19 мая 2026 года Anthropic добавила в Claude Managed Agents две важные возможности: self-hosted sandboxes и MCP tunnels. Для компаний это шаг к более безопасному использованию AI-агентов: код, файлы, внутренние сервисы и сетевые правила могут оставаться внутри корпоративного контура, а не полностью уходить в облачную среду поставщика.
Anthropic разделяет управление агентом и выполнение его инструментов
Anthropic обновила платформу Claude Managed Agents — инфраструктуру для запуска AI-агентов, которые могут выполнять длинные задачи, обращаться к инструментам, работать с файлами и подключаться к внешним сервисам. В официальных release notes Claude Platform компания указала, что 19 мая 2026 года MCP tunnels стали доступны в режиме Research Preview, а self-hosted sandboxes — как альтернатива запуску tool execution в инфраструктуре Anthropic.
Главная идея обновления проста: агент может по-прежнему управляться через Claude Managed Agents, но часть его практической работы переносится ближе к инфраструктуре клиента. Это важно для компаний, которые хотят использовать AI-агентов не только для демонстраций, но и для реальных внутренних процессов: анализа репозиториев, работы с документацией, обращения к корпоративным API, тикет-системам, базам знаний и внутренним сервисам.
Раньше типичная проблема выглядела так: чтобы агент был полезным, ему нужно дать доступ к данным и инструментам. Но чем больше доступов получает агент, тем выше риск. Если агент работает в чужой облачной среде и несёт с собой токены, ключи или доступ к внутренним системам, службе безопасности сложнее принять такую архитектуру.
Новое обновление не делает AI-агентов «безопасными автоматически», но меняет модель внедрения. Теперь компания может точнее разделить роли: Anthropic отвечает за оркестрацию агента, а организация — за среду выполнения, сетевые политики, аудит, доступы и внутренние ограничения.
Self-hosted sandboxes оставляют выполнение кода внутри инфраструктуры компании
Self-hosted sandbox — это собственная песочница, в которой агент выполняет инструменты и код. В документации Anthropic объясняет, что по умолчанию Managed Agents запускают tools и code execution в облачных контейнерах Anthropic, но self-hosted sandboxes переносят выполнение в инфраструктуру клиента. Оркестрация остаётся на стороне Anthropic, а код агента, файловая система и сетевой исходящий трафик остаются в окружении, которое контролирует сама организация.
Для простого понимания можно представить это как удалённого специалиста, который получает задание из внешней системы, но работает не на чужом ноутбуке, а внутри вашей защищённой рабочей зоны. Он видит только то, что ему разрешили, ходит в сеть по вашим правилам и оставляет следы в ваших журналах.
Для бизнеса это особенно важно в нескольких сценариях:
- агенту нужно работать с кодом, который нельзя отправлять во внешнюю среду;
- задача требует доступа к внутренним сервисам, недоступным из публичного интернета;
- компания обязана сохранять аудит действий в собственной инфраструктуре;
- команда хочет сама управлять CPU, памятью, образами контейнеров и правилами сетевого доступа;
- служба безопасности требует понятной границы между AI-платформой и корпоративными данными.
При этом self-hosted sandboxes — не полный перенос Claude внутрь компании. Модель и управляющая логика остаются у Anthropic. Меняется место, где выполняются инструменты агента и где он взаимодействует с файлами, окружением и доступными ресурсами.
MCP tunnels дают агентам путь к закрытым внутренним сервисам
Вторая часть обновления — MCP tunnels. MCP означает Model Context Protocol: это протокол, через который AI-агент может подключаться к инструментам и источникам данных. Например, к внутренней базе знаний, системе задач, документации, CRM, репозиторию или собственному API.
Проблема в том, что такие сервисы обычно не должны быть доступны из интернета. Открывать входящие порты ради AI-агента — плохая идея: это расширяет поверхность атаки и усложняет контроль доступа.
MCP tunnels в документации Anthropic решают эту задачу иначе. Внутри сети компании запускается небольшой стек, который устанавливает исходящее соединение наружу. Благодаря этому не нужно открывать входящие firewall-порты, публиковать внутренние сервисы в интернете или добавлять IP-адреса Anthropic в allowlist на стороне origin-сервера.
Для владельцев инфраструктуры это важная разница. В обычной схеме внешний сервис стучится внутрь вашей сети. В схеме с туннелем внутренний компонент сам устанавливает исходящее соединение и передаёт трафик по заданным правилам. Такой подход проще согласовать с корпоративной сетевой политикой, потому что входная дверь в сеть не открывается.
Новая схема снижает риск утечки ключей, но не отменяет ответственность клиента
Одно из слабых мест AI-агентов — работа с учётными данными. Если агент получает токены напрямую и использует их в ходе выполнения задачи, ошибка в промпте, неправильный tool call или компрометация окружения могут привести к серьёзным последствиям. Это особенно опасно, когда агент подключён к базам данных, репозиториям, CI/CD, облачной инфраструктуре или внутренним API.
Профильное издание VentureBeat описывает проблему так: в производственных сценариях агент часто несёт authentication tokens вместе с собой во время вызовов инструментов, и это повышает риск при сбое или компрометации. Новые возможности Anthropic переносят часть контроля ближе к сетевой границе: выполнение инструментов может происходить в инфраструктуре клиента, а доступ к приватным MCP-серверам можно организовать через туннель без прямого раскрытия внутренних сервисов.
Однако это не магическая защита. В документации Anthropic прямо описана shared responsibility model: Anthropic отвечает за часть управления туннелем и проверку принадлежности, а организация отвечает за содержимое трафика, защиту токенов, TLS-ключей, OAuth на MCP-серверах, сетевые ограничения, соблюдение политик и реакцию на инциденты.
Иными словами, безопасность становится более управляемой, но не автоматической. Если компания неправильно настроит доступы, хранение секретов или сетевые правила, агент всё равно может получить слишком широкие полномочия.
Обновление важно для команд, которые готовят AI-агентов к production
Для обычного пользователя эта новость может показаться узкой, но для рынка AI-разработки она показывает важный сдвиг. В 2024–2025 годах AI-агенты часто выглядели как эксперимент: они могли писать код, искать информацию, вызывать инструменты, но запускать их в серьёзной корпоративной среде было трудно. Слишком много вопросов возникало у security, legal, compliance и DevOps-команд.
Теперь поставщики AI-платформ начинают решать не только вопрос качества модели, но и вопрос архитектуры внедрения. Бизнесу недостаточно умного агента. Нужны понятные ответы на более приземлённые вопросы:
- где выполняется код;
- где лежат файлы;
- кто видит сетевой трафик;
- как ограничить доступ к внутренним сервисам;
- как вести аудит действий;
- как отозвать ключи при инциденте;
- как доказать, что данные не покидали разрешённый контур.
Именно поэтому self-hosted sandboxes и MCP tunnels выглядят не как мелкое техническое обновление, а как шаг к реальному промышленному использованию AI-агентов. Чем больше агент получает самостоятельности, тем важнее становится не только его интеллект, но и инфраструктурная оболочка вокруг него.
Командам стоит начинать с границ доступа, а не с полной автоматизации
Практический вывод для разработчиков и DevOps-команд простой: внедрение AI-агентов лучше начинать не с мечты о полной автоматизации, а с описания границ. Сначала нужно определить, какие данные агенту разрешено видеть, какие команды выполнять, к каким сервисам обращаться и какие действия должны требовать подтверждения человека.
Для пилотного внедрения разумнее выбрать ограниченный сценарий: например, чтение документации, анализ репозитория без права деплоя, подготовка отчётов по тикетам или работа с тестовой базой знаний. После этого можно проверять, как агент ведёт себя в песочнице, какие логи остаются, как он реагирует на ошибки и насколько удобно команде управлять доступами.
Self-hosted sandboxes стоит рассматривать как вариант для команд, которым важно держать выполнение внутри собственного контура. MCP tunnels — как способ подключать закрытые MCP-серверы без публикации их в интернете. Вместе эти функции дают более зрелую архитектуру, но требуют аккуратной настройки и участия инфраструктурной команды.
AI-агенты переходят от демонстраций к инфраструктурной зрелости
Обновление Claude Managed Agents - это следующий этап развития AI-агентов будет связан не только с новыми моделями, но и с доверием к окружению, в котором эти агенты работают. Чем ближе AI подходит к реальным корпоративным данным, тем важнее становятся песочницы, туннели, политики доступа, аудит и разделение ответственности.
Для компаний это хороший сигнал: рынок постепенно движется от красивых демо к архитектуре, которую можно обсуждать с безопасниками и инфраструктурными инженерами. Но торопиться с полным доступом агенту к production-системам всё равно не стоит. Правильный следующий шаг — тестовый сценарий с минимальными правами, понятными логами и чёткими правилами остановки.
