La sicurezza enterprise diventa lo standard per i workflow agentici
L’aggiornamento del 19 maggio 2026 di Anthropic ai Claude Managed Agents segna un cambiamento decisivo nel modo in cui le imprese possono distribuire agenti AI autonomi. L’annuncio introduce due funzionalità — le sandbox self-hosted (beta pubblica) e i tunnel MCP (anteprima di ricerca) — che insieme risolvono una tensione fondamentale: come dare agli agenti il potere di eseguire strumenti e accedere a servizi mantenendo i dati sensibili e l’infrastruttura saldamente all’interno del perimetro di sicurezza dell’organizzazione.
Il loop dell’agente — il livello di orchestrazione che gestisce pianificazione, gestione del contesto e ripristino degli errori — continua a funzionare sull’infrastruttura di Anthropic. Ma l’esecuzione degli strumenti e la connettività ai servizi ora si spostano in ambienti controllati dall’utente. Questa architettura separata significa che i team di sicurezza possono applicare le politiche di rete esistenti, il logging di audit e le restrizioni di runtime senza limitare la capacità dell’agente di agire.
Per i settori regolamentati — finanza, legale, sanitario — non è un optional. È il prerequisito per qualsiasi implementazione in produzione. L’aggiornamento segnala che la piattaforma sta maturando dall’uso sperimentale degli strumenti all’hosting di agenti di livello enterprise.
Sandbox self-hosted: come funziona il confine di esecuzione
Le sandbox self-hosted disaccoppiano il ragionamento dell’agente dalle sue azioni. Quando un Managed Agent decide di eseguire uno strumento — eseguire codice, installare un pacchetto, leggere un file — quell’esecuzione viene inviata a una sandbox in esecuzione sull’infrastruttura dell’utente o presso un provider gestito. I file, i repository e i pacchetti non lasciano mai quell’ambiente.
Gli utenti mantengono il pieno controllo sulle risorse di calcolo. Definiscono il dimensionamento delle risorse, l’immagine di runtime e la capacità allocata. Questo è importante per carichi di lavoro non banali: build di lunga durata, pipeline di generazione di immagini o elaborazione dati che richiedono CPU e memoria consistenti.
Il modello di sicurezza è semplice ma potente. Gli asset sensibili rimangono all’interno del perimetro dell’utente. Gli strumenti di sicurezza esistenti — policy di rete, controlli di uscita, logging di audit — si applicano senza modifiche. L’agente diventa un tenant gestito all’interno di un ambiente di cui l’organizzazione già si fida e che monitora.
Tunnel MCP: connettività a servizi privati senza esposizione pubblica
Il Model Context Protocol (MCP) consente agli agenti di chiamare strumenti esterni — database, API, basi di conoscenza, sistemi di ticketing. Ma esporre questi servizi a Internet pubblico è inammissibile per la maggior parte delle aziende. I tunnel MCP risolvono questo problema creando una connessione crittografata e solo in uscita dall’interno della rete privata verso l’infrastruttura agent.
Un gateway leggero distribuito dall’utente avvia una singola connessione in uscita. Non sono richieste regole firewall in entrata. Non vengono creati endpoint pubblici. Il traffico è crittografato end-to-end e i servizi interni rimangono invisibili al resto di Internet.
Questa funzionalità si estende sia ai Managed Agents che all’API Messages. Gli amministratori dell’organizzazione gestiscono i tunnel dalle impostazioni dell’area di lavoro nella Claude Console. Lo stato di anteprima di ricerca significa che l’accesso è su richiesta, ma la direzione architetturale è chiara: gli agenti si connetteranno ai sistemi aziendali allo stesso modo in cui lo fanno i servizi interni esistenti — in modo sicuro e privato.
L’ecosistema dei provider: quattro approcci all’infrastruttura sandbox
Anthropic non impone un unico provider di sandbox. Gli utenti possono portare qualsiasi client sandbox, ma vengono evidenziati quattro partner con integrazioni profonde, ognuno con una propria filosofia tecnica.
Cloudflare esegue sandbox su larga scala utilizzando microVM e isolati leggeri. Il suo elemento differenziante è il controllo di rete: iniezione di segreti zero-trust, proxy di uscita personalizzabili in grado di controllare o modificare le richieste in uscita e la capacità di connettersi a servizi interni attraverso la rete di Cloudflare. Amplitude sta utilizzando questo stack per costruire Design Agent, uno strumento interno per la progettazione di interfacce e materiali di marketing conformi al brand, valorizzando l’osservabilità e il controllo.
Daytona fornisce computer completamente componibili, a lunga esecuzione e con stato. La stessa primitiva gestisce picchi rapidi o agenti che lavorano per ore. Le sessioni rimangono accessibili via SSH o URL di anteprima autenticati e possono essere messe in pausa e ripristinate con lo stato completo preservato. L’agente di ingegneria GTM di Clay, Sculptor, lo utilizza per costruire, testare e monitorare i workflow in modo autonomo.
Modal è una piattaforma cloud realizzata appositamente per i carichi di lavoro AI. Le sue sandbox condividono le fondamenta con le funzioni, lo storage e le primitive di rete di Modal. Avvio inferiore al secondo su qualsiasi immagine, scalabilità fino a centinaia di migliaia di sandbox concorrenti e risorse CPU e GPU on-demand la rendono adatta a compiti agent ad alta intensità di calcolo.
Vercel combina la sicurezza delle macchine virtuali con il peering VPC e tempi di avvio di millisecondi. Il suo firewall inietta le credenziali al confine di rete in modo che non entrino mai nella sandbox stessa. Rogo, una piattaforma AI per la finanza istituzionale, sta costruendo un agente analista su questo stack per gestire dati proprietari in modo sicuro.
Voci dal campo: cosa stanno costruendo gli early adopter
Le dichiarazioni dei clienti rivelano uno schema costante: i team usano i Managed Agents per sostituire fragili configurazioni locali con affidabilità di livello cloud, mantenendo il controllo sull’infrastruttura.
“Claude Managed Agents ci permettono di replicare la potenza di un agente locale con l’affidabilità, il versionamento e l’esecuzione in background di un agente cloud. E gestendolo con le nostre sandbox, come Daytona, otteniamo il controllo sul filesystem, così possiamo montare archivi di file esterni e installare pacchetti al volo.” — Ryan Chang, AI Engineering presso Clay
“Claude Managed Agents gestisce il loop dell’agente, le sandbox di Vercel forniscono un ambiente che possiamo configurare per i nostri carichi di lavoro. Questo ci dà la possibilità di sfruttare un’infrastruttura di alto livello mentre ci concentriamo su ciò che crea valore per una piattaforma AI finanziaria.” — Strib Walker, Head of Product presso Rogo
“La sandbox di Modal ci fornisce il confine di sicurezza di cui i nostri clienti enterprise hanno bisogno, e combinarla con Claude Managed Agents ci dà un potente harness senza dover costruire manualmente complessità extra. Avevamo una versione funzionante in meno di una settimana.” — Sai Yandapalli, CTO
La velocità di implementazione iniziale è un tema ricorrente. Will Newton di Amplitude osserva che il loro agente di design era operativo “in due giorni su un’infrastruttura che già conosciamo e di cui ci fidiamo”. Ciò suggerisce che la superficie di integrazione tra i Managed Agents e questi provider di sandbox è già pragmatica per la produzione.
Implicazioni pratiche e la strada da percorrere
L’aggiornamento ridisegna il calcolo build-versus-buy per l’infrastruttura agent. In precedenza i team dovevano scegliere tra agenti completamente gestiti con controlli di sicurezza limitati e orchestratori autocostruiti che richiedevano un investimento ingegneristico significativo. Le nuove funzionalità offrono una via di mezzo: il loop dell’agente è gestito, ma l’esecuzione e la connettività rimangono all’interno dei confini aziendali.
Restano diverse questioni aperte. La funzionalità dei tunnel MCP è in anteprima di ricerca e le sue caratteristiche prestazionali sotto carico, i profili di latenza per chiamate di strumenti ad alta frequenza e l’intera superficie di gestione per gli amministratori non sono ancora documentati. L’ecosistema dei provider di sandbox, pur essendo diversificato, potrebbe creare frammentazione nelle pratiche operative — ogni provider ha diversi modelli di logging, monitoraggio e gestione dello stato.
Tuttavia, la direzione è inequivocabile. L’AI agentica nelle imprese si sta muovendo verso un modello in cui il ragionamento è centralizzato ma l’azione è distribuita e controllata localmente. L’annuncio del 19 maggio rende questa architettura disponibile come prodotto, non solo come white paper.
