Anthropic acaba de mover los AI agents dentro de su firewall: lo que los sandboxes autohospedados y los túneles MCP significan para los CTOs

AI agent operando dentro del perímetro de seguridad de una empresa con una única conexión de túnel MCP saliente

La razón principal por la que los pilotos de AI agents fracasan en la revisión de seguridad no es el modelo. Es el límite perimetral. Y Anthropic acaba de moverlo.

El 19 de mayo de 2026, en Code with Claude London, Anthropic anunció dos incorporaciones a su plataforma Claude Managed Agents: Self-Hosted Sandboxes (ahora en beta pública) y Model Context Protocol (MCP) Tunnels (en vista previa de investigación). Según el anuncio de Anthropic, ambas funciones responden al mismo problema de fondo: las empresas quieren agentes autónomos, pero sus equipos de seguridad no permiten que los entornos de ejecución de agentes ni los sistemas internos salgan del perímetro de seguridad corporativo.

No es una preocupación de nicho. Es la objeción que termina con la mayoría de los pilotos de agentes en sectores regulados antes de que comiencen. Este lanzamiento no rodea ese obstáculo. Lo elimina.

Qué entregó realmente Anthropic

Las dos funciones resuelven problemas relacionados pero distintos. Entender ambas merece unos minutos del tiempo de un Chief Technology Officer (CTO).

Self-Hosted Sandboxes coloca el entorno de ejecución del agente dentro del límite del cliente. Un Claude Managed Agent se ejecuta dentro de un sandbox que el cliente controla. Tanto el entorno donde el agente ejecuta herramientas como los servidores Model Context Protocol (MCP) a los que se conecta permanecen dentro de los controles de seguridad y tiempo de ejecución establecidos por la empresa. El cliente decide dónde vive el sandbox: en su propia infraestructura o a través de proveedores de cómputo gestionado previamente validados por Anthropic: Cloudflare, Daytona, Modal o Vercel. Cada proveedor gestiona el aislamiento y el cómputo; el cliente conserva el control del tiempo de ejecución y las políticas de seguridad.

MCP Tunnels resuelve el problema complementario. Una empresa puede estar cómoda ejecutando el sandbox internamente, pero aún necesita que los agentes accedan a servicios en una red privada. El enfoque anterior habría requerido abrir un agujero en el firewall: un endpoint público, reglas de entrada, superficie expuesta. Los MCP Tunnels funcionan de manera diferente. El cliente despliega una puerta de enlace ligera dentro de su red. Esa puerta de enlace realiza una única conexión saliente. Sin reglas de firewall entrantes. Sin endpoints públicos. El tráfico está cifrado de extremo a extremo. El agente en la infraestructura de Anthropic alcanza los servicios internos a través de ese túnel saliente, no a través de un puerto de entrada expuesto.

Juntas, las dos funciones hacen posible una arquitectura específica: el agente se ejecuta dentro de su límite, alcanza sistemas privados sin exponerlos, y nunca obliga a que los datos de producción salgan del perímetro para llegar a la infraestructura del proveedor.

Datos clave

  • Self-Hosted Sandboxes están en beta pública: los agentes se ejecutan dentro de la infraestructura propia de la empresa o a través de Cloudflare, Daytona, Modal o Vercel (Anthropic, mayo de 2026).
  • MCP Tunnels utilizan una única conexión saliente desde una puerta de enlace desplegada por el cliente, sin reglas de firewall entrantes y con cifrado de extremo a extremo (Anthropic, mayo de 2026).
  • Ambas funciones se anunciaron el 19 de mayo de 2026 en Code with Claude London como incorporaciones a Claude Managed Agents.

Por qué el perímetro era el verdadero obstáculo

La mayoría de las conversaciones de CTO sobre AI agents se centran en la capacidad: qué puede hacer el modelo, cómo gestiona el uso de herramientas, si alucina en su dominio. Esas son preguntas reales. Pero en entornos regulados, la conversación sobre capacidades muchas veces no llega a ocurrir porque la conversación sobre arquitectura la termina primero.

Los equipos de seguridad en servicios financieros, salud y organizaciones adyacentes al gobierno operan bajo requisitos explícitos de residencia de datos y control de límites. Enviar contexto de consultas, documentos recuperados o resultados intermedios a la infraestructura cloud de un proveedor suele estar directamente prohibido. No por preferencia, sino por política, y en algunos casos por regulación.

El modelo tradicional para AI agents basados en la nube colocaba el entorno de ejecución en la nube del proveedor. Sus datos tenían que viajar a donde vivía el agente. Esa es la suposición arquitectónica que este lanzamiento rompe.

La cobertura de InfoQ enmarcó la función de MCP Tunnels como una solución de acceso a redes privadas que no requiere infraestructura VPN ni exposición de entrada. The New Stack destacó la flexibilidad del sandbox como una forma de ejecutar agentes Claude en entornos donde el cómputo gestionado de Anthropic anteriormente no estaba permitido.

Para los CTOs que han visto madurar la capacidad de los agentes mientras esperaban que la arquitectura de seguridad los alcanzara, este es ese momento.

El cambio de arquitectura en una sola frase

Modelo anterior: envíe sus datos a donde vive el agente. Nuevo modelo: ejecute el agente donde viven sus datos, o permita que el agente acceda a sus datos a través de un canal saliente controlado.

Arquitectura de túnel MCP solo saliente: una puerta de enlace realiza una conexión hacia afuera, sin reglas de firewall entrantes

Esta distinción importa arquitectónicamente porque separa dos preocupaciones que antes estaban acopladas: dónde ocurre el razonamiento del agente (el modelo) y dónde ocurren la ejecución del agente y el acceso a datos (el sandbox y las conexiones MCP). El modelo sigue ejecutándose en la infraestructura de Anthropic. El contexto de ejecución, las herramientas, el acceso a datos y los resultados ahora pueden permanecer dentro del límite del cliente.

Esa separación es lo que hace viable esta arquitectura para casos de uso regulados. El proveedor del modelo ve las entradas y salidas de las consultas, como siempre. Pero las llamadas a servicios internos, los documentos recuperados y los resultados intermedios de herramientas ya no necesitan transitar por internet público.

Esto es arquitectónicamente distinto de la conversación sobre gobernanza de flota y control plane que se desarrolla en paralelo en toda la industria. La plataforma Microsoft Agent 365 aborda la identidad del agente, la visibilidad y la supervisión en toda una flota: quién ejecuta qué agente, qué hizo, si se puede bloquearlo. El anuncio de Anthropic aborda algo más anterior en la pila: dónde se ejecuta el agente y cómo accede a los sistemas internos. Ambas preocupaciones son reales y pertenecen a partes distintas de la lista de verificación del CTO.

Para más contexto sobre la capa de gobernanza, el artículo de realineamiento de agentes de codificación de Gartner cubre el ángulo de compras y dependencia del proveedor que se combina con estas decisiones de arquitectura.

La lista de verificación de perímetro de agentes

Antes de autorizar una implementación de Claude Managed Agents en un entorno regulado o sensible en materia de seguridad, un CTO debe obtener respuestas claras a estas seis preguntas. Llámela la Lista de Verificación de Perímetro de Agentes.

1. ¿Dónde ejecuta el agente sus herramientas? ¿El entorno de ejecución está en la nube del proveedor, en su propia infraestructura o con un proveedor gestionado que usted ha aprobado? Self-Hosted Sandboxes hace que esto sea respondible para los agentes Claude. Antes no lo era.

2. ¿Cómo accede el agente a los sistemas internos? ¿El acceso requiere reglas de firewall entrantes o endpoints públicos? MCP Tunnels responde esto con "sin reglas entrantes, una única conexión saliente". Esa es una arquitectura que su equipo de seguridad puede evaluar objetivamente.

3. ¿Qué datos transitan por internet público? Mapee exactamente qué datos salen del límite: las entradas al modelo (sí, estas llegan a Anthropic), los parámetros de llamadas a herramientas (ahora potencialmente contenidos en su sandbox) y los documentos internos recuperados (ahora accesibles a través del túnel saliente sin salir de su red).

4. ¿Quién controla el tiempo de ejecución? ¿Puede aplicar las políticas de seguridad, los requisitos de registro y los controles de terminación de su organización al entorno donde se ejecuta el agente? Con los sandboxes autohospedados, sí puede.

5. ¿Cuál es su postura de residencia de datos? Si los requisitos regulatorios especifican que ciertas clases de datos no pueden salir de un límite geográfico, ¿su configuración de sandbox respeta eso? Las opciones de proveedores gestionados (Cloudflare, Daytona, Modal, Vercel) tienen distintas zonas de disponibilidad y compromisos de residencia de datos. Verifíquelo antes de implementar.

6. ¿Existe un registro de auditoría de las acciones del agente? ¿Puede reconstruir qué hizo el agente, qué sistemas internos llamó y qué datos tocó? Esto no depende únicamente del sandbox; también requiere que sus implementaciones de servidor MCP emitan registros útiles. Pero la arquitectura del sandbox es la base que hace posible un registro significativo.

Estas preguntas aplican a cualquier implementación de agente empresarial, no solo a las de Anthropic. Pero Self-Hosted Sandboxes y MCP Tunnels son la primera vez que las respuestas a las preguntas 1 a 4 han sido genuinamente satisfactorias para los agentes Claude en entornos regulados.

El análisis de gobernanza de AI agéntica para operaciones de ingresos cubre preocupaciones relacionadas sobre la supervisión de agentes a nivel de unidad de negocio, que complementa bien esta lista de verificación de la capa de infraestructura.

Qué sigue en vista previa y qué significa eso

Self-Hosted Sandboxes están en beta pública, lo que significa que la función está disponible para pruebas pero puede no incluir compromisos de SLA de producción. MCP Tunnels están en vista previa de investigación, lo que significa que el acceso requiere una solicitud y la interfaz API probablemente cambie. Los CTOs deben tratar la función de túnel como algo para diseñar ahora, pero no para lanzar a producción con un calendario ajustado.

El ecosistema de proveedores gestionados (Cloudflare, Daytona, Modal, Vercel) ofrece a las organizaciones que no pueden operar sandboxes en servidores propios un camino realista hacia un entorno de cómputo compatible, sin esperar a la disponibilidad general completa de la infraestructura gestionada propia de Anthropic.

Para las organizaciones que ya usan Rework para coordinar los flujos de trabajo operativos a los que los agentes eventualmente se conectarán, vale la pena plantear ahora la pregunta sobre la arquitectura del sandbox: ¿qué flujos de trabajo son candidatos para la ejecución por agentes y cumplen los requisitos de perímetro que aplicará su equipo de seguridad?

Preguntas frecuentes

¿Qué es un sandbox de AI agent autohospedado?

Un sandbox de AI agent autohospedado es un entorno de ejecución aislado, controlado por el cliente, donde un AI agent ejecuta sus llamadas a herramientas y cómputos. En lugar de ejecutarse dentro de la infraestructura cloud del proveedor de AI, el agente se ejecuta dentro de un entorno de cómputo que el cliente posee o tiene contratado con un proveedor aprobado. Esto mantiene la ejecución del agente, las llamadas a herramientas y los resultados intermedios dentro del límite de seguridad del cliente.

¿Qué es un túnel MCP?

Un túnel MCP es un mecanismo de acceso a redes privadas para servidores Model Context Protocol (MCP). En lugar de exponer los servidores MCP internos a internet público mediante reglas de firewall entrantes, el cliente despliega una puerta de enlace ligera dentro de su red. Esa puerta de enlace realiza una única conexión saliente hacia la infraestructura del AI agent. El agente accede a los servicios internos a través de ese túnel sin requerir ninguna exposición de entrada. El tráfico está cifrado de extremo a extremo.

¿Significa esto que Anthropic nunca ve mis datos internos?

No exactamente. El modelo subyacente (Claude) sigue procesando entradas y produciendo salidas; esas solicitudes llegan a la infraestructura de Anthropic. Lo que cambian Self-Hosted Sandboxes y MCP Tunnels es que la ejecución de herramientas, las llamadas a servicios internos y los documentos recuperados pueden permanecer dentro de la red de la empresa en lugar de transitar hacia la nube del proveedor. El límite de lo que Anthropic ve se desplaza, pero la interacción con el modelo sigue siendo basada en la nube. Las organizaciones con requisitos estrictos de manejo de datos deben revisar los acuerdos de procesamiento de datos de Anthropic junto con la arquitectura del sandbox.

Qué deben hacer los CTOs esta semana

Tres acciones de bajo costo que preparan la conversación sobre arquitectura:

  • Solicite acceso a MCP Tunnels. La función está en vista previa de investigación, lo que significa que el acceso es restringido. Ingresar a la vista previa ahora significa que su equipo evalúa la arquitectura mientras aún está tomando forma. El ciclo de retroalimentación con Anthropic durante los períodos de vista previa es más rápido que después de la disponibilidad general.

  • Ejecute la Lista de Verificación de Perímetro de Agentes en su caso de uso de agente de mayor prioridad. Probablemente tenga un piloto que se estancó o fracasó en la revisión de seguridad. Aplique las seis preguntas anteriores a ese caso de uso específico. ¿Dónde falló la lista de verificación? ¿Esta arquitectura aborda esas brechas? Ese ejercicio lleva una tarde y le da una conversación concreta para tener con su CISO.

  • Mapee sus opciones de proveedor de sandbox frente a sus requisitos de residencia de datos. Si su organización tiene restricciones geográficas o regulatorias sobre dónde puede ejecutarse el cómputo, verifique ahora los compromisos de residencia de datos de Cloudflare, Daytona, Modal y Vercel. No espere a estar a mitad del proceso de compras para descubrir una incompatibilidad.

El piloto de agentes que fracasó en la revisión de seguridad hace seis meses puede tener ahora un camino viable. Vale la pena dedicarle medio día para averiguarlo.

Más información