Anthropic Kini Menggerakkan Ejen AI ke Dalam Firewall Anda: Apa Maksud Sandbok Self-Hosted dan Terowong MCP untuk CTO

Sebab tunggal terbesar mengapa program perintis ejen AI gugur dalam semakan keselamatan bukan pada model itu sendiri. Ia pada sempadan. Dan Anthropic baru sahaja mengubah sempadan itu.

Pada 19 Mei 2026, di Code with Claude London, Anthropic mengumumkan dua tambahan kepada platform Claude Managed Agents: Self-Hosted Sandboxes (kini dalam beta awam) dan Model Context Protocol (MCP) Tunnels (dalam pratonton penyelidikan). Menurut pengumuman Anthropic, kedua-dua ciri itu menangani masalah asas yang sama: perusahaan mahukan ejen autonomi, tetapi pasukan keselamatan mereka tidak membenarkan persekitaran pelaksanaan ejen atau sistem dalaman meninggalkan perimeter keselamatan korporat.

Itu bukan kebimbangan khusus. Itulah bantahan yang membunuh kebanyakan program perintis ejen industri terkawal sebelum ia bermula. Pelancaran ini tidak memintas masalah itu. Ia menghilangkannya.

Apa yang Sebenarnya Dihantar Anthropic

Kedua-dua ciri itu menyelesaikan masalah yang berkaitan tetapi berbeza. Memahami kedua-duanya bernilai beberapa minit masa ketua pegawai teknologi (CTO).

Self-Hosted Sandboxes meletakkan persekitaran pelaksanaan ejen di dalam sempadan pelanggan. Ejen Claude Managed berjalan di dalam sandbok yang dikawal oleh pelanggan. Kedua-dua persekitaran tempat ejen melaksanakan alat dan pelayan Model Context Protocol (MCP) yang disambungkannya kekal dalam kawalan keselamatan dan runtime perusahaan yang telah ditetapkan. Pelanggan memutuskan di mana sandbok itu berada: pada infrastruktur mereka sendiri, atau melalui penyedia komputasi terurus yang telah disahkan oleh Anthropic terlebih dahulu: Cloudflare, Daytona, Modal, atau Vercel. Setiap penyedia mengendalikan pengasingan dan komputasi; pelanggan mengekalkan kawalan runtime dan dasar keselamatan.

Terowong MCP menyelesaikan masalah yang saling melengkapi. Sebuah perusahaan mungkin selesa menjalankan sandbok secara dalaman, tetapi masih memerlukan ejen untuk mencapai perkhidmatan yang berada pada rangkaian peribadi. Pendekatan lama memerlukan pembukaan lubang dalam firewall: titik akhir awam, peraturan masuk, kawasan permukaan yang terdedah. Terowong MCP berfungsi secara berbeza. Pelanggan melaksanakan get laluan ringan di dalam rangkaian mereka. Get laluan itu membuat satu sambungan keluar sahaja. Tiada peraturan firewall masuk. Tiada titik akhir awam. Trafik disulitkan dari hujung ke hujung. Ejen dalam awan Anthropic mencapai perkhidmatan dalaman melalui terowong keluar itu, bukan melalui port masuk yang terdedah.

Bersama-sama, kedua-dua ciri itu memungkinkan seni bina tertentu: ejen dilaksanakan dalam sempadan anda, mencapai sistem peribadi tanpa mendedahkannya, dan tidak pernah memaksa data persekitaran produksi meninggalkan perimeter untuk mencapai infrastruktur vendor.

Fakta Utama

• Self-Hosted Sandboxes berada dalam beta awam: ejen berjalan dalam infrastruktur perusahaan sendiri atau melalui Cloudflare, Daytona, Modal, atau Vercel (Anthropic, Mei 2026).
• Terowong MCP menggunakan satu sambungan keluar daripada get laluan yang dilaksanakan oleh pelanggan, tanpa peraturan firewall masuk dan penyulitan dari hujung ke hujung (Anthropic, Mei 2026).
• Kedua-dua ciri diumumkan pada 19 Mei 2026 di Code with Claude London sebagai tambahan kepada Claude Managed Agents.

Mengapa Perimeter Adalah Halangan Sebenar

Kebanyakan perbualan CTO mengenai ejen AI memberi tumpuan kepada kemampuan: apa yang model boleh lakukan, cara ia mengendalikan penggunaan alat, sama ada ia menghasilkan maklumat yang tidak tepat tentang domain anda. Soalan-soalan itu nyata. Tetapi dalam persekitaran terkawal, perbualan kemampuan sering tidak berlaku langsung kerana perbualan seni bina sudah menamatkannya terlebih dahulu.

Pasukan keselamatan dalam perkhidmatan kewangan, penjagaan kesihatan, dan organisasi berkaitan kerajaan beroperasi di bawah keperluan lokasi data dan sempadan yang eksplisit. Menghantar konteks pertanyaan, dokumen yang diambil, atau output pertengahan ke infrastruktur awan vendor sering dilarang sama sekali. Bukan kerana pilihan. Kerana dasar, kadangkala kerana peraturan.

Model tradisional untuk ejen AI berasaskan awan meletakkan persekitaran pelaksanaan dalam awan vendor. Data anda perlu pergi ke tempat ejen itu berada. Itulah andaian seni bina yang dilanggar oleh pelancaran ini.

Liputan InfoQ menggambarkan ciri Terowong MCP sebagai penyelesaian akses rangkaian peribadi yang tidak memerlukan infrastruktur VPN atau pendedahan masuk. The New Stack menyerlahkan fleksibiliti sandbok sebagai cara untuk menjalankan ejen Claude dalam persekitaran di mana komputasi terurus Anthropic sebelum ini tidak dibenarkan.

Bagi CTO yang telah melihat kemampuan ejen matang sambil menunggu seni bina keselamatan mengejar, inilah pengejarannya.

Peralihan Seni Bina dalam Satu Ayat

Model lama: hantar data anda ke tempat ejen berada. Model baru: jalankan ejen di tempat data anda berada, atau biarkan ejen mencapai data anda melalui saluran keluar yang terkawal.

Perbezaan ini penting dari segi seni bina kerana ia memisahkan dua kebimbangan yang sebelumnya berganding: di mana penaakulan ejen berlaku (model) dan di mana pelaksanaan ejen serta akses data berlaku (sandbok dan sambungan MCP). Model itu masih berjalan dalam infrastruktur Anthropic. Konteks pelaksanaan, alat, akses data, output, kini boleh kekal dalam sempadan pelanggan.

Pemisahan itulah yang menjadikan seni bina ini sesuai untuk kes penggunaan terkawal. Vendor model melihat input dan output pertanyaan, seperti biasa. Tetapi panggilan perkhidmatan dalaman, dokumen yang diambil, dan hasil alat pertengahan tidak perlu merentasi internet awam.

Ini berbeza dari segi seni bina daripada perbualan tadbir urus fleet dan control plane yang berlaku serentak merentas industri. Platform Microsoft Agent 365 menangani identiti ejen, keterlihatan, dan pengawasan merentas fleet: siapa yang menjalankan ejen apa, apa yang dilakukannya, bolehkah anda menyekatnya. Pengumuman Anthropic menangani sesuatu yang lebih awal dalam tindanan: di mana ejen dilaksanakan dan bagaimana ia mencapai sistem dalaman. Kedua-dua kebimbangan itu nyata; kedua-duanya tergolong dalam bahagian berbeza dalam senarai semak CTO.

Untuk konteks lanjut mengenai lapisan tadbir urus, artikel penjajaran semula ejen pengekodan Gartner membincangkan aspek perolehan dan kebergantungan vendor yang memperumit keputusan seni bina ini.

Senarai Semak Perimeter Ejen

Sebelum membenarkan pelaksanaan Claude Managed Agents dalam persekitaran terkawal atau sensitif keselamatan, CTO perlu mendapat jawapan jelas kepada enam soalan ini. Namakan ia Senarai Semak Perimeter Ejen.

1. Di mana ejen melaksanakan alat? Adakah persekitaran pelaksanaan berada dalam awan vendor, dalam infrastruktur anda sendiri, atau dengan penyedia terurus yang telah anda luluskan? Self-Hosted Sandboxes menjadikan soalan ini boleh dijawab untuk ejen Claude. Sebelum ini ia tidak boleh dijawab.

2. Bagaimana ejen mencapai sistem dalaman? Adakah akses memerlukan peraturan firewall masuk atau titik akhir awam? Terowong MCP menjawab ini dengan "tiada peraturan masuk, satu sambungan keluar sahaja." Itulah seni bina yang boleh dinilai oleh pasukan keselamatan anda berdasarkan manfaatnya sendiri.

3. Data apa yang merentasi internet awam? Petakan dengan tepat data yang meninggalkan sempadan: input kepada model (ya, ini mencapai Anthropic), parameter panggilan alat (kini berpotensi terkandung dalam sandbok anda), dan dokumen dalaman yang diambil (kini boleh dicapai melalui terowong keluar tanpa meninggalkan rangkaian anda).

4. Siapa yang mengawal runtime? Bolehkah anda menerapkan dasar keselamatan organisasi anda, keperluan pengelogan, dan kawalan penamatan ke persekitaran di mana ejen dilaksanakan? Dengan sandbok self-hosted, anda boleh.

5. Apakah postur lokasi data anda? Jika keperluan peraturan menyatakan bahawa kelas data tertentu tidak boleh meninggalkan sempadan geografi, adakah konfigurasi sandbok anda mematuhi itu? Pilihan penyedia terurus (Cloudflare, Daytona, Modal, Vercel) mempunyai zon ketersediaan dan komitmen lokasi data yang berbeza. Sahkan sebelum melaksanakan.

6. Adakah terdapat jejak audit untuk tindakan ejen? Bolehkah anda membina semula apa yang dilakukan oleh ejen, sistem dalaman apa yang dipanggilnya, dan data apa yang disentuhnya? Ini bukan semata-mata tentang sandbok; ia juga memerlukan pelaksanaan pelayan MCP anda untuk mengeluarkan log yang berguna. Tetapi seni bina sandbok adalah asas yang memungkinkan pengelogan bermakna.

Soalan-soalan ini terpakai kepada mana-mana pelaksanaan ejen perusahaan, bukan hanya Anthropic. Tetapi ciri Self-Hosted Sandboxes dan Terowong MCP adalah kali pertama jawapan kepada soalan 1 hingga 4 benar-benar memuaskan untuk ejen Claude dalam persekitaran terkawal.

Analisis tadbir urus AI agentic untuk operasi hasil membincangkan kebimbangan berkaitan mengenai pengawasan ejen pada peringkat unit perniagaan, yang melengkapi senarai semak lapisan infrastruktur ini dengan baik.

Apa yang Masih dalam Pratonton dan Apa Maksudnya

Self-Hosted Sandboxes berada dalam beta awam, bermakna ciri itu tersedia secara umum untuk ujian tetapi mungkin tidak membawa komitmen SLA persekitaran produksi. Terowong MCP berada dalam pratonton penyelidikan, bermakna akses memerlukan permohonan dan permukaan API kemungkinan akan berubah. CTO perlu menganggap ciri terowong sebagai sesuatu yang perlu direka sekarang tetapi tidak dihantar ke persekitaran produksi pada jadual yang ketat.

Ekosistem penyedia terurus (Cloudflare, Daytona, Modal, Vercel) memberi organisasi yang tidak boleh mengendalikan sandbok bare-metal laluan realistik ke persekitaran komputasi yang patuh tanpa menunggu ketersediaan umum penuh infrastruktur terurus Anthropic sendiri.

Bagi organisasi yang sudah menggunakan Rework untuk menyelaraskan aliran kerja operasional yang akhirnya akan disambungkan oleh ejen, soalan seni bina sandbok patut ditimbulkan sekarang: aliran kerja mana yang merupakan calon untuk pelaksanaan ejen, dan adakah calon-calon tersebut memenuhi keperluan perimeter yang akan diterapkan oleh pasukan keselamatan anda?

Soalan Lazim

Apakah sandbok ejen AI self-hosted?

Sandbok ejen AI self-hosted adalah persekitaran pelaksanaan terpencil yang dikawal oleh pelanggan, di mana ejen AI menjalankan panggilan alat dan pengiraan. Berbanding melaksanakan dalam infrastruktur awan vendor AI, ejen berjalan dalam persekitaran komputasi yang dimiliki oleh pelanggan atau dikontrakkan dengan penyedia yang diluluskan. Ini memastikan pelaksanaan ejen, panggilan alat, dan output pertengahan kekal dalam sempadan keselamatan pelanggan.

Apakah terowong MCP?

Terowong MCP adalah mekanisme akses rangkaian peribadi untuk pelayan Model Context Protocol (MCP). Berbanding mendedahkan pelayan MCP dalaman kepada internet awam melalui peraturan firewall masuk, pelanggan melaksanakan get laluan ringan dalam rangkaian mereka. Get laluan itu membuat satu sambungan keluar ke infrastruktur ejen AI. Ejen mencapai perkhidmatan dalaman melalui terowong itu tanpa memerlukan sebarang pendedahan masuk. Trafik disulitkan dari hujung ke hujung.

Adakah ini bermakna Anthropic tidak pernah melihat data dalaman saya?

Tidak tepat begitu. Model asas (Claude) masih memproses input dan menghasilkan output; permintaan-permintaan itu memang mencapai infrastruktur Anthropic. Apa yang diubah oleh Self-Hosted Sandboxes dan Terowong MCP ialah pelaksanaan alat, panggilan perkhidmatan dalaman, dan dokumen yang diambil boleh kekal dalam rangkaian perusahaan berbanding merentasi ke awan vendor. Sempadan apa yang Anthropic lihat bergeser, tetapi interaksi model itu sendiri masih berasaskan awan. Organisasi dengan keperluan pengendalian data yang ketat perlu menyemak perjanjian pemprosesan data Anthropic bersama seni bina sandbok.

Apa yang Perlu Dilakukan CTO Minggu Ini

Tiga langkah yang tidak memerlukan banyak usaha tetapi menyediakan perbualan seni bina:

• Mohon akses kepada Terowong MCP. Ciri itu berada dalam pratonton penyelidikan, bermakna akses dikawal. Memasuki pratonton sekarang bermakna pasukan anda menilai seni bina semasa ia masih dalam pembentukan. Kitaran maklum balas dengan Anthropic semasa tempoh pratonton lebih pantas berbanding selepas ketersediaan umum.

• Jalankan Senarai Semak Perimeter Ejen berbanding kes penggunaan ejen keutamaan tertinggi anda. Anda mungkin mempunyai program perintis yang terhenti atau gagal dalam semakan keselamatan. Terapkan enam soalan di atas kepada kes penggunaan khusus itu. Di mana ia gagal dalam senarai semak? Adakah seni bina ini menangani jurang-jurang itu? Latihan itu memerlukan setengah hari dan memberi anda perbualan konkrit untuk diadakan bersama CISO anda.

• Petakan pilihan penyedia sandbok anda kepada keperluan lokasi data anda. Jika organisasi anda mempunyai kekangan geografi atau peraturan mengenai di mana komputasi boleh berjalan, semak komitmen lokasi data Cloudflare, Daytona, Modal, dan Vercel sekarang. Jangan tunggu sehingga anda berada di tengah-tengah perolehan untuk mendapati ketidakpadanan.

Program perintis ejen yang gagal dalam semakan keselamatan enam bulan lalu mungkin kini mempunyai laluan yang boleh digunakan. Itu bernilai setengah hari untuk mengetahuinya.

Ketahui Lebih Lanjut

• Microsoft Agent 365 Sudah Aktif: Mengapa Setiap CTO Kini Memerlukan Control Plane Ejen AI
• Gartner Menyatakan Pasaran Ejen Pengekodan AI Sedang Menjajarkan Semula
• Granola dan MCP Enterprise API: Taklimat CTO
• AI Agentic dan Jurang Tadbir Urus