Anthropic flytter Claude-agentenes verktøy inn bak brannmuren

Anthropic gjør en viktig justering i Claude Managed Agents: selve agenten kan fortsatt styres fra Anthropic, men verktøyene den bruker kan nå kjøres i virksomhetens egen infrastruktur. Samtidig åpner selskapet for MCP-tunneler som kobler agentene til interne tjenester uten å eksponere dem på åpent internett.

Dette er ikke bare en produktnyhet. Det er et svar på det spørsmålet mange CIO-er og CISO-er nå stiller: hvordan slipper vi agentene inn i produksjonsnære arbeidsflater uten å sende kildekode, filer, API-er og legitimasjon ut av kontrollsonen?

Anthropic beskriver to nye mekanismer. Den første er selvhostede sandkasser. Der flyttes verktøykjøringen, altså bygg, filoperasjoner, kodeanalyse, pakkeinstallasjoner og andre handlinger, til en sandkasse kunden kontrollerer selv eller får driftet av en leverandør som Cloudflare, Daytona, Modal eller Vercel. Filer og repositories skal kunne bli værende innenfor virksomhetens egne grenser. Eksisterende nettverkspolicyer, logging og sikkerhetsverktøy kan fortsatt brukes. Kunden styrer også CPU, minne og runtime-image.

Den andre mekanismen er MCP-tunneler. MCP står for Model Context Protocol og brukes til å koble AI-agenter til verktøy, databaser, kunnskapsbaser, interne API-er og saksbehandlingssystemer. Anthropic sier at tunnelene lar agentene nå MCP-servere i et privat nettverk uten innkommende brannmurregler og uten offentlige endepunkter. En lett gateway gjør én utgående forbindelse, med ende-til-ende-kryptering.

Dette er akkurat den typen arkitektur virksomheter har ventet på. Ikke fordi den løser alt. Den gjør det ikke. Agent-loopen, altså orkestrering, kontekststyring og feilhåndtering, ligger fortsatt hos Anthropic. Dette er derfor ikke en full on-premise-løsning. Men grensen flyttes. Det mest sensitive laget, der agenten faktisk leser filer, kjører verktøy og treffer interne systemer, kan legges nærmere kundens egne kontroller.

For norske ledere er dette praktisk styring, ikke AI-teori. Når en agent får tilgang til kodebaser, CRM, tickets, analyseverktøy eller finansdata, blir den en operativ bruker. Da må den inn i samme modell som andre privilegerte brukere: identitet, minste privilegium, nettverkssegmentering, logging, dataklassifisering, nøkkelhåndtering og avvikshåndtering.

Det viktigste poenget er ansvarsdeling. Anthropic leverer modell, agentplattform og orkestrering. Kunden må fortsatt bestemme hvor agenten får arbeide, hvilke systemer den får nå, hvilke nøkler som injiseres, hvordan trafikken kontrolleres, og hvem som får lese sporene i etterkant. En agent som kan bygge, teste, hente data og skrive rapporter er ikke en chatbot. Den er en del av driftsmodellen.

Leverandørlisten er også interessant. Cloudflare peker på microVM-er, isolater, zero-trust-injeksjon av hemmeligheter og kontroll over utgående trafikk. Vercel fremhever VM-sikkerhet, VPC-peering og brannmur som kan injisere credentials ved nettverksgrensen slik at de ikke ligger inne i sandkassen. Modal selger skalerbare AI-sandkasser med CPU og GPU ved behov. Daytona peker på langvarige, stateful sandkasser som kan pauses og gjenopptas.

Det viser hvor agentmarkedet er på vei. Modellene er ikke lenger hele produktet. Kontrollflaten rundt dem blir like viktig: hvor kode kjører, hvordan verktøy isoleres, hvordan nettverk avgrenses, og hvordan arbeid kan revideres etterpå.

Risikoen er at virksomheter tolker dette som grønt lys for bred agentutrulling. Det er for tidlig. Selvhostede sandkasser er i offentlig beta. MCP-tunneler er foreløpig en research preview og krever tilgang. Det betyr at løsningen bør testes i avgrensede prosesser før den får berøre systemer med penger, persondata eller produksjonsendringer.

En fornuftig start er én konkret arbeidsflyt: kodeanalyse, intern dokumentasjon, rapportering, avviksbehandling eller databerikelse. Gi agenten et definert formål, en egen identitet, smale rettigheter, testdata først, tydelig loggkrav og en menneskelig godkjenning før den gjør handlinger som koster penger, endrer systemer eller påvirker kunder.

Dette er likevel et viktig steg. Anthropic erkjenner i praksis at enterprise-agenter ikke kan bli alvorlige før virksomhetene får kontroll over kjøremiljøet og de private verktøyene. Spørsmålet for ledelsen er ikke lenger om agentene kan gjøre mer. Det kan de. Spørsmålet er hvor de får gjøre det, under hvilke fullmakter, og hvor raskt man kan stoppe dem når noe går feil.

Kilder og medier

Primærkilde: Anthropic / Claude, «New in Claude Managed Agents: self-hosted sandboxes and MCP tunnels», publisert 19. mai 2026: https://claude.com/blog/claude-managed-agents-updates

Supplerende verifikasjon: The Decoder, «Anthropic adds self-hosted sandboxes and MCP tunnels to Claude Managed Agents», 19. mai 2026.

Mediekreditering: Anthropic viser egne diagramskisser for sandkasser og MCP-tunneler i primærinnlegget. Disse er lenket som kilde, ikke rehostet av hogby.ai. Thumbnail: OpenAI Image 2 / hogby.ai.