Voltar para o Blog
Ilustração de sandboxes auto hospedadas e túneis MCP para Claude Managed Agents
Inteligência Artificial

Anthropic soma túneis MCP e sandboxes ao Claude Managed Agents

Atualização traz sandboxes auto hospedadas e túneis MCP para conectar agentes a sistemas privados com mais controle de execução, rede e credenciais, ideal para times que precisam de segurança e governança

Danilo Gato

Danilo Gato

Autor

20 de maio de 2026
9 min de leitura

Introdução

A palavra chave Claude Managed Agents virou sinônimo de produtividade aplicada quando a Anthropic anunciou duas capacidades muito pedidas: sandboxes auto hospedadas em beta público e túneis MCP em research preview. Na prática, agentes podem executar código e ferramentas dentro do seu próprio ambiente, enquanto acessam servidores MCP privados por túneis sem exposição direta na internet. O loop de orquestração segue hospedado pela Anthropic, o runtime e a rede ficam sob seu controle.

Essas mudanças endereçam um pedido recorrente de CIOs e CISOs, que queriam mover agentes para produção sem abrir mão de perímetro, políticas de rede e segregação de credenciais. O anúncio oficial confirma que sandboxes auto hospedadas e túneis MCP são independentes, podem ser usados juntos ou separados, e que há escopo de credenciais por organização para chamadas de ferramentas, algo essencial para conformidade.

O que mudou tecnicamente e por que isso importa

A atualização separa responsabilidades de forma pragmática. O ciclo do agente, que cuida de orquestração, contexto e recuperação de erros, continua na infraestrutura da Anthropic. Já a execução de ferramentas e código vai para um sandbox que você controla, seja on premises ou em provedores gerenciados, com rede, limites de recursos e observabilidade no seu domínio. Isso reduz atrito de segurança sem sacrificar a confiabilidade do core do produto.

O segundo pilar são os túneis MCP. Em vez de publicar servidores MCP na internet, a conexão acontece por um túnel privado, permitindo que Managed Agents e até a Messages API alcancem serviços internos. O efeito prático é conectar agentes a bancos de dados, sistemas financeiros, ERPs e repositórios de código atrás de firewalls corporativos, mantendo superfícies de ataque reduzidas.

Do ponto de vista de governança, a documentação de sandboxes detalha que uma credencial de organização pode ser injetada no host do worker para chamadas de ferramentas, simplificando escopo e rotação de chaves. Também fica claro que o recurso ainda não está disponível na Claude Platform on AWS, informação útil para quem roda no marketplace.

Como funcionam sandboxes auto hospedadas na prática

Sandboxes auto hospedadas permitem executar tarefas intensivas com dependências nativas, acessar redes privadas e cumprir controles como egress restrito, proxies corporativos e políticas de saída por domínio. Em termos operacionais, o time escolhe onde rodar os workers, por exemplo Kubernetes no data center próprio ou serviços gerenciados como Cloudflare, Daytona, Modal ou Vercel, mantendo o agente em modo gerenciado.

Alguns padrões emergem rapidamente:

  • Build e cache de ferramentas por pipeline: empacotar ferramentas e seus requisitos, promover versões entre ambientes e validar hashes na inicialização do worker. Isso reduz derivação de ambiente e facilita auditoria.
  • Limites de recursos por job: quotas de CPU, memória e tempo de execução no nível do runtime local, com logs enviados ao seu stack de observabilidade. Isso impede que um plano de ação do agente escale custos de forma imprevista.
  • Política de credenciais de organização: expor apenas os segredos necessários à execução de ferramentas, mantendo escopo por organização e rotinas de rotação.

Aplicação típica: um agente de reconciliação financeira precisa ler dados do data warehouse interno e publicar lançamentos em um ERP atrás de VPN. Com sandboxes auto hospedadas, o código roda na VPC corporativa, usa egress controlado e grava trilhas no SIEM da empresa, sem saltar para a internet.

![Data center servers representing self hosted sandboxes]

Túneis MCP, conectividade privada e padrão aberto

O Model Context Protocol padroniza como agentes se conectam a ferramentas, dados e apps. Os túneis MCP levam esse padrão ao ambiente privado, criando um canal de transporte para que Managed Agents e a Messages API acessem servidores MCP sem abertura de portas públicas. Para times de plataforma, isso simplifica topologias de DMZ, reduz exposição e melhora a história de conformidade.

Há um detalhe arquitetural importante: sandboxes auto hospedadas e túneis MCP são independentes. Um agente pode executar em contêineres gerenciados pela Anthropic e ainda assim alcançar um servidor MCP privado via túnel, ou rodar o sandbox local e falar tanto com servidores MCP públicos quanto privados. Essa flexibilidade ajuda em fases de migração e em cenários híbridos.

Como começar com MCP de forma segura:

  • Inventário de conectores MCP, priorizando serviços internos críticos e definindo escopo mínimo de permissões por conector.
  • Monitoramento de chamadas MCP com correlação por agente, ferramenta e recurso acessado, redigindo argumentos sensíveis quando necessário, um ponto levantado pela comunidade que ganha relevância com os túneis.
  • Testes de transporte, latência e backoff no túnel antes de liberar uso amplo, incluindo failover para rotas públicas quando aplicável.

Segurança, riscos conhecidos e como mitigar

A abertura de conectividade privada aumenta responsabilidade sobre superfícies de ataque. Pesquisas recentes apontaram riscos de execução remota em implementações do MCP e classificaram o problema como sistêmico em certos cenários, o que reforça a necessidade de hardening e revisão de implementações antes do rollout em larga escala. Use isso como gatilho para threat modeling, não como freio absoluto.

Recomendações práticas para times de segurança:

  • Exigir autenticação mútua entre o cliente do túnel e servidores MCP privados, com rotação de chaves e observabilidade centralizada.
  • Adotar princípio de menor privilégio nas credenciais expostas aos workers, incluindo segregação por ambiente e por equipe.
  • Validar entradas de ferramentas e outputs do agente com políticas, incluindo allowlists de domínios para egress e validação de comandos antes de execução.
  • Realizar pentests focados em cadeia MCP, desde conectores até servidores, e acompanhar as notas de versão do conector MCP oficial.

Casos de uso que ganham tração com a atualização

  • Engenharia de dados e ML: agentes que orquestram pipelines internos, executam SQL em data warehouses privados e versionam artefatos em registries corporativos, tudo com registro completo no seu stack de logs.
  • Desenvolvimento seguro: integração com repositórios e scanners internos via MCP, execução de tarefas em sandboxes com dependências nativas e publicação de PRs com validação automática. Demonstrações recentes do ecossistema Anthropic destacaram justamente o gargalo de infraestrutura e como os novos primitivos destravam produção.
  • Finanças e operações: agentes para reconciliação, compliance e criação de relatórios, conectados a ERPs e sistemas de risco internos, sem exposição de endpoints. Matérias de mercado já apontam aplicações setoriais e tempos de implantação mais curtos.

![Illustration of private tunnels for MCP connectivity]

Roadmap, disponibilidade e limitações

Segundo o post oficial, sandboxes auto hospedadas estão em beta público no Claude Platform e túneis MCP em research preview mediante acesso. A documentação reforça que, no momento, sandboxes auto hospedadas não estão disponíveis na Claude Platform on AWS. Para equipes com footprint pesado em AWS, isso é fator de planejamento de rollout.

Outro ponto de roadmap é a integração mais profunda com o conector MCP oficial e a maturidade dos ecossistemas de parceiros. Em eventos recentes, a Anthropic destacou padrões para execução isolada de código, checkpointing e escopo de credenciais, sinalizando foco em confiabilidade operacional.

Passo a passo sugerido para adoção empresarial

  1. Definição de objetivos e métricas
  • Selecione 2 a 3 fluxos de trabalho de alto impacto, por exemplo reconciliação, geração de relatórios ou automações de engenharia. Defina KPIs como tempo de ciclo, taxa de erro e custo por execução.
  1. Arquitetura mínima viável
  • Provisionar um cluster de workers para sandboxes auto hospedadas, com egress controlado, política de imagens e coleta de logs. Mantenha o loop de agente no Managed Agents e selecione conectores MCP prioritários.
  1. Segurança por desenho
  • Implemente mTLS nos túneis MCP e segregue credenciais por serviço, equipe e ambiente. Adicione validações de comando e timeouts por ferramenta. Monitore chamadas MCP com correlação por agente.
  1. Operação e SRE
  • Estabeleça SLOs de latência para chamadas de ferramenta e metas de sucesso por plano de ação do agente. Acople métricas a autoscaling do pool de workers e a políticas de retry com backoff.
  1. Conformidade e auditoria
  • Registre inputs, outputs e artefatos por execução em storage interno com retenção configurável. Gere relatórios de acesso a sistemas sensíveis invocados via MCP, com redactions de argumentos conforme política.
  1. Expansão gradual
  • Após dois sprints de estabilização, expanda para novos conectores MCP, inclua ambientes de staging e produção e avalie payback com base nas métricas definidas no início.

Insights do ecossistema e comparação com tendências

O movimento da Anthropic converge com um consenso emergente no mercado de agentes: o gargalo está menos no modelo e mais na infraestrutura, na segurança e no acoplamento com sistemas reais. Coberturas de eventos recentes e análises independentes enfatizam o endurecimento de execução, a governança de credenciais e a observabilidade como trilha para sair do laboratório e entrar em produção.

Ao mesmo tempo, a discussão pública sobre vulnerabilidades e threat modeling no MCP é saudável para todo o ecossistema. A resposta empresarial madura não é evitar o padrão, e sim escolher implementações de referência, auditar transporte, isolar runtime e limitar blast radius. Os túneis MCP e as sandboxes auto hospedadas funcionam como contrapesos práticos, desde que acompanhados por política e tooling adequados.

Conclusão

A adição de sandboxes auto hospedadas e túneis MCP ao Claude Managed Agents madura a proposta de agentes gerenciados para cenários reais. Controle de execução e rede no seu ambiente, conectividade privada a sistemas internos e orquestração confiável na nuvem formam um triângulo operacional sólido. Para equipes com metas claras e disciplina de SRE, o passo para produção fica bem mais curto.

Do ponto de vista estratégico, o recado é simples. Quem trata agente como produto, investe em infraestrutura e segurança por desenho, e mede valor por processo, captura retorno mais rápido. A atualização da Anthropic não é um truque de marketing, é um acerto de engenharia orientado a adoção empresarial, com trade offs explícitos e um caminho de implementação claro para times que sabem o que querem entregar.

Tags

agentessegurançaMCPinfraestrutura