Claude Managed Agents、セルフホストサンドボックスとMCPトンネル
Anthropic は、Claude Managed Agents でエージェントのツール実行を利用者が管理するサンドボックス上に移し、プライベートネットワーク内の Model Context Protocol(MCP)サーバーへエージェントが届く経路を追加した。オーケストレーション、コンテキスト管理、エラー回復のエージェントループは Anthropic 側に残し、ツール実行と到達先サービスは企業のセキュリティとランタイム制御の下で動かす構成である。
- セルフホストサンドボックスはパブリックベータ。自社インフラ、または Cloudflare、Daytona、Modal、Vercel などのマネージドサンドボックスプロバイダーでコンピュートと隔離を任せられる。任意のサンドボックスクライアントを持ち込める。
- 境界内では既存のネットワークポリシー、監査ログ、セキュリティツールをそのまま使え、ファイルやリポジトリを外に出さない運用が可能である。CPU、メモリ、ランタイムイメージは利用者側でサイズし、長時間ビルドや画像生成など負荷の大きい作業にリソースを割り当てられる。
- MCPトンネルはリサーチプレビューで、利用にはアクセス申請が必要である。社内データベース、プライベート API、ナレッジベース、チケットシステムなど、インターネット公開していない MCP サーバーをエージェントのツールとして呼べる。利用者がデプロイする軽量ゲートウェイが単一の外向き接続だけを張り、インバウンドのファイアウォール開放や公開エンドポイントは不要で、通信は端到端で暗号化される。
- MCPトンネルは Managed Agents と Messages API の両方でサポートされ、Claude Console のワークスペース設定を組織管理者が操作する。
サンドボックスプロバイダーごとの位置づけは次のとおりである。
- Cloudflare: microVM とより軽い isolate で大規模実行。外向きリクエストはゼロトラストのシークレット注入で制御でき、プロキシでエグレスの監査・経路変更・改変が可能。Cloudflare ネットワーク経由で内部サービスへ接続できる。
- Daytona: 合成可能なフルコンピュータで、短いバーストから数時間の長時間実行まで同一プリミティブ。SSH または認証付きプレビュー URL でセッション中もアクセスでき、一時停止と復元で状態を保持できる。
- Modal: AI ワークロード向けクラウドで、関数・ストレージ・ネットワークと同じ基盤上のサンドボックス。カスタムコンテナランタイムは任意イメージでサブ秒起動し、数十万の同時サンドボックスまでスケールし、CPU と GPU をオンデマンドで取れる。
- Vercel: VM セキュリティ、VPC ピアリング、持ち込みクラウドを組み合わせ、ミリ秒単位の起動。Managed Agents がモデル・ツール・セッション状態を扱い、Vercel Sandbox のファイアウォールがネットワーク境界でクレデンシャルを注入し、サンドボックス内に秘密情報を入れない。