Resumo: A Anthropic anunciou em maio de 2026, durante o evento Code with Claude, dois recursos que mudam como agentes de IA podem operar dentro de empresas: self-hosted sandboxes (em beta pública) e MCP tunnels (em research preview). Juntos, eles deixam a orquestração do agente na infraestrutura da Anthropic, mas mantêm execução de ferramentas e acesso a sistemas internos dentro do perímetro do cliente. Para times de segurança brasileiros — sobretudo em bancos, seguradoras, saúde e governo — esse é o tipo de arquitetura que destrava projetos de agentes que estavam parados há meses.
Quem já tentou colocar um agente autônomo dentro de uma empresa regulada sabe a frustração. A área de negócio quer que o Claude (ou GPT, Gemini, Llama) leia arquivos da rede interna, consulte bancos de dados internos, dispare ações em sistemas legados. A área de segurança responde, com razão, que abrir esses sistemas para uma API externa cria superfície de ataque inaceitável: tráfego saindo para fora do firewall, credenciais voando, exposição de dados sensíveis. O projeto morre — ou vira uma demo bonita que nunca chega à produção.
A arquitetura padrão de “Claude Managed Agents”, lançada antes, já fazia parte do trabalho: o ciclo do agente (planejamento, gestão de contexto, recuperação de erros, chamada de ferramentas) rodava na nuvem da Anthropic. O que faltava era separar duas coisas: onde o agente pensa e onde o agente age. As novidades de maio resolvem exatamente isso.
Com self-hosted sandboxes, a execução das ferramentas que o agente chama (rodar um script Python, processar um arquivo, manipular uma planilha) pode acontecer em infraestrutura controlada pelo cliente. A Anthropic oferece integração com provedores gerenciados — Cloudflare, Daytona, Modal, Vercel — ou suporta sandboxes operadas pelo próprio cliente. O loop do agente continua na Anthropic, mas os arquivos sensíveis, pacotes e serviços que ele toca ficam onde precisam ficar.
Na prática, isso significa que um banco pode rodar o agente em sua VPC, com a sandbox sujeita às mesmas políticas de DLP, audit log e network controls que qualquer outro workload interno. O agente recebe os dados, processa, devolve o resultado, e nada sensível precisa cruzar a fronteira da rede.
O segundo recurso, em research preview, é talvez o mais elegante. Model Context Protocol (MCP) virou padrão para conectar agentes a fontes de dados e ferramentas. O problema é que servidores MCP corporativos — que falam com o CRM, o ERP, o data lake interno — não podem ser publicados na internet. Tradicionalmente, conectar um agente externo a eles exigiria abrir regras de entrada no firewall.
MCP tunnels invertem o sentido da conexão. Em vez de a Anthropic se conectar ao servidor MCP do cliente, o cliente deploya um gateway leve dentro da rede, que estabelece uma conexão criptografada de saída com a infraestrutura da Anthropic. Funciona como um túnel reverso: a porta nunca é aberta para fora, mas o agente externo consegue conversar com o servidor MCP interno através dela. É o mesmo princípio usado por ferramentas como Cloudflare Tunnel ou ngrok, agora encapsulado e tratado como cidadão de primeira classe na plataforma Anthropic.
Para empresas brasileiras submetidas à LGPD, ao Open Finance, à Resolução 4.893 do Bacen ou às regras setoriais da ANS e da ANPD, a arquitetura clássica de agentes era um beco sem saída. Mandar dados sensíveis para serem processados por uma API externa, mesmo com criptografia em trânsito, era difícil de defender perante auditores. A combinação sandbox interno + túnel de saída resolve a maior parte das objeções clássicas: dados ficam onde precisam ficar, conexões são auditáveis, não há porta aberta na borda.
Provedores brasileiros de cloud (Magalu Cloud, BR Digital, Locaweb, Mandic) deveriam acompanhar de perto: a Cloudflare já entrou como provedor gerenciado oficial, e há espaço para que provedores locais ofereçam sandboxes em jurisdição brasileira, atraindo clientes que precisam de soberania de dados.
Reduz a maior barreira de segurança para agentes corporativos. Compatível com práticas de DLP, network segmentation e audit log já existentes. Integra com provedores gerenciados, o que reduz operação.
MCP tunnels ainda em research preview, sem SLA claro. Sandboxes self-hosted exigem operação não trivial. Latência cresce com o número de saltos de rede entre orquestração e execução.
Provedores brasileiros podem ofertar sandboxes em jurisdição local. Consultorias podem empacotar templates de deployment para setores regulados (bancos, seguros, saúde, governo).
OpenAI, Google e Microsoft devem responder com arquiteturas equivalentes em meses, fragmentando o padrão. Vulnerabilidades em gateways MCP podem virar vetor de ataque inédito.
Self-hosted não significa sem risco. O gateway de túnel é um novo componente exposto à internet via conexão de saída — vulnerabilidades nele se tornam vetor de ataque atrativo. Operar sandboxes seguras exige disciplina: containerização correta, isolamento de filesystem, controle de egress, rotação de segredos. Empresas que tratarem isso como “um Docker qualquer” vão criar furos. Além disso, separar orquestração e execução melhora segurança mas não elimina o vazamento via prompt: se o agente lê dados sensíveis e devolve no contexto da próxima chamada, esses dados podem ser logados pela Anthropic conforme a política do contrato. Leia o DPA.
A tendência clara é a federalização da infraestrutura de agentes: orquestração na nuvem do fornecedor de IA, execução perto dos dados do cliente. Espere a OpenAI anunciar equivalente até o fim de 2026, e a Microsoft empacotar isso dentro do Azure AI Foundry. Para clientes corporativos brasileiros, o ano deve ser de pilotos em produção; em 2027, deployments amplos em setores regulados se tornam viáveis.
Se sua empresa engavetou um projeto de agente porque a segurança vetou, vale reabrir a conversa. A combinação de self-hosted sandboxes + MCP tunnels remove os argumentos mais comuns (“dados saem da empresa”, “vamos abrir o firewall”, “não temos como auditar”). O custo de operação sobe — alguém precisa manter o gateway, a sandbox e os logs — mas é o tipo de complexidade que setores regulados já sabem operar. Comece com um caso de uso pequeno e isolado (ex.: agente que processa documentos internos não-críticos), valide o modelo de threat e expanda.
Fonte original: Anthropic Introduces MCP Tunnels for Private Agent Access to Internal Systems — InfoQ, maio de 2026.
CVE-2026-50548 e CVE-2026-50549 (CVSS 9.8), batizadas de DuneSlide pela Cato Networks, permitem sair do sandbox…
Relatorios da Check Point e da Sophos mostram que o Qilin absorveu afiliados orfaos das…
Cluster suspeito de vinculo chines usa iscas do Imposto de Renda indiano para entregar DcRAT…
Gigante de dispositivos médicos notifica pacientes após grupo de extorsão ShinyHunters acessar sistemas corporativos e…
Max Schrems planeja contestar o Data Privacy Framework após corte permitir que presidentes demitam membros…
Grupo ligado ao Contagious Interview publicou 108 pacotes e extensões em npm, Packagist, Go e…