Code with Claude 在伦敦开场那天,Anthropic 扔出来的东西是给企业 IT 看的——Claude Managed Agents 多了两个新部件:自托管沙盒(Self-Hosted Sandboxes)进了公测,MCP Tunnels 拿到了 research preview 名额。
这是 5 月 19 日的事。
终于妥协了一半:执行环境可以留在你机房
之前 Claude Managed Agents 跑工具的时候,所有事都发生在 Anthropic 的服务器上。代码在 Anthropic 的沙盒里执行、文件读到 Anthropic 的内存里、构建产物落在 Anthropic 的磁盘上。
对个人开发者没问题,对企业 IT 是噩梦。一旦你的代码库不能离开公司网络、一旦你的数据库连入境都得审计,这条路就走不下去。
Self-Hosted Sandboxes 把这事拆了:
- Anthropic 这边管:编排(orchestration)、上下文管理、错误恢复、agent loop 本身
- 你这边管:CPU、内存、运行时镜像、网络策略、审计日志
文件和仓库始终留在客户环境里,按官方说法。
Anthropic 还点了四家托管伙伴出来:
| 伙伴 | 提供的东西 |
|---|---|
| Cloudflare | microVMs |
| Daytona | 有状态环境 |
| Modal | GPU/CPU 算力 |
| Vercel | VPC peering |
你可以自己搭,也可以从这四家里挑一家代管。
关键限制:编排还在 Anthropic 服务器上。 所以这不是”完整本地化部署”——agent 的大脑还在云端,只是手脚回家了。
MCP Tunnels:不开防火墙就能给 Agent 喂私有系统
第二件事更微妙。
MCP(Model Context Protocol)这一年变成了行业接口标准,问题是企业里真正有用的东西都藏在内网——内部 OA、ticketing 系统、数据仓库、知识库、私有 API。要让 Claude Agent 调到这些东西,传统做法是开一个公网 endpoint,然后疯狂加白名单、加鉴权。
Anthropic 这次反过来做:
不是 Anthropic 从外面连进来,是你的 MCP 服务器主动往 Anthropic 拨一条出站加密连接。
具体讲,企业部署一个轻量 gateway,这个 gateway 跟 Anthropic 基础设施建立一条端到端加密的出站隧道。Claude Managed Agents 和 Messages API 通过这条隧道访问内网 MCP 服务,不用开任何入站防火墙规则,不用暴露任何公网端口。
数据库、API、知识库、ticketing 系统——这些以前死活进不去 AI 工作流的内部系统,现在能直接变成 agent 调用的工具。
这事对谁重要
InfoQ 引了一句行业观察者 Daksh Trehan 的话,挺扎实:
“The compliance team is the real bottleneck for production agents, not the model.”
讲人话就是——卡企业 AI 落地的根本不是模型不够强,是合规团队不让数据出门。
过去半年 Claude Cowork、Claude for Excel、PwC 三万员工部署、NEC 三万员工部署,这些大单子能签下来的前提,是 Anthropic 在持续往”企业可控”那个方向上挪。Self-Hosted Sandbox 把执行权交回客户,MCP Tunnels 把内网入口扩进 Claude——这两步都是把模型能力包装成合规审计能批的形态。
OpenAI 上周才宣布 DeployCo + Tomoro 那套打企业的组合,Google 这边 Antigravity 2.0 也喊出来了”Enterprise Agent Platform”。三家都看清了一件事:toC 那点 ChatGPT 订阅再翻倍也是几十亿美金,企业 IT 预算才是万亿级。
谁先把”agent + 合规”这道题答出来,谁先吃到下一轮的肉。
参考来源:Anthropic adds self-hosted sandboxes and MCP tunnels to Claude Managed Agents(The Decoder)、Anthropic Introduces MCP Tunnels for Private Agent Access to Internal Systems(InfoQ)、Anthropic debuts MCP tunnels and self-hosted sandboxes to lock down AI agent infrastructure(The New Stack)