Claude Managed Agents: sandbox self-hosted, tunnel MCP enterprise - AI4Business

Ecco due punti che chiunque abbia provato a portare un agente AI dentro un’azienda regolata conosce bene:dove gira il codice che l’agente scrive ed esegue,come l’agente raggiunge i servizi interni senza aprire porte verso il pubblico.Le due capacità nuove di Claude sono i self-hosted sandboxes in beta pubblica e gli MCP tunnel in research preview. La promessa, sul piano architetturale, è che il «cervello» dell’agente, ovvero il modello e la sua orchestrazione, resti su infrastruttura Anthropic, mentre le «mani» dell’agente, ovvero il sandbox di esecuzione e i server MCP interni, possano vivere completamente dentro il perimetro del cliente.Indice degli argomenti:

Il disaccoppiamento brain-hands che rende possibile tutto questoCosa significa concretamente «tenere il sandbox in casa»MCP tunnel, il pezzo che mancava per le risorse privateLe quattro storie industriali che Anthropic mette in vetrinaCosa cambia per chi sta progettando agenti enterpriseIl disaccoppiamento brain-hands che rende possibile tutto questoPer leggere bene questa novità serve risalire alla scelta architetturale fatta da Anthropic ad aprile 2026, raccontata in un post di engineering firmato da Lance Martin, Gabe Cemaj e Michael Cohen. Il team ha disaccoppiato l’agente in tre interfacce: la sessione, intesa come log append-only di ogni evento, l’harness, ovvero il loop che chiama Claude e instrada le tool call, e il sandbox dove il codice generato gira davvero. Il punto chiave è che ciascuno di questi componenti può fallire o essere sostituito senza disturbare gli altri.Nel design iniziale, harness e sandbox stavano nello stesso container, e questo creava due problemi seri di cui Anthropic stessa scrive: quando il container moriva, la sessione era persa, e quando un cliente chiedeva di collegare l’agente alla propria VPC bisognava fare peering tra reti o portare l’harness dentro l’ambiente del cliente. Disaccoppiando il cervello dalle mani, l’harness ha smesso di assumere che le risorse stessero nel container con lui, e il container è diventato cattle anziché pet. La metafora pet-vs-cattle è quella classica: il pet ha un nome, lo curi se si ammala; il cattle è intercambiabile, se cade ne prendi un altro.L’effetto pratico misurato da Anthropic è importante: con la nuova architettura, la latenza p50 di time-to-first-token è scesa di circa il 60% e la p95 di oltre il 90%. Il dato non riguarda direttamente l’annuncio di Anthropic, però spiega perché oggi i sandbox possano essere ospitati altrove senza penalizzare l’esperienza dell’utente che usa l’agente.Cosa significa concretamente «tenere il sandbox in casa»Il sandbox è il luogo dove l’agente scrive file, esegue codice, gira test, fa build, genera output. Nelle versioni precedenti di Managed Agents, quel luogo era infrastruttura Anthropic. Con i self-hosted sandbox, il cliente sceglie dove farlo girare: sull’infrastruttura propria, o su uno dei quattro provider gestiti partner. Cloudflare offre microVM e isolates leggeri con iniezione zero-trust delle credenziali e proxy egress audibili.Daytona propone computer componibili long-running e stateful, accessibili via SSH o preview URL autenticato, con pausa e ripristino dello stato.Modal porta sandbox con startup sub-secondo che condividono la stessa base delle sue function e storage, scalando a centinaia di migliaia di sandbox concorrenti.Vercel combina sicurezza VM, VPC peering e bring-your-own-cloud, con un firewall che inietta le credenziali al confine di rete così che non entrino mai nel sandbox.L’elenco delle integrazioni è interessante perché segnala una scelta di posizionamento, infrastructure-agnostic da un lato, partner-friendly dall’altro. Anthropic non sta provando a vendere il proprio sandbox come unica opzione, sta dicendo che l’interfaccia «execute(name, input) → string» è l’unica cosa che le interessa standardizzare, e tutto il resto può essere portato dal cliente o da un terzo.Sul piano della sicurezza, il guadagno è ovvio per chi opera in finance, sanità, settori regolati. I file e i repository non lasciano l’infrastruttura del cliente. Le policy di rete, gli audit log, gli strumenti di security già in essere si applicano all’agente come si applicano a qualunque altro carico di lavoro interno.Anche il sizing del compute torna in mano al cliente, e questo conta per workload pesanti, come build lunghe o generazione di immagini, dove il tuning di CPU e memoria fa la differenza fra un agente che termina in un’ora e uno che termina in dieci minuti.MCP tunnel, il pezzo che mancava per le risorse privateIl secondo annuncio riguarda un problema diverso. Un agente serio dentro un’azienda non lavora solo su file: lavora su database interni, API private, knowledge base, sistemi di ticketing, CRM, ERP. Per anni la soluzione standard è stata esporre questi servizi via API gateway pubblici con autenticazione robusta, oppure mettere un VPN in mezzo, o ancora aprire whitelist su specifici IP. Nessuna delle tre è particolarmente elegante in un mondo dove l’agente è una macchina che deve negoziare credenziali in autonomia.Con gli MCP tunnel, il cliente deploya un gateway leggero dentro la propria rete privata. Quel gateway apre una singola connessione in uscita verso Anthropic, niente regole inbound, niente endpoint pubblici, traffico cifrato end-to-end. Da quel momento, i server MCP che girano internamente, e che espongono come tool i sistemi aziendali, diventano accessibili agli agenti senza dover essere mai esposti su internet.È un pattern già noto in ambito enterprise, lo si vede nei reverse tunnel di Cloudflared, in Grok per uso più leggero, in Tailscale, però portato dentro il protocollo MCP e gestito dalla console Claude dagli admin di workspace.Vale la pena fermarsi sull’implicazione pratica. Un’azienda che ha già adottato MCP per esporre i propri sistemi come tool, e qui mi vengono in mente le banche italiane che stanno sperimentando con MCP server interni per pratiche di credit scoring o per ricerca legal, non deve più scegliere tra «espongo il server su internet con tutti i rischi del caso» oppure «rinuncio a usare agenti gestiti e mi tengo tutto in casa con un’esperienza developer più povera».Adesso può tenere il server dove sta, dentro la VPC, e farlo raggiungere dall’agente attraverso un canale che è sotto il suo controllo.Le quattro storie industriali che Anthropic mette in vetrinaAnthropic accompagna l’annuncio con quattro testimonial che valgono come prova industriale.Clay sta costruendo Sculptor, un agente GTM engineering che progetta, testa e monitora workflow in autonomia, sopra Managed Agents e Daytona. Ryan Chang, AI Engineering di Clay, scrive che la combinazione gli permette di replicare la potenza di un agente locale con l’affidabilità e l’esecuzione background di un agente cloud, e che il sandbox Daytona dà controllo sul filesystem fino a montare file store esterni e installare pacchetti al volo.Rogo, piattaforma AI per la finanza istituzionale, sta costruendo un agente analyst su Managed Agents e Vercel Sandbox. Strib Walker, head of product, dice una cosa che merita attenzione: «Claude Managed Agents handles the agent loop, Vercel’s sandboxes give us an environment we can configure for our workloads. This gives us the option to leverage best-in-class infrastructure while we focus on what compounds for a financial AI platform: depth and breadth of tools and data, and a product surface built for how investors and bankers actually work.» La leva strategica è chiara: non costruirsi un’infrastruttura agentica da zero, mantenere energie sul prodotto e sui dati che fanno la differenza per i clienti finali.Amplitude sta lavorando a Design Agent, un tool interno per mockup e design critique on-brand, su Managed Agents e Cloudflare. Will Newton del team Design segnala che hanno avuto una prima versione utile in due giorni, su infrastruttura che già conoscono e di cui si fidano. Mason, citata come quarto cliente con sandbox Modal, parla esplicitamente del confine di sicurezza richiesto dai propri clienti enterprise e del tempo ridotto a una settimana per arrivare a una versione funzionante.Quattro storie, quattro provider diversi, un pattern comune: l’astrazione del Managed Agent permette di concentrarsi sulla logica di business e di scegliere il fornitore di infrastruttura per ragioni specifiche, sicurezza per Mason, observability per Amplitude, stato preservabile per Clay, sandboxing fine per Rogo.Cosa cambia per chi sta progettando agenti enterpriseIl modello di integrazione che Anthropic propone è coerente con la traiettoria che vediamo nelle adozioni enterprise più mature. Il rifiuto dell’approccio monolitico, in cui un fornitore vende l’intero stack agentico end-to-end, lascia spazio a una composizione tipica del cloud nativo: il modello e l’orchestrazione da una parte, il compute e le risorse dall’altra, l’identità e i secret in un terzo livello, le integrazioni come tool MCP in un quarto.Per un CIO italiano che sta guardando agli agenti come orizzonte produttivo dei prossimi 18 mesi, due implicazioni operative emergono subito. La prima riguarda la postura di security: con sandbox self-hosted e tunnel MCP, gli agenti smettono di essere una scatola nera in cui dati e credenziali sparivano oltre l’orizzonte aziendale, e tornano oggetti governabili con gli stessi strumenti che si usano per qualunque altro workload. La seconda riguarda l’opzionalità sul fornitore: il fatto che Cloudflare, Daytona, Modal, Vercel girino sopra la stessa interfaccia significa che la scelta diventa di trade-off operativo, non più di lock-in. Si può cambiare provider di sandbox senza ricostruire l’agente.C’è un terzo elemento, più sottile, che riguarda la cultura del software interno. Aprire un gateway MCP dentro la rete vuol dire mappare i propri sistemi come tool dichiarativi, con schema, autenticazione e contratti chiari. È un esercizio di disciplina architetturale che molte aziende hanno sempre rimandato perché la pressione del business non lo ripagava. Adesso lo ripaga, perché ogni tool MCP ben fatto diventa una capacità immediatamente sfruttabile da qualunque agente futuro, non solo dall’agente che si sta progettando oggi.Senza dubbio, una domanda da porsi c’è: quanto velocemente i team enterprise sapranno passare da pilot isolati a operazioni agentiche che girano dentro perimetri di sicurezza già definiti, e quanto i provider gestiti citati saranno effettivamente accessibili in termini di conformità GDPR e residenza dei dati per i settori più regolati?