Anthropic sposta l’esecuzione dentro l’azienda, la regia resta fuori
Il 19 maggio, al primo Code with Claude tenuto a Londra, Anthropic ha annunciato due funzionalitร che spostano in modo concreto dove vivono gli agenti AI dentro le aziende. La prima si chiama self-hosted sandboxes ed รจ in public beta. La seconda si chiama MCP tunnels ed รจ in research preview. Messe vicine valgono piรน di quanto sembrino a una lettura veloce della release note, e provo a dire perchรฉ.
Il punto di partenza tecnico รจ semplice. Claude Managed Agents รจ l’infrastruttura ospitata di Anthropic per far girare sessioni agentiche lunghe e tool-heavy. Fino a maggio, tutto stava lรฌ: l’agent loop con orchestrazione e gestione del contesto, l’esecuzione dei tool, la connessione ai servizi esterni. Adesso una parte di quello stack puรฒ uscire da Anthropic e rientrare dentro il perimetro del cliente, mentre l’altra resta dove era. La regia rimane su Anthropic. L’azione si sposta a casa tua.
L’esecuzione si sposta a casa tua
Quando un agente esegue un tool, esegue codice. Apre file, installa pacchetti, chiama API, scarica risorse. Fino a ieri tutto questo avveniva nei sandbox gestiti da Anthropic. Da oggi puoi configurare l’agente perchรฉ esegua quegli stessi tool dentro la tua infrastruttura, oppure presso un provider gestito a tua scelta (Cloudflare, Daytona, Modal, Vercel sono i nomi citati). I tuoi file sensibili, le repository di codice, i pacchetti privati, i segreti di configurazione non lasciano piรน la tua rete. E il logging di audit, le policy di sicurezza, gli strumenti di monitoring che hai giร sul tuo perimetro continuano a vedere e regolare quello che fa l’agente.
L’orchestrazione, invece, resta su Anthropic. L’agent loop, la gestione del contesto, la recovery dagli errori, la pianificazione delle azioni successive sono tutti gestiti dall’API di Claude. Cambia solo dove materialmente vengono eseguite le chiamate. Se l’agente decide di lanciare uno script Python per processare un file, lo script gira sul tuo sandbox, non sul loro.
Un canale che parla solo verso l’esterno
Gli MCP tunnels affrontano il problema speculare. Come fa un agente a parlare con i tuoi sistemi interni senza che tu debba esporli a internet? Il Model Context Protocol รจ lo standard aperto che Anthropic ha promosso lo scorso anno per far dialogare gli agenti con sorgenti dati e servizi esterni. Funziona bene quando i servizi sono pubblici, meno bene quando sono dentro un network privato.
Il meccanismo che hanno introdotto รจ un gateway leggero, che il cliente dispiega dentro la propria rete, e che apre una singola connessione outbound verso Anthropic, cifrata end-to-end. Nessuna porta inbound da aprire. Nessun endpoint pubblico. Nessuna modifica al firewall. Sopra quel canale possono passare conversazioni MCP verso server interni che ospitano database, knowledge base, ticketing system, API private. L’agente di colpo puรฒ chiamare quei sistemi come fossero tool standard, ma il traffico non transita mai sull’internet pubblico.
Dove finisce l’azienda, dove comincia il modello
A una lettura superficiale รจ un aggiornamento di sicurezza e compliance. Per le aziende regolate รจ una notizia importante perchรฉ toglie uno dei blocchi tipici all’adozione, quel “non possiamo far uscire i dati” che ferma centinaia di progetti ogni anno. Per chi vende AI in enterprise รจ una mossa competitiva contro i player che offrono giร installazioni on-premise complete.
C’รจ anche un altro livello. Anthropic sta dichiarando, in modo molto operativo, dove finisce l’azienda e dove comincia il modello. Per anni la domanda “dove vive un’AI aziendale” ha avuto due risposte estreme: o tutto in cloud sul provider, oppure tutto on-premise con uno stack auto-ospitato. Adesso ne sta diventando praticabile una terza, piรน sottile. La testa pensante del sistema, l’agent loop, resta fuori dall’azienda perchรฉ lรฌ sta l’innovazione che si muove troppo veloce per essere replicata internamente. Le mani che toccano i dati e i tool tornano dentro perchรฉ lรฌ stanno le regole, la responsabilitร , il perimetro legale e culturale.
ร una decomposizione interessante. Non รจ cloud, non รจ on-prem, รจ un terzo modello in cui l’autoritร decisionale dell’agente รจ separata dall’autoritร esecutiva. Anthropic decide come ragiona. Tu decidi cosa puรฒ toccare. La superficie di contatto fra i due livelli รจ codificata in due primitive ben definite, il sandbox e il tunnel.
Cambia anche il modo di comprarla
In Pelle Digitale avevo provato a descrivere come la mediazione tra noi e le macchine stesse cambiando forma. Quello che vedo qui รจ una variante infrastrutturale dello stesso fenomeno. La pelle non รจ piรน solo l’interfaccia in cui parliamo col modello. ร anche la membrana tecnica che decide cosa passa e cosa no, cosa esce dall’azienda e cosa rientra, cosa il modello puรฒ sapere e cosa no. La progettano gli ingegneri di Anthropic disegnando le primitive del sistema. La progettiamo noi configurando policy, tunnel, sandbox.
Chi sta portando agenti AI in produzione dentro un’azienda strutturata, con questa architettura, deve mettere in conto tre cose che fino a ieri non c’erano.
Sul piano contrattuale e legale il discorso “i miei dati attraversano i server del fornitore” diventa meno semplice da fare, perchรฉ in molti scenari non รจ piรน vero. Tool execution e dati restano dentro, l’agente fuori vede solo quello che il sandbox gli restituisce. Vanno aggiornati i template di DPIA, le clausole nei contratti con i fornitori, le policy di data residency.
Sul piano organizzativo bisogna decidere chi gestisce un agente AI con questa architettura. Lo sviluppo software perchรฉ esegue codice. L’infrastruttura perchรฉ ospita sandbox e gateway. Il security perchรฉ definisce le policy del perimetro. Il data team perchรฉ decide quali sistemi interni esporre via MCP. Sono quattro funzioni che fino a ieri non lavoravano insieme su questo tipo di progetti, e bisognerร costruire workflow nuovi per farle convivere.
Sul piano strategico, Anthropic dichiara con queste mosse di voler diventare l’infrastruttura di default per gli agenti enterprise. Non un fornitore di modelli sotto, ma un layer di orchestrazione che si integra dentro le aziende mantenendo i confini tecnici e di sicurezza che le aziende vogliono. Per chi compra รจ una scelta strategica diversa rispetto a scegliere un fornitore di LLM piรน una soluzione di agentic framework messa su a parte. Per chi vende prodotti AI on top, conviene capire dove si posiziona la propria offerta rispetto a questo stack che si sta consolidando.
Il debug a cavallo del confine
C’รจ una cosa che la documentazione di Anthropic non risolve, e che secondo me sarร il punto di osservazione piรน interessante nei prossimi mesi. Quando l’agent loop sta fuori e i tool girano dentro, il debugging di un comportamento anomalo dell’agente diventa un esercizio distribuito. Il log dell’orchestrazione lo vede Anthropic. Il log dell’esecuzione lo vedi tu. La correlazione fra una decisione presa dal modello e un’azione fatta sul tuo sandbox passa attraverso due piani di osservabilitร separati. Per capire perchรฉ un agente ha cancellato un file di troppo, serviranno entrambi.
Vedere come si organizza questa osservabilitร a cavallo del confine sarร uno degli indicatori migliori per capire se il pattern decolla davvero, o se resta confinato ai casi d’uso piรน semplici. La promessa tecnica c’รจ, la direzione mi sembra giusta. Resta da vedere quanto in fretta le aziende, anche quelle non super-tech, riusciranno ad attrezzarsi per giocare a questo gioco con la maturitร che richiede.
Articolo di riferimento: New in Claude Managed Agents: self-hosted sandboxes and MCP tunnels, Anthropic, 19 maggio 2026.