Claude Managed Agents ganha self-hosted sandboxes e MCP tunnels: o que muda para agentes de IA dentro de empresas reguladas
Anthropic separa orquestração de execução: agente pensa na nuvem, age dentro do firewall do cliente. Para bancos, seguradoras e governo brasileiros, é a arquitetura que destrava pilotos parados há meses.
Resumo: A Anthropic anunciou em maio de 2026, durante o evento Code with Claude, dois recursos que mudam como agentes de IA podem operar dentro de empresas: self-hosted sandboxes (em beta pública) e MCP tunnels (em research preview). Juntos, eles deixam a orquestração do agente na infraestrutura da Anthropic, mas mantêm execução de ferramentas e acesso a sistemas internos dentro do perímetro do cliente. Para times de segurança brasileiros — sobretudo em bancos, seguradoras, saúde e governo — esse é o tipo de arquitetura que destrava projetos de agentes que estavam parados há meses.
O problema que a Anthropic está tentando resolver
Quem já tentou colocar um agente autônomo dentro de uma empresa regulada sabe a frustração. A área de negócio quer que o Claude (ou GPT, Gemini, Llama) leia arquivos da rede interna, consulte bancos de dados internos, dispare ações em sistemas legados. A área de segurança responde, com razão, que abrir esses sistemas para uma API externa cria superfície de ataque inaceitável: tráfego saindo para fora do firewall, credenciais voando, exposição de dados sensíveis. O projeto morre — ou vira uma demo bonita que nunca chega à produção.
A arquitetura padrão de “Claude Managed Agents”, lançada antes, já fazia parte do trabalho: o ciclo do agente (planejamento, gestão de contexto, recuperação de erros, chamada de ferramentas) rodava na nuvem da Anthropic. O que faltava era separar duas coisas: onde o agente pensa e onde o agente age. As novidades de maio resolvem exatamente isso.
Self-Hosted Sandboxes: onde o código realmente roda
Com self-hosted sandboxes, a execução das ferramentas que o agente chama (rodar um script Python, processar um arquivo, manipular uma planilha) pode acontecer em infraestrutura controlada pelo cliente. A Anthropic oferece integração com provedores gerenciados — Cloudflare, Daytona, Modal, Vercel — ou suporta sandboxes operadas pelo próprio cliente. O loop do agente continua na Anthropic, mas os arquivos sensíveis, pacotes e serviços que ele toca ficam onde precisam ficar.
Na prática, isso significa que um banco pode rodar o agente em sua VPC, com a sandbox sujeita às mesmas políticas de DLP, audit log e network controls que qualquer outro workload interno. O agente recebe os dados, processa, devolve o resultado, e nada sensível precisa cruzar a fronteira da rede.
MCP Tunnels: conectar sistemas privados sem abrir a porta
O segundo recurso, em research preview, é talvez o mais elegante. Model Context Protocol (MCP) virou padrão para conectar agentes a fontes de dados e ferramentas. O problema é que servidores MCP corporativos — que falam com o CRM, o ERP, o data lake interno — não podem ser publicados na internet. Tradicionalmente, conectar um agente externo a eles exigiria abrir regras de entrada no firewall.
MCP tunnels invertem o sentido da conexão. Em vez de a Anthropic se conectar ao servidor MCP do cliente, o cliente deploya um gateway leve dentro da rede, que estabelece uma conexão criptografada de saída com a infraestrutura da Anthropic. Funciona como um túnel reverso: a porta nunca é aberta para fora, mas o agente externo consegue conversar com o servidor MCP interno através dela. É o mesmo princípio usado por ferramentas como Cloudflare Tunnel ou ngrok, agora encapsulado e tratado como cidadão de primeira classe na plataforma Anthropic.
Por que importa — e o status no Brasil
Para empresas brasileiras submetidas à LGPD, ao Open Finance, à Resolução 4.893 do Bacen ou às regras setoriais da ANS e da ANPD, a arquitetura clássica de agentes era um beco sem saída. Mandar dados sensíveis para serem processados por uma API externa, mesmo com criptografia em trânsito, era difícil de defender perante auditores. A combinação sandbox interno + túnel de saída resolve a maior parte das objeções clássicas: dados ficam onde precisam ficar, conexões são auditáveis, não há porta aberta na borda.
Provedores brasileiros de cloud (Magalu Cloud, BR Digital, Locaweb, Mandic) deveriam acompanhar de perto: a Cloudflare já entrou como provedor gerenciado oficial, e há espaço para que provedores locais ofereçam sandboxes em jurisdição brasileira, atraindo clientes que precisam de soberania de dados.
Análise SWOT econômica
Forças
Reduz a maior barreira de segurança para agentes corporativos. Compatível com práticas de DLP, network segmentation e audit log já existentes. Integra com provedores gerenciados, o que reduz operação.
Fraquezas
MCP tunnels ainda em research preview, sem SLA claro. Sandboxes self-hosted exigem operação não trivial. Latência cresce com o número de saltos de rede entre orquestração e execução.
Oportunidades
Provedores brasileiros podem ofertar sandboxes em jurisdição local. Consultorias podem empacotar templates de deployment para setores regulados (bancos, seguros, saúde, governo).
Ameaças
OpenAI, Google e Microsoft devem responder com arquiteturas equivalentes em meses, fragmentando o padrão. Vulnerabilidades em gateways MCP podem virar vetor de ataque inédito.
Riscos e limitações
Self-hosted não significa sem risco. O gateway de túnel é um novo componente exposto à internet via conexão de saída — vulnerabilidades nele se tornam vetor de ataque atrativo. Operar sandboxes seguras exige disciplina: containerização correta, isolamento de filesystem, controle de egress, rotação de segredos. Empresas que tratarem isso como “um Docker qualquer” vão criar furos. Além disso, separar orquestração e execução melhora segurança mas não elimina o vazamento via prompt: se o agente lê dados sensíveis e devolve no contexto da próxima chamada, esses dados podem ser logados pela Anthropic conforme a política do contrato. Leia o DPA.
Cenário e indicativo de futuro
A tendência clara é a federalização da infraestrutura de agentes: orquestração na nuvem do fornecedor de IA, execução perto dos dados do cliente. Espere a OpenAI anunciar equivalente até o fim de 2026, e a Microsoft empacotar isso dentro do Azure AI Foundry. Para clientes corporativos brasileiros, o ano deve ser de pilotos em produção; em 2027, deployments amplos em setores regulados se tornam viáveis.
Conclusão prática
Se sua empresa engavetou um projeto de agente porque a segurança vetou, vale reabrir a conversa. A combinação de self-hosted sandboxes + MCP tunnels remove os argumentos mais comuns (“dados saem da empresa”, “vamos abrir o firewall”, “não temos como auditar”). O custo de operação sobe — alguém precisa manter o gateway, a sandbox e os logs — mas é o tipo de complexidade que setores regulados já sabem operar. Comece com um caso de uso pequeno e isolado (ex.: agente que processa documentos internos não-críticos), valide o modelo de threat e expanda.
Fonte original: Anthropic Introduces MCP Tunnels for Private Agent Access to Internal Systems — InfoQ, maio de 2026.