Claude Managed Agents ganha self-hosted sandboxes e MCP tunnels: o que muda para agentes de IA dentro de empresas reguladas

Resumo: A Anthropic anunciou em maio de 2026, durante o evento Code with Claude, dois recursos que mudam como agentes de IA podem operar dentro de empresas: self-hosted sandboxes (em beta pública) e MCP tunnels (em research preview). Juntos, eles deixam a orquestração do agente na infraestrutura da Anthropic, mas mantêm execução de ferramentas e acesso a sistemas internos dentro do perímetro do cliente. Para times de segurança brasileiros — sobretudo em bancos, seguradoras, saúde e governo — esse é o tipo de arquitetura que destrava projetos de agentes que estavam parados há meses.

O problema que a Anthropic está tentando resolver

Quem já tentou colocar um agente autônomo dentro de uma empresa regulada sabe a frustração. A área de negócio quer que o Claude (ou GPT, Gemini, Llama) leia arquivos da rede interna, consulte bancos de dados internos, dispare ações em sistemas legados. A área de segurança responde, com razão, que abrir esses sistemas para uma API externa cria superfície de ataque inaceitável: tráfego saindo para fora do firewall, credenciais voando, exposição de dados sensíveis. O projeto morre — ou vira uma demo bonita que nunca chega à produção.

A arquitetura padrão de “Claude Managed Agents”, lançada antes, já fazia parte do trabalho: o ciclo do agente (planejamento, gestão de contexto, recuperação de erros, chamada de ferramentas) rodava na nuvem da Anthropic. O que faltava era separar duas coisas: onde o agente pensa e onde o agente age. As novidades de maio resolvem exatamente isso.

Self-Hosted Sandboxes: onde o código realmente roda

Com self-hosted sandboxes, a execução das ferramentas que o agente chama (rodar um script Python, processar um arquivo, manipular uma planilha) pode acontecer em infraestrutura controlada pelo cliente. A Anthropic oferece integração com provedores gerenciados — Cloudflare, Daytona, Modal, Vercel — ou suporta sandboxes operadas pelo próprio cliente. O loop do agente continua na Anthropic, mas os arquivos sensíveis, pacotes e serviços que ele toca ficam onde precisam ficar.

Na prática, isso significa que um banco pode rodar o agente em sua VPC, com a sandbox sujeita às mesmas políticas de DLP, audit log e network controls que qualquer outro workload interno. O agente recebe os dados, processa, devolve o resultado, e nada sensível precisa cruzar a fronteira da rede.

MCP Tunnels: conectar sistemas privados sem abrir a porta

O segundo recurso, em research preview, é talvez o mais elegante. Model Context Protocol (MCP) virou padrão para conectar agentes a fontes de dados e ferramentas. O problema é que servidores MCP corporativos — que falam com o CRM, o ERP, o data lake interno — não podem ser publicados na internet. Tradicionalmente, conectar um agente externo a eles exigiria abrir regras de entrada no firewall.

MCP tunnels invertem o sentido da conexão. Em vez de a Anthropic se conectar ao servidor MCP do cliente, o cliente deploya um gateway leve dentro da rede, que estabelece uma conexão criptografada de saída com a infraestrutura da Anthropic. Funciona como um túnel reverso: a porta nunca é aberta para fora, mas o agente externo consegue conversar com o servidor MCP interno através dela. É o mesmo princípio usado por ferramentas como Cloudflare Tunnel ou ngrok, agora encapsulado e tratado como cidadão de primeira classe na plataforma Anthropic.

Por que importa — e o status no Brasil

Para empresas brasileiras submetidas à LGPD, ao Open Finance, à Resolução 4.893 do Bacen ou às regras setoriais da ANS e da ANPD, a arquitetura clássica de agentes era um beco sem saída. Mandar dados sensíveis para serem processados por uma API externa, mesmo com criptografia em trânsito, era difícil de defender perante auditores. A combinação sandbox interno + túnel de saída resolve a maior parte das objeções clássicas: dados ficam onde precisam ficar, conexões são auditáveis, não há porta aberta na borda.

Provedores brasileiros de cloud (Magalu Cloud, BR Digital, Locaweb, Mandic) deveriam acompanhar de perto: a Cloudflare já entrou como provedor gerenciado oficial, e há espaço para que provedores locais ofereçam sandboxes em jurisdição brasileira, atraindo clientes que precisam de soberania de dados.

Análise SWOT econômica

Forças

Reduz a maior barreira de segurança para agentes corporativos. Compatível com práticas de DLP, network segmentation e audit log já existentes. Integra com provedores gerenciados, o que reduz operação.

Fraquezas

MCP tunnels ainda em research preview, sem SLA claro. Sandboxes self-hosted exigem operação não trivial. Latência cresce com o número de saltos de rede entre orquestração e execução.

Oportunidades

Provedores brasileiros podem ofertar sandboxes em jurisdição local. Consultorias podem empacotar templates de deployment para setores regulados (bancos, seguros, saúde, governo).

Ameaças

OpenAI, Google e Microsoft devem responder com arquiteturas equivalentes em meses, fragmentando o padrão. Vulnerabilidades em gateways MCP podem virar vetor de ataque inédito.

Riscos e limitações

Self-hosted não significa sem risco. O gateway de túnel é um novo componente exposto à internet via conexão de saída — vulnerabilidades nele se tornam vetor de ataque atrativo. Operar sandboxes seguras exige disciplina: containerização correta, isolamento de filesystem, controle de egress, rotação de segredos. Empresas que tratarem isso como “um Docker qualquer” vão criar furos. Além disso, separar orquestração e execução melhora segurança mas não elimina o vazamento via prompt: se o agente lê dados sensíveis e devolve no contexto da próxima chamada, esses dados podem ser logados pela Anthropic conforme a política do contrato. Leia o DPA.

Cenário e indicativo de futuro

A tendência clara é a federalização da infraestrutura de agentes: orquestração na nuvem do fornecedor de IA, execução perto dos dados do cliente. Espere a OpenAI anunciar equivalente até o fim de 2026, e a Microsoft empacotar isso dentro do Azure AI Foundry. Para clientes corporativos brasileiros, o ano deve ser de pilotos em produção; em 2027, deployments amplos em setores regulados se tornam viáveis.

Conclusão prática

Se sua empresa engavetou um projeto de agente porque a segurança vetou, vale reabrir a conversa. A combinação de self-hosted sandboxes + MCP tunnels remove os argumentos mais comuns (“dados saem da empresa”, “vamos abrir o firewall”, “não temos como auditar”). O custo de operação sobe — alguém precisa manter o gateway, a sandbox e os logs — mas é o tipo de complexidade que setores regulados já sabem operar. Comece com um caso de uso pequeno e isolado (ex.: agente que processa documentos internos não-críticos), valide o modelo de threat e expanda.

Fonte original: Anthropic Introduces MCP Tunnels for Private Agent Access to Internal Systems — InfoQ, maio de 2026.

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Share
Published by
Ninja

Recent Posts

DuneSlide: duas CVEs criticas no Cursor abrem RCE zero-click via prompt injection em CI e MCP servers

CVE-2026-50548 e CVE-2026-50549 (CVSS 9.8), batizadas de DuneSlide pela Cato Networks, permitem sair do sandbox…

10 horas ago

Qilin toma 16% do mercado de ransomware e sinaliza nova onda de consolidacao pos-LockBit

Relatorios da Check Point e da Sophos mostram que o Qilin absorveu afiliados orfaos das…

10 horas ago

Operation DragonReturn: hackers ligados a China usam falso app do fisco indiano para plantar DcRAT

Cluster suspeito de vinculo chines usa iscas do Imposto de Renda indiano para entregar DcRAT…

10 horas ago

Medtronic confirma vazamento de dados de 3,8 milhões de pacientes em ataque atribuído ao ShinyHunters

Gigante de dispositivos médicos notifica pacientes após grupo de extorsão ShinyHunters acessar sistemas corporativos e…

1 dia ago

Decisão da Suprema Corte dos EUA sobre agências independentes ameaça acordo de transferência de dados UE-EUA

Max Schrems planeja contestar o Data Privacy Framework após corte permitir que presidentes demitam membros…

1 dia ago

Hackers norte-coreanos publicam 108 pacotes maliciosos em npm, Go e Chrome na campanha PolinRider

Grupo ligado ao Contagious Interview publicou 108 pacotes e extensões em npm, Packagist, Go e…

1 dia ago