Português

A Anthropic Trouxe os Agentes de AI Para Dentro do Seu Firewall: O Que Sandboxes Self-Hosted e MCP Tunnels Significam para CTOs

Agente de AI executando dentro do perímetro de segurança de uma empresa com uma única conexão de MCP tunnel de saída

O maior motivo pelo qual pilotos de agentes de AI morrem na revisão de segurança não é o modelo. É o perímetro. E a Anthropic acaba de movê-lo.

Em 19 de maio de 2026, no Code with Claude London, a Anthropic anunciou duas adições à sua plataforma Claude Managed Agents: Self-Hosted Sandboxes (agora em beta público) e Model Context Protocol (MCP) Tunnels (em prévia de pesquisa). Conforme o anúncio da Anthropic, ambas as funcionalidades abordam o mesmo problema de raiz: as empresas querem agentes autônomos, mas suas equipes de segurança não permitem que ambientes de execução de agentes ou sistemas internos saiam do perímetro de segurança corporativo.

Isso não é uma preocupação de nicho. É a objeção que mata a maioria dos pilotos de agentes em setores regulados antes de começarem. Este lançamento não contorna isso. Ele elimina o problema.

O Que a Anthropic Realmente Lançou

As duas funcionalidades resolvem problemas relacionados, mas distintos. Entender ambos vale alguns minutos do tempo de um chief technology officer (CTO).

Self-Hosted Sandboxes colocam o ambiente de execução do agente dentro do perímetro do cliente. Um Claude Managed Agent executa dentro de um sandbox que o cliente controla. Tanto o ambiente onde o agente executa ferramentas quanto os servidores Model Context Protocol (MCP) aos quais ele se conecta ficam dentro dos controles de segurança e execução estabelecidos pela empresa. O cliente decide onde o sandbox fica: na própria infraestrutura ou por meio de provedores de computação gerenciada pré-validados pela Anthropic: Cloudflare, Daytona, Modal ou Vercel. Cada provedor gerencia isolamento e computação; o cliente retém o controle de execução e a política de segurança.

MCP Tunnels resolvem o problema complementar. Uma empresa pode se sentir confortável executando o sandbox internamente, mas ainda precisar que agentes alcancem serviços em uma rede privada. A abordagem antiga exigiria abrir um buraco no firewall: um endpoint público, regras de entrada, superfície de exposição. Os MCP Tunnels funcionam de forma diferente. O cliente implanta um gateway leve dentro da sua rede. Esse gateway faz uma única conexão de saída. Sem regras de firewall de entrada. Sem endpoints públicos. O tráfego é criptografado de ponta a ponta. O agente na infraestrutura da Anthropic alcança serviços internos por esse tunnel de saída, não por uma porta de entrada exposta.

Juntos, os dois recursos tornam possível uma arquitetura específica: o agente executa dentro do seu perímetro, alcança sistemas privados sem expô-los e nunca força dados de produção a sair do perímetro para alcançar a infraestrutura do fornecedor.

Dados-chave

  • Self-Hosted Sandboxes estão em beta público: agentes executam dentro da própria infraestrutura da empresa ou via Cloudflare, Daytona, Modal ou Vercel (Anthropic, maio de 2026).
  • MCP Tunnels usam uma única conexão de saída de um gateway implantado pelo cliente, sem regras de firewall de entrada e com criptografia de ponta a ponta (Anthropic, maio de 2026).
  • Ambas as funcionalidades foram anunciadas em 19 de maio de 2026, no Code with Claude London, como adições ao Claude Managed Agents.

Por Que o Perímetro Era o Verdadeiro Bloqueio

A maioria das conversas de CTO sobre agentes de AI foca em capacidade: o que o modelo consegue fazer, como ele lida com uso de ferramentas, se ele alucina no seu domínio. Essas são perguntas reais. Mas em ambientes regulados, a conversa de capacidade muitas vezes não acontece porque a conversa de arquitetura a encerra primeiro.

Equipes de segurança em serviços financeiros, saúde e organizações próximas ao governo operam sob requisitos explícitos de residência de dados e de perímetro. Enviar contexto de consulta, documentos recuperados ou outputs intermediários para a infraestrutura cloud de um fornecedor é frequentemente proibido de forma absoluta. Não por preferência. Por política, às vezes por regulação.

O modelo tradicional para agentes de AI baseados em cloud colocava o ambiente de execução na cloud do fornecedor. Seus dados precisavam viajar até onde o agente vivia. Essa é a premissa arquitetural que este lançamento quebra.

A cobertura da InfoQ enquadrou o recurso MCP Tunnels como uma solução de acesso a rede privada que não requer infraestrutura VPN ou exposição de entrada. A The New Stack destacou a flexibilidade do sandbox como uma forma de executar agentes Claude em ambientes onde a computação gerenciada da Anthropic era anteriormente fora de questão.

Para CTOs que estavam acompanhando a maturação das capacidades de agentes enquanto aguardavam a arquitetura de segurança se adaptar, esta é a adaptação.

A Mudança de Arquitetura em Uma Frase

Modelo antigo: envie seus dados para onde o agente vive. Novo modelo: execute o agente onde seus dados vivem, ou deixe o agente alcançar seus dados por um canal de saída controlado.

Arquitetura de MCP tunnel apenas de saída: um gateway faz uma conexão para fora, sem regras de firewall de entrada

Essa distinção importa arquiteturalmente porque separa duas preocupações que antes estavam acopladas: onde o raciocínio do agente acontece (o modelo) e onde a execução do agente e o acesso a dados acontecem (o sandbox e as conexões MCP). O modelo ainda executa na infraestrutura da Anthropic. O contexto de execução, as ferramentas, o acesso a dados, os outputs, podem agora ficar dentro do perímetro do cliente.

Essa separação é o que torna essa arquitetura viável para casos de uso regulados. O fornecedor do modelo vê inputs e outputs de consultas, como sempre fez. Mas chamadas a serviços internos, documentos recuperados e resultados intermediários de ferramentas não precisam mais transitar pela internet pública.

Isso é arquiteturalmente distinto da conversa de governança de frota e control plane que acontece em paralelo no setor. A plataforma Microsoft Agent 365 aborda identidade de agentes, visibilidade e supervisão em uma frota: quem está executando qual agente, o que ele fez, você consegue bloqueá-lo. O anúncio da Anthropic aborda algo mais cedo na pilha: onde o agente executa e como ele alcança sistemas internos. Ambas as preocupações são reais; elas pertencem a partes diferentes da lista de verificação do CTO.

Para mais contexto sobre a camada de governança, o artigo de realinhamento de agentes de codificação do Gartner cobre o ângulo de compras e dependência de fornecedor que se acumula a essas decisões de arquitetura.

A Lista de Verificação do Perímetro do Agente

Antes de autorizar uma implantação do Claude Managed Agents em um ambiente regulado ou sensível à segurança, um CTO deve ter respostas claras para estas seis perguntas. Chame isso de Lista de Verificação do Perímetro do Agente.

1. Onde o agente executa as ferramentas? O ambiente de execução fica na cloud do fornecedor, na sua própria infraestrutura ou com um provedor gerenciado que você aprovou? Os Self-Hosted Sandboxes tornam isso respondível para agentes Claude. Antes, não era.

2. Como o agente alcança sistemas internos? O acesso requer regras de firewall de entrada ou endpoints públicos? Os MCP Tunnels respondem com "sem regras de entrada, única conexão de saída". Essa é uma arquitetura que sua equipe de segurança consegue avaliar pelos próprios méritos.

3. Quais dados transitam pela internet pública? Mapeie exatamente quais dados saem do perímetro: inputs para o modelo (sim, esses chegam à Anthropic), parâmetros de chamada de ferramentas (agora potencialmente contidos no seu sandbox) e documentos internos recuperados (agora acessíveis via tunnel de saída sem sair da sua rede).

4. Quem controla a execução? Você consegue aplicar as políticas de segurança da sua organização, requisitos de registro e controles de encerramento ao ambiente onde o agente executa? Com sandboxes self-hosted, você consegue.

5. Qual é a sua posição de residência de dados? Se requisitos regulatórios especificam que certas classes de dados não podem sair de uma fronteira geográfica, sua configuração de sandbox respeita isso? As opções de provedor gerenciado (Cloudflare, Daytona, Modal, Vercel) têm diferentes zonas de disponibilidade e compromissos de residência de dados. Verifique antes de implantar.

6. Há uma trilha de auditoria para ações do agente? Você consegue reconstruir o que o agente fez, quais sistemas internos ele chamou e quais dados ele tocou? Isso não é puramente sobre o sandbox; também requer que suas implementações de servidor MCP emitam logs úteis. Mas a arquitetura do sandbox é a base que torna o registro significativo possível.

Essas perguntas se aplicam a qualquer implantação de agente empresarial, não apenas à da Anthropic. Mas os Self-Hosted Sandboxes e os MCP Tunnels são a primeira vez que as respostas às perguntas 1 a 4 foram genuinamente satisfatórias para agentes Claude em ambientes regulados.

A análise de governança de AI agêntica para operações de receita cobre preocupações relacionadas sobre supervisão de agentes no nível de unidade de negócio, que complementa bem esta lista de verificação na camada de infraestrutura.

O Que Ainda Está em Prévia e O Que Isso Significa

Os Self-Hosted Sandboxes estão em beta público, o que significa que o recurso está geralmente disponível para testes, mas pode não ter compromissos de SLA de produção. Os MCP Tunnels estão em prévia de pesquisa, o que significa que o acesso requer uma solicitação e a superfície de API provavelmente mudará. CTOs devem tratar o recurso de tunnel como algo para projetar agora, mas não implantar em produção com prazo apertado.

O ecossistema de provedores gerenciados (Cloudflare, Daytona, Modal, Vercel) dá às organizações que não conseguem operar sandboxes em bare metal um caminho realista para um ambiente de computação compatível, sem precisar esperar pela disponibilidade geral completa da infraestrutura gerenciada da Anthropic.

Para organizações que já usam o Rework para coordenar os fluxos de trabalho operacionais nos quais os agentes eventualmente se integrarão, a questão de arquitetura do sandbox vale ser levantada agora: quais fluxos de trabalho são candidatos à execução por agentes, e esses candidatos atendem aos requisitos de perímetro que sua equipe de segurança aplicará?

Perguntas Frequentes

O que é um sandbox self-hosted para agentes de AI?

Um sandbox self-hosted para agentes de AI é um ambiente de execução isolado, controlado pelo cliente, onde um agente de AI executa suas chamadas de ferramentas e computações. Em vez de executar dentro da infraestrutura cloud do fornecedor de AI, o agente executa dentro de um ambiente de computação que o cliente possui ou contratou com um provedor aprovado. Isso mantém a execução do agente, as chamadas de ferramentas e os outputs intermediários dentro do perímetro de segurança do cliente.

O que é um MCP tunnel?

Um MCP tunnel é um mecanismo de acesso a rede privada para servidores Model Context Protocol (MCP). Em vez de expor servidores MCP internos à internet pública por meio de regras de firewall de entrada, o cliente implanta um gateway leve dentro da sua rede. Esse gateway faz uma conexão de saída para a infraestrutura do agente de AI. O agente alcança serviços internos por esse tunnel sem exigir nenhuma exposição de entrada. O tráfego é criptografado de ponta a ponta.

Isso significa que a Anthropic nunca vê meus dados internos?

Não exatamente. O modelo subjacente (Claude) ainda processa inputs e produz outputs; essas solicitações chegam à infraestrutura da Anthropic. O que os Self-Hosted Sandboxes e os MCP Tunnels mudam é que a execução de ferramentas, as chamadas a serviços internos e os documentos recuperados podem ficar dentro da rede empresarial em vez de transitar para a cloud do fornecedor. O limite do que a Anthropic vê muda, mas a interação com o modelo em si ainda é baseada em cloud. Organizações com requisitos rigorosos de tratamento de dados devem revisar os acordos de processamento de dados da Anthropic junto com a arquitetura de sandbox.

O Que CTOs Devem Fazer Esta Semana

Três ações que custam pouco e preparam a conversa de arquitetura:

  • Solicite acesso aos MCP Tunnels. O recurso está em prévia de pesquisa, o que significa que o acesso é controlado. Entrar na prévia agora significa que sua equipe avalia a arquitetura enquanto ela ainda está tomando forma. O ciclo de feedback com a Anthropic durante períodos de prévia é mais rápido do que após a disponibilidade geral.

  • Execute a Lista de Verificação do Perímetro do Agente no seu caso de uso de agente de maior prioridade. Você provavelmente tem um piloto que travou ou morreu na revisão de segurança. Aplique as seis perguntas acima a esse caso de uso específico. Onde ele falhou na lista de verificação? Essa arquitetura aborda essas lacunas? Esse exercício leva uma tarde e dá a você uma conversa concreta para ter com seu CISO.

  • Mapeie suas opções de provedor de sandbox em relação aos seus requisitos de residência de dados. Se sua organização tem restrições geográficas ou regulatórias sobre onde a computação pode ser executada, verifique agora os compromissos de residência de dados da Cloudflare, Daytona, Modal e Vercel. Não espere estar no meio de uma compra para descobrir uma incompatibilidade.

O piloto de agente que morreu na revisão de segurança há seis meses pode agora ter um caminho viável. Vale meio dia para descobrir.

Saiba Mais