Home Fondamenti Token Modelli AI Deep Learning Tecniche RAG MCP Orchestrazione Prompt Engineering Usare l'AI ChipsBot News
HomeNews › Ecco come gli agenti Claude restano nel perimetro ...

Ecco come gli agenti Claude restano nel perimetro aziendale

AI Italia Blog 21 maggio 2026

Anthropic apre i Claude Managed Agents al sandbox self-hosted, ospitato su infrastruttura propria o sui provider Cloudflare, Daytona, Modal e Vercel, e introduce i tunnel MCP per raggiungere server interni senza esporli al pubblico. Il cervello dell’agente resta su Anthropic, le mani tornano nel perimetro, con audit e policy già in essere.

Due punti chiave per aziende regolate

Ecco due punti che chiunque abbia provato a portare un agente AI dentro un’azienda regolata conosce bene:

    • Le due capacità nuove di Claude sono i self-hosted sandboxes in beta pubblica e gli MCP tunnel in research preview.
    • La promessa, sul piano architetturale, è che il «cervello» dell’agente, ovvero il modello e la sua orchestrazione, resti su infrastruttura Anthropic, mentre le «mani» dell’agente, ovvero il sandbox di esecuzione e i server MCP interni, possano vivere completamente dentro il perimetro del cliente.

Per leggere bene questa novità serve risalire alla scelta architetturale fatta da Anthropic ad aprile 2026, raccontata in un post di engineering firmato da Lance Martin, Gabe Cemaj e Michael Cohen. Il team ha disaccoppiato l’agente in tre interfacce: la sessione, intesa come log append-only di ogni evento, l’harness, ovvero il loop che chiama Claude e instrada le tool call, e il sandbox dove il codice generato gira davvero. Il punto chiave è che ciascuno di questi componenti può fallire o essere sostituito senza disturbare gli altri.

Un disaccoppiamento architetturale

Nel design iniziale, harness e sandbox stavano nello stesso container, e questo creava due problemi seri di cui Anthropic stessa scrive: quando il container moriva, la sessione era persa, e quando un cliente chiedeva di collegare l’agente alla propria VPC bisognava fare peering tra reti o portare l’harness dentro l’ambiente del cliente.

Disaccoppiando il cervello dalle mani, l’harness ha smesso di assumere che le risorse stessero nel container con lui, e il container è diventato cattle anziché pet. La metafora pet-vs-cattle è quella classica: il pet ha un nome, lo curi se si ammala; il cattle è intercambiabile, se cade ne prendi un altro.

Miglioramenti misurabili

L’effetto pratico misurato da Anthropic è importante: con la nuova architettura, la latenza p50 di time-to-first-token è scesa di circa il 60% e la p95 di oltre il 90%. Il dato non riguarda direttamente l’annuncio di Anthropic, però spiega perché oggi i sandbox possano essere ospitati altrove senza penalizzare l’esperienza dell’utente che usa l’agente.

I sandbox e dove si esegue l’agente

Il sandbox è il luogo dove l’agente scrive file, esegue codice, gira test, fa build, genera output. Nelle versioni precedenti di Managed Agents, quel luogo era infrastruttura Anthropic. Con i self-hosted sandbox, il cliente sceglie dove farlo girare: sull’infrastruttura propria, o su uno dei quattro provider gestiti partner:

    • Cloudflare offre microVM e isolates leggeri con iniezione zero-trust delle credenziali e proxy egress audibili.
    • Daytona propone computer componibili long-running e stateful, accessibili via SSH o preview URL autenticato, con pausa e ripristino dello stato.
    • Modal porta sandbox con startup sub-secondo che condividono la stessa base delle sue function e storage, scalando a centinaia di migliaia di sandbox concorrenti.
    • Vercel combina sicurezza VM, VPC peering e bring-your-own-cloud, con un firewall che inietta le credenziali al confine di rete così che non entrino mai nel sandbox.

L’elenco delle integrazioni è interessante perché segnala una scelta di posizionamento, infrastructure-agnostic da un lato, partner-friendly dall’altro. Anthropic non sta provando a vendere il proprio sandbox come unica opzione, sta dicendo che l’interfaccia «execute(name, input) → string» è l’unica cosa che le interessa standardizzare, e tutto il resto può essere portato dal cliente o da un terzo.

Una questione di sicurezza

Sul piano della sicurezza, il guadagno è ovvio per chi opera in finance, sanità, settori regolati. I file e i repository non lasciano l’infrastruttura del cliente. Le policy di rete, gli audit log, gli strumenti di security già in essere si applicano all’agente come si applicano a qualunque altro carico di lavoro interno.

Anche il sizing del compute torna in mano al cliente, e questo conta per workload pesanti, come build lunghe o generazione di immagini, dove il tuning di CPU e memoria fa la differenza fra un agente che termina in un’ora e uno che termina in dieci minuti.

Gli MCP tunnel, accesso sicuro alle risorse interne

Il secondo annuncio riguarda un problema diverso. Un agente serio dentro un’azienda non lavora solo su file: lavora su database interni, API private, knowledge base, sistemi di ticketing, CRM, ERP.

Per anni la soluzione standard è stata esporre questi servizi via API gateway pubblici con autenticazione robusta, oppure mettere una VPN in mezzo, o ancora aprire whitelist su specifici IP.

Nessuna delle tre è particolarmente elegante in un mondo dove l’agente è una macchina che deve negoziare credenziali in autonomia.

Con gli MCP tunnel, il cliente deploya un gateway leggero dentro la propria rete privata. Quel gateway apre una singola connessione in uscita verso Anthropic, niente regole inbound, niente endpoint pubblici, traffico cifrato end-to-end.

Reverse tunnel, pattern già noto

Da quel momento, i server MCP che girano internamente, e che espongono come tool i sistemi aziendali, diventano accessibili agli agenti senza dover essere mai esposti su internet.

È un pattern già noto in ambito enterprise, lo si vede nei reverse tunnel di Cloudflared, in Grok per uso più leggero, in Tailscale, però portato dentro il protocollo MCP e gestito dalla console Claude dagli admin di workspace.

Vale la pena fermarsi sull’implicazione pratica. Un’azienda che ha già adottato MCP per esporre i propri sistemi come tool, e qui mi vengono in mente le banche italiane che stanno sperimentando con MCP server interni per pratiche di credit scoring o per ricerca legal, non deve più scegliere tra «espongo il server su internet con tutti i rischi del caso» oppure «rinuncio a usare agenti gestiti e mi tengo tutto in casa con un’esperienza developer più povera».

Adesso può tenere il server dove sta, dentro la VPC, e farlo raggiungere dall’agente attraverso un canale che è sotto il suo controllo.

Più testimonianze industriali

Anthropic accompagna l’annuncio con quattro testimonial che valgono come prova industriale.

Clay costruisce con Daytona

Clay sta costruendo Sculptor, un agente GTM engineering che progetta, testa e monitora workflow in autonomia, sopra Managed Agents e Daytona. Ryan

Leggi l'articolo originale →
← Torna alle news