Anthropic выкатила Self-hosted sandboxes для Managed Agents. Это главное обновление безопасности для Claude за последние месяцы. Раньше агенты выполняли код и вызывали инструменты исключительно в облачных контейнерах самой нейросети. Теперь оркестрация задач остается на серверах Anthropic, но физическое выполнение переезжает на вашу инфраструктуру. Код агента, файловая система и сетевой трафик больше не покидают корпоративный контур.

Рабочий процесс поднимается через ant CLI или SDK, которые забирают задачи из очереди и выполняют их локально. Можно запускать инструменты в общем процессе, а для жесткой изоляции — поднимать отдельный чистый контейнер под каждую сессию. Эта архитектура идеально комбинируется с MCP-туннелями. Агент не просто работает на ваших серверах, но и напрямую стучится к внутренним сервисам, которые вообще не имеют выхода в публичный интернет!

Развернуть среду выполнения можно на любом железе, но уже готовы официальные гайды для платформ вроде Cloudflare, Daytona и Modal. Пока такие локальные сессии не поддерживают сохранение контекста в память, но возможность натравить агента на приватную инфраструктуру без нарушения политик безопасности полностью окупает этот компромисс.