Claude 代理接近企业内网：Anthropic 补上 Managed Agents 安全拼图

2026 年 5 月 19 日，Anthropic 为 Claude Managed Agents 增加 self-hosted sandboxes 和 MCP tunnels。
工具执行可以迁移到客户控制的基础设施，private-network MCP servers 也可以接入 Claude agents。
但这不是完全本地部署：agent orchestration、context management、error recovery 和 agent loop 仍在 Anthropic infrastructure 上。

Anthropic 在 2026 年 5 月 19 日更新 Claude Managed Agents，新增 self-hosted sandboxes 和 MCP tunnels。前者把 tool execution 放到 customer-controlled infrastructure，后者让 private-network MCP servers 接入 Claude agents，不必把这些服务器暴露到 public internet。

这次更新的重点不是“Claude 本地化”，而是运行边界被拆开了。files and repositories 可以留在 company environment；internal databases、private APIs、knowledge bases 和 ticketing systems 可以通过 MCP tunnels 暴露为 agent-callable tools；但代理的编排、上下文管理、错误恢复和 agent loop 仍由 Anthropic infrastructure 承担。

• value: “2026 年 5 月 19 日” unit: "" label: “公告 / 报道日期”
• value: “4” unit: “家” label: “Cloudflare、Daytona、Modal、Vercel 被列为托管沙盒选项”
• value: “1” unit: “条出站连接” label: “MCP tunnel gateway 无需 inbound firewall rules 或 public endpoints”

Claude 代理开始靠近客户基础设施

核心变化很直接：Claude Managed Agents 现在可以在客户控制的 sandbox 里执行工具。Anthropic 的说法是：

“Starting today, Claude Managed Agents can operate in a sandbox you control” —— Anthropic blog

这意味着 self-hosted sandboxes 会把 tool execution 移进 customer-controlled infrastructure。The Decoder 也提到，使用 self-hosted sandboxes 时，files and repositories 可以留在 company environment 里。

但这一步没有把 Claude Managed Agents 完整搬进客户本地环境。facts 明确写到，这些功能不提供 full on-premise deployment。

企业拿到更多运行时控制权

self-hosted sandboxes 不只是换一个执行位置。客户可以控制 CPU、memory 和 runtime image，这让代理执行环境更容易纳入企业自己的资源配额、镜像管理和安全审计流程。

Anthropic 同时列出 4 家 managed sandbox provider options：Cloudflare、Daytona、Modal、Vercel。这里改变的是 sandbox runtime 的控制项，不是 Claude Managed Agents 的全栈归属。

MCP tunnels 把内网系统变成代理工具

另一项更新是 MCP tunnels。它把 Claude agents 连接到 private-network MCP servers，同时避免这些 servers 直接暴露到 public internet。

可接入对象包括 internal databases、private APIs、knowledge bases、ticketing systems。通过 MCP tunnels，这些系统可以成为 agent-callable tools。

MCP tunnels 支持 Managed Agents 和 Messages API，并由 organization admins 在 Claude Console workspace settings 中管理。

1 条出站连接降低公网暴露要求

关键数字是 1。MCP tunnel gateway 通过 1 条 outbound connection 工作，不需要 inbound firewall rules 或 public endpoints。

这不代表没有新的信任边界。facts 也提到，MCP tunnels depend on Cloudflare transport，Cloudflare can observe connection metadata。Anthropic docs 还列出了 MCP tunnel requests 的 3 independent security layers。

这不是全本地化 Claude

这次更新容易被读成“Claude 企业版本地部署来了”。但 facts 写得很清楚：A fully on-premise deployment of Claude Managed Agents is not available from these features。

换句话说，self-hosted sandboxes 处理的是 tool execution 的位置和控制权，MCP tunnels 处理的是 private-network MCP servers 的连接方式。它们没有把 Claude Managed Agents 的整体编排、上下文管理、错误恢复和 agent loop 迁移到客户本地。

这条边界会影响企业评估：敏感执行环节可以更接近自己，代理中枢仍需要 Anthropic infrastructure 参与。

产品仍处早期阶段

Anthropic 和 The Decoder 都强调了早期状态。self-hosted sandboxes 目前是 public beta；MCP tunnels 是 research preview，并且需要 access approval。

“Both features are also still early.” —— The Decoder

Anthropic docs 对 MCP tunnels 的表述也很直接：

“MCP tunnels is a Research Preview feature.” —— Anthropic docs

facts 还提到，MCP tunnels 以 “as-is” 方式提供，未来可能被 modified or discontinued。另一个边界是：according to Anthropic docs，self-hosted sandboxes are not available on Claude Platform on AWS。

更细的工程约束也已经出现：TypeScript SDK helper for self-hosted sandbox workers 需要 Node.js 22 or later；workers_polling 统计的是过去 30 秒内 polled 的 workers；MCP tunnel setup、provisioning 和 token rotation 需要通过 Port 443 TCP 访问 api.anthropic.com，cloudflared tunnel edge connectivity 涉及 Port 7844 TCP and UDP。

关键问题不是“Claude 是否已经完全进内网”，而是企业 AI 代理的安全边界被重新划层。
评估时要分别看执行位置、私有系统接入方式，以及 Anthropic 云端仍承担的代理中枢职责。

参考资料

• Anthropic adds self-hosted sandboxes and MCP tunnels to Claude Managed Agents：https://the-decoder.com/anthropic-adds-self-hosted-sandboxes-and-mcp-tunnels-to-claude-managed-agents/
• Claude Managed Agents updates：https://claude.com/blog/claude-managed-agents-updates
• Anthropic self-hosted sandboxes docs：https://platform.claude.com/docs/en/managed-agents/self-hosted-sandboxes
• Anthropic MCP tunnels overview：https://platform.claude.com/docs/en/agents-and-tools/mcp-tunnels/overview

编辑：viberules.app