Mit Self-hosted Sandboxes und MCP Tunnels führt Anthropic zwei neue Funktionen ein, die vor allem für IT-Teams, Sicherheitsverantwortliche und Plattform-Teams spannend sind. Der zentrale Gedanke: KI-Agenten sollen Werkzeuge nicht mehr ausschließlich in Umgebungen ausführen, die außerhalb der eigenen Kontrolle liegen.
Bei den Self-hosted Sandboxes wird die Tool-Ausführung in die Infrastruktur des jeweiligen Unternehmens verlagert. Dateien und Repositories sollen dabei in der Unternehmensumgebung bleiben. Auch bestehende Netzwerkrichtlinien, Audit-Logging und Sicherheitstools können weiter genutzt werden. Für viele Organisationen ist genau das ein entscheidender Punkt, denn KI-Agenten werden erst dann wirklich praxistauglich, wenn sie sich sauber in vorhandene Sicherheits- und Compliance-Strukturen einfügen.
Unternehmen können zudem selbst bestimmen, welche CPU, welcher Speicher und welches Runtime-Image eingesetzt werden. Wer keine eigene Umgebung betreiben möchte, kann auf verwaltete Anbieter wie Cloudflare, Daytona, Modal oder Vercel ausweichen. Das schafft mehr Flexibilität, ohne den Einstieg unnötig kompliziert zu machen.
Die zweite Neuerung sind MCP Tunnels. Sie verbinden Claude-Agenten mit MCP-Servern im privaten Netzwerk, ohne dass diese öffentlich erreichbar sein müssen. Dafür nutzt Anthropic ein leichtgewichtiges Gateway, das eine einzige ausgehende Verbindung aufbaut. Diese Verbindung ist Ende-zu-Ende-verschlüsselt und benötigt keine eingehenden Firewall-Regeln oder öffentlichen Endpunkte.
Damit lassen sich interne Datenbanken, private APIs oder Ticketing-Systeme als Werkzeuge für Claude-Agenten nutzbar machen. Gerade in Unternehmen, in denen viele relevante Informationen nicht öffentlich oder nur innerhalb geschützter Netzwerke verfügbar sind, kann das ein wichtiger Schritt sein.
Ganz aus der Hand gibt Anthropic die Kontrolle aber nicht. Die Agenten-Orchestrierung bleibt weiterhin auf Anthropics Infrastruktur. Dazu zählen Kontextmanagement, Fehlerbehandlung und der eigentliche Agent-Loop. Ein vollständiger On-Premise-Betrieb ist damit nicht möglich. Wer auch die Modellausführung selbst kontrollieren möchte, bekommt mit diesen Neuerungen also noch keine Komplettlösung.
Auch der Reifegrad ist wichtig: Self-hosted Sandboxes sind derzeit als öffentliche Beta verfügbar. MCP Tunnels laufen lediglich als Research Preview, für die Unternehmen Zugang beantragen müssen. Für den produktiven Einsatz bedeutet das: Die Richtung ist klar, aber viele Firmen werden die Funktionen zunächst sorgfältig testen müssen.