La seguridad empresarial se convierte en la opción predeterminada para los flujos de trabajo agentivos
La actualización del 19 de mayo de 2026 de Anthropic para los Managed Agents de Claude marca un giro decisivo en la forma en que las empresas pueden desplegar agentes autónomos de IA. El anuncio introduce dos capacidades —sandboxes autogestionados (beta pública) y túneles MCP (vista previa de investigación)— que juntas resuelven una tensión fundamental: cómo dar a los agentes el poder de ejecutar herramientas y acceder a servicios manteniendo los datos sensibles y la infraestructura firmemente dentro del perímetro de seguridad de la organización.
El bucle del agente —la capa de orquestación que gestiona la planificación, el contexto y la recuperación de errores— sigue ejecutándose en la infraestructura de Anthropic. Pero la ejecución de herramientas y la conectividad con servicios ahora se trasladan a entornos controlados por el usuario. Esta arquitectura dividida permite que los equipos de seguridad apliquen políticas de red, registros de auditoría y restricciones de tiempo de ejecución existentes sin limitar la capacidad del agente para actuar.
Para industrias reguladas —finanzas, asesoría legal, salud— esto no es un lujo. Es el requisito previo para cualquier despliegue en producción. La actualización indica que la plataforma está madurando desde el uso experimental de herramientas hacia un alojamiento de agentes de nivel empresarial.
Sandboxes autogestionados: cómo funciona el límite de ejecución
Los sandboxes autogestionados separan el razonamiento del agente de sus acciones. Cuando un Managed Agent decide ejecutar una herramienta —ejecutar código, instalar un paquete, leer un archivo— esa ejecución se envía a un sandbox que se ejecuta en la infraestructura del propio usuario o con un proveedor gestionado. Los archivos, repositorios y paquetes nunca abandonan ese entorno.
Los usuarios conservan el control total de la computación. Ellos definen el tamaño de los recursos, la imagen de tiempo de ejecución y la capacidad asignada. Esto es importante para cargas de trabajo que no son triviales: compilaciones de larga duración, canalizaciones de generación de imágenes o procesamiento de datos que requieren mucha CPU y memoria.
El modelo de seguridad es sencillo pero potente. Los activos sensibles permanecen dentro del perímetro del usuario. Las herramientas de seguridad existentes —políticas de red, controles de salida, registros de auditoría— se aplican sin modificaciones. El agente se convierte en un inquilino gestionado dentro de un entorno en el que la organización ya confía y supervisa.
Túneles MCP: conectividad privada a servicios sin exposición pública
El Model Context Protocol (MCP) permite a los agentes llamar a herramientas externas —bases de datos, APIs, bases de conocimiento, sistemas de tickets—. Pero exponer esos servicios a internet pública es inviable para la mayoría de las empresas. Los túneles MCP lo resuelven creando una conexión cifrada y solo de salida desde el interior de la red privada hacia la infraestructura del agente.
Un gateway ligero desplegado por el usuario inicia una única conexión saliente. No se requieren reglas de firewall entrantes. No se crean puntos finales públicos. El tráfico se cifra de extremo a extremo y los servicios internos permanecen invisibles para el internet general.
Esta capacidad se extiende tanto a los Managed Agents como a la API de Messages. Los administradores de la organización gestionan los túneles desde la configuración del espacio de trabajo en la Consola de Claude. El estado de vista previa de investigación significa que el acceso es bajo solicitud, pero la dirección arquitectónica es clara: los agentes se conectarán a los sistemas empresariales de la misma manera que lo hacen los servicios internos existentes —de forma segura y privada.
El ecosistema de proveedores: cuatro enfoques para la infraestructura de sandbox
Anthropic no exige un único proveedor de sandbox. Los usuarios pueden traer cualquier cliente de sandbox, pero se destacan cuatro socios con integraciones profundas, cada uno con una filosofía técnica distinta.
Cloudflare ejecuta sandboxes a escala utilizando microVMs y aislados ligeros. Su diferenciador es el control de red: inyección de secretos con confianza cero, proxies de salida personalizables que pueden auditar o modificar las solicitudes salientes, y la capacidad de conectarse a servicios internos a través de la red de Cloudflare. Amplitude está utilizando esta pila para construir Design Agent, una herramienta interna para diseño de UI y marketing bajo la marca, valorando la observabilidad y el control.
Daytona proporciona computadoras completamente componibles que son de larga duración y con estado. La misma primitiva gestiona ráfagas rápidas o agentes que trabajan durante horas. Las sesiones permanecen accesibles a través de SSH o URLs de vista previa autenticadas y pueden pausarse y restaurarse con todo el estado preservado. El agente de ingeniería GTM de Clay, Sculptor, utiliza esto para construir, probar y supervisar flujos de trabajo de forma autónoma.
Modal es una plataforma en la nube creada específicamente para cargas de trabajo de IA. Sus sandboxes comparten bases con las funciones, almacenamiento y primitivas de red de Modal. El inicio en menos de un segundo en cualquier imagen, el escalado a cientos de miles de sandboxes concurrentes y los recursos de CPU y GPU bajo demanda lo hacen adecuado para tareas de agente intensivas en cómputo.
Vercel combina la seguridad de VM con el emparejamiento de VPC y tiempos de inicio en milisegundos. Su firewall inyecta credenciales en el límite de la red para que nunca entren en el sandbox mismo. Rogo, una plataforma de IA para finanzas institucionales, está construyendo un agente analista sobre esta pila para manejar datos propietarios de forma segura.
Voces del terreno: lo que están construyendo los primeros adoptantes
Las declaraciones de los clientes revelan un patrón consistente: los equipos están utilizando Managed Agents para reemplazar configuraciones frágiles de agentes locales con la fiabilidad de nivel de nube, manteniendo al mismo tiempo el control de la infraestructura.
“Los Managed Agents de Claude nos permiten replicar la potencia de un agente local con la fiabilidad, el versionado y la ejecución en segundo plano de un agente en la nube. Y ejecutarlo con nuestros sandboxes, como Daytona, nos da control sobre el sistema de archivos, por lo que podemos montar almacenes de archivos externos e instalar paquetes sobre la marcha.” — Ryan Chang, Ingeniería de IA en Clay
“Los Managed Agents de Claude gestionan el bucle del agente, y los sandboxes de Vercel nos ofrecen un entorno que podemos configurar para nuestras cargas de trabajo. Esto nos da la opción de aprovechar infraestructura de primer nivel mientras nos centramos en lo que realmente aporta valor a una plataforma financiera de IA.” — Strib Walker, Director de Producto en Rogo
“El sandbox de Modal nos proporciona el límite de seguridad que necesitan nuestros clientes empresariales, y combinarlo con los Managed Agents de Claude nos da un potente arnés sin tener que añadir complejidad manualmente. Tuvimos una versión funcional en menos de una semana.” — Sai Yandapalli, CTO
La velocidad del despliegue inicial es un tema recurrente. Will Newton, de Amplitude, señala que su agente de diseño estuvo funcionando “en dos días sobre infraestructura que ya conocemos y en la que confiamos”. Esto sugiere que la superficie de integración entre los Managed Agents y estos proveedores de sandbox ya es práctica para producción.
Implicaciones prácticas y el camino por delante
La actualización reformula el cálculo de construir versus comprar para la infraestructura de agentes. Los equipos antes tenían que elegir entre agentes totalmente gestionados con controles de seguridad limitados y orquestadores auto-construidos que exigían una inversión de ingeniería significativa. Las nuevas capacidades ofrecen un camino intermedio: el bucle del agente se gestiona, pero la ejecución y la conectividad permanecen dentro de los límites empresariales.
Quedan varias preguntas abiertas. La función de túneles MCP está en vista previa de investigación, y aún no están documentadas sus características de rendimiento bajo carga, los perfiles de latencia para llamadas a herramientas de alta frecuencia y la superficie completa de gestión para administradores. El ecosistema de proveedores de sandbox, aunque diverso, podría crear fragmentación en las prácticas operativas —cada proveedor tiene diferentes patrones de registro, supervisión y gestión de estado.
Aun así, la dirección es inequívoca. La IA agentiva en la empresa se está moviendo hacia un modelo en el que el razonamiento está centralizado, pero la acción es distribuida y controlada localmente. El anuncio del 19 de mayo hace que esa arquitectura esté disponible como producto, no solo como un documento técnico.
