当AI Agent开始住在企业的安全边界里：Anthropic MCP Tunnels与自托管沙箱的深层意义

2026年5月19日，Anthropic为Claude Managed Agents推出了两项新功能，技术发布公告没有引发太多媒体关注——毕竟，在这个AI新功能每周都有的时代，”新的企业安全特性”听起来并不性感。

但仔细理解这两个功能，会发现它们合在一起，解决了企业AI部署中最根本的一个矛盾——而且解法相当精妙。

自托管沙箱（Self-Hosted Sandbox，公测）：允许企业在自己的基础设施上运行Agent工具执行环境，数据和计算不需要离开企业安全边界。

MCP Tunnels（Research Preview）：让AI Agent通过加密通道访问企业内部的数据库、API和系统，无需将这些内部资源暴露到公共网络。

这两个功能单独看，都是有价值的安全增强。但放在一起理解，它们代表的是一种架构哲学的转变：AI的智能（编排、推理、决策）在云端，AI的手（工具调用、数据访问、代码执行）在企业自己的安全边界内。

这个切分，解决了企业采用AI Agent时最不愿意说出口的那个顾虑。

一、企业AI部署的根本矛盾

要理解这两个功能的意义，先要理解企业在考虑AI Agent时面临的核心矛盾。

AI Agent的核心能力，在于能够访问信息、执行操作、迭代完成复杂任务。但这三件事，每一件对企业来说都涉及敏感数据：

访问信息 = 访问企业内部数据库、客户数据、财务记录
执行操作 = 调用内部系统API、修改文件、发送通信
迭代完成任务 = 在多个步骤中持有和传递上下文

如果这些数据都要传输到外部的AI服务商（无论是Anthropic、OpenAI还是其他），企业面临的问题就不只是技术问题，而是合规、法律和信任问题。

在金融行业，客户数据受到严格保护，把KYC（了解你的客户）数据发送给第三方AI服务，可能直接违反数据保护法规。在医疗行业，患者数据的处理受到HIPAA（美国健康保险可携性及责任法案）等严格约束。在法律行业，律师-客户特权（attorney-client privilege）要求律师严格控制客户信息的流转。在国防和政府领域，任何数据外传都会触发安全审查。

这导致了一个悖论：最需要AI的企业，往往是数据最敏感的企业。而数据敏感，正是阻止它们采用AI的最大障碍。

过去的解法，要么是”不用AI”（数据安全至上），要么是”私有化部署整个模型”（在自己的服务器上运行完整的AI系统）。前者放弃了生产力，后者成本极高，而且往往意味着使用比顶尖模型能力差很多的私有化版本。

Anthropic的MCP Tunnels和自托管沙箱，提供了第三条路。

二、架构的精妙：切分哪里，在哪里切

理解这两个新功能的关键，在于理解Anthropic选择在哪个层面做切分。

编排层（Orchestration Layer）保持在Anthropic云端：Claude模型的核心能力——推理、规划、决策、理解复杂指令——仍然运行在Anthropic的服务器上。这保证了企业能够使用最先进的Claude模型能力，而不是运行一个削减版本。

工具执行层（Tool Execution Layer）移至企业侧：当Claude需要执行具体操作——访问数据库、调用API、运行代码——这些执行发生在企业自己的基础设施上。数据不需要离开企业。

MCP Tunnels的作用，是在这两层之间建立一个安全的加密通道：Claude在云端发出指令”查询customer_id=12345的订单记录”，这个指令通过MCP Tunnel传输到企业内部，由运行在企业侧的沙箱执行实际的数据库查询，结果通过加密通道返回给Claude，Claude基于这个结果继续推理和决策。

整个过程中，企业的原始数据——那个订单记录的具体内容——实际上从未离开企业的网络边界。Claude知道它需要什么信息，但看到的是查询结果，不是企业的整个数据库。

这个架构设计的聪明之处在于：它承认了”AI需要访问企业数据才能有用”这个现实，但通过架构设计，把”数据访问发生在哪里”的控制权交还给企业。

三、MCP的战略意义：不只是安全，是标准

理解这个发布，还需要理解Anthropic在MCP（Model Context Protocol）上的更大布局。

MCP是Anthropic在2024年推出的开放协议，目标是标准化AI模型和外部工具/数据源之间的交互方式。相当于为AI工具调用建立了一套”通用语言”。

MCP Tunnels是MCP协议的企业安全扩展。它的意义不只是让Claude能安全地访问企业内部资源，更在于它把这种安全访问能力标准化了。

如果一家公司今天按照MCP协议给自己的数据库写了一个MCP Server（服务端适配器），不只是Claude可以通过MCP Tunnels安全访问它，未来任何支持MCP协议的AI Agent都可以用同样的方式访问它。这意味着企业在MCP上的基础设施投入，不是只对Claude有用，而是对整个AI Agent生态都有价值。

这是Anthropic的一步精明的开放协议棋：通过推动MCP成为行业标准，增加了整个AI Agent生态对Anthropic的战略依赖——不是通过封闭，而是通过开放。

Thomson Reuters已经通过MCP集成将Claude连接到了CoCounsel法律AI平台（一个高度监管行业的案例），这正是MCP企业安全价值的早期证明。

四、谁最能从这个更新中获益

自托管沙箱和MCP Tunnels组合，对几类企业格外重要：

金融服务行业：银行、保险、投资机构。这些企业有最多的AI应用需求，也有最严格的数据合规要求。MCP Tunnels让AI Agent可以在不违反数据保护法规的前提下，访问客户账户数据、交易记录、风控系统。

医疗健康行业：医院、诊所、医疗软件公司。AI辅助诊断、医疗记录整理、临床数据分析，都需要访问患者数据。自托管沙箱意味着这些操作可以保持在受HIPAA保护的私有环境内。

法律行业：律所、法务部门。律师-客户特权的保护要求，使得法律行业对数据外传极度敏感。MCP Tunnels+自托管沙箱，让AI Legal Assistant可以在不违反保密义务的前提下访问案件文件和客户信息。

政府和公共部门：虽然政府机构通常有更复杂的采购流程，但自托管沙箱为政府AI应用提供了技术可行性路径——AI能力来自先进模型，但数据处理保留在政府控制的基础设施内。

制造业和供应链：大型制造企业的ERP数据、供应链系统、生产数据，涉及大量商业机密。MCP Tunnels让AI Agent可以分析这些数据、优化流程，而不把核心工艺参数暴露给外部云服务。

五、与竞争对手的对比

从企业AI安全部署的角度看，这个发布如何相对于竞争对手定位？

OpenAI的方式：OpenAI主要通过Azure OpenAI Service提供企业级安全部署，利用微软的企业合规能力（数据不离开Azure租户）。这个模式的优点是深度集成微软生态，缺点是绑定程度高，且模型仍在微软（而非企业自己的）基础设施上运行。

Google的方式：Vertex AI上的Gemini提供类似的云内隔离方案，深度整合Google Cloud的安全框架。逻辑与Azure类似：数据不离开Google Cloud环境，但仍在云服务商侧。

Anthropic的MCP Tunnels方式：更激进地将执行层移至企业侧。这在理论上提供了最强的数据保护，但需要企业自己维护沙箱基础设施，引入了一定的运营复杂性。

三种方式代表了三种不同的”数据主权”哲学：

Google/Microsoft的方式：数据在我们的云里，但我们保证合规（数据留在你的Azure租户/GCP项目内）
Anthropic的MCP方式：数据的执行在你们那里，我们只提供智能

以一个医疗场景为例：当AI Agent需要帮助医生分析患者的完整病历：

Azure OpenAI的方式：患者病历数据发送到Azure的医疗数据合规环境（受HIPAA业务关联协议保护），推理在Azure内部完成。数据不离开微软的合规边界，但确实离开了医院的直接控制。

Anthropic MCP Tunnels的方式：医院在自己的服务器上运行MCP Server，连接到病历系统。Claude的推理发生在Anthropic云端，但它看到的是MCP Server执行查询后返回的结果，而不是原始数据库。实际上，没有完整的原始患者数据离开医院网络边界。

对于那些”宁可不用AI，也不把数据给第三方”的企业，Anthropic的架构可能是第一次让他们觉得”这个技术上可以接受”。但他们仍然需要法务团队确认：Claude的推理过程在Anthropic侧运行，是否在他们的合规框架内可以被接受——这是一个仍需要明确答案的合规灰区。

六、局限和需要诚实面对的挑战

这个新功能并不是万能的解法，有几个局限需要诚实地提出：

运营复杂性增加：自托管沙箱意味着企业需要维护额外的基础设施组件。对于没有强大IT团队的中小企业，这个门槛不低。Anthropic需要在工具的易用性和运营负担之间找到平衡。

MCP Tunnels还是Research Preview：这意味着它还不是正式发布的生产级功能，可能会有变化，也可能存在尚未发现的边界情况。对于需要严格合规的企业来说，”research preview”的标签意味着还需要等待。

Claude的推理过程仍在Anthropic侧：即使数据执行在企业侧，Claude”思考”的过程——所有的推理和决策——仍然在Anthropic的服务器上进行。在某些监管环境下，即使是”用了这些数据，但只是在推理时”，也可能触发合规问题。企业需要仔细评估自己的具体合规要求。

生态成熟度：MCP协议的企业应用生态还在早期阶段。虽然Thomson Reuters等案例已经出现，但针对不同行业和系统的MCP服务端适配器，还需要时间积累。

这些局限不会让这个发布失去意义，但它们说明：这是一个战略方向的确立，而不是一个完整解法的完成。

七、对企业AI决策者的含义

如果你是一家企业的CTO、CIO或者负责AI战略的决策者，Anthropic这次发布改变了哪些你的决策参数？

之前的思考框架：

“我们不能用云端AI，因为数据不能出门”
“我们要用AI，就只能私有化部署，但成本太高，而且能力不如顶尖模型”

之后的思考框架：

“我们可以用Anthropic最先进的Claude模型，但工具执行和数据访问保留在我们的基础设施内”
“需要评估的问题从’能不能用’变成了’值不值得配置这个技术架构’”

这是一个决策框架的迁移，把很多之前”技术上不可行”的场景，变成了”值不值得投入资源”的经济决策。

对于一直因为数据安全顾虑而观望AI的行业，2026年5月19日可能是他们真正开始认真考虑企业AI Agent的起点。

Anthropic在伦敦开发者大会上，把这个发布和一整个企业AI安全生态放在一起展示，传递的信息很清楚：我们知道企业最担心什么，我们在系统性地解决它。

不是用一个功能点解决一个痛点，而是用一个架构哲学解决一类问题。

这，才是真正意义上的企业级AI安全解决方案应该有的样子。

八、一个工程师的视角：MCP到底解决了什么技术问题

从工程角度看，MCP Tunnels解决的是一个在传统API集成中反复出现的老问题：如何让外部服务安全地访问企业内部资源，而不暴露企业网络边界。

传统的解法，要么是VPN（需要管理复杂的网络配置），要么是在DMZ（隔离区）部署数据代理（需要额外的基础设施），要么是将内部API通过防火墙暴露给外部（安全风险高）。这些方案都有效，但都有不同程度的复杂性和安全权衡。

MCP Tunnels的架构思路，类似于现代服务网格（service mesh）中的隧道模式：企业内部运行一个轻量的MCP Server进程，它和Anthropic的云端建立一个出站的、加密的持久连接。这个连接是”拉”模式而不是”推”模式——企业的MCP Server主动建立连接，而不是Anthropic的服务器主动连进来。

这在网络安全层面有一个重要优势：企业的防火墙规则只需要允许从内部向Anthropic的出站连接，而不需要开放任何入站端口。这符合”最小权限”原则，安全团队更容易接受。

从实际部署的角度，一个企业IT工程师配置MCP Tunnels的流程大概是：

在企业内部服务器上安装Anthropic提供的MCP Server SDK
编写一个MCP Server适配器，定义哪些内部数据源和API可以通过这个通道访问
配置认证和权限控制（哪些Claude的任务可以访问哪些内部资源）
启动MCP Server，它会自动与Anthropic建立加密隧道
在Claude的系统提示中描述可用的内部工具

这个流程，对于有基本云服务经验的工程师来说，并不陌生。它的配置复杂度，大概介于”配置一个反向代理”和”搭建一个内部API网关”之间——不是零成本，但也不是专项工程。

这种可操作性，是MCP Tunnels能够真正进入企业实践的关键。一个理论上安全但部署成本极高的方案，在商业环境中等于没有方案。

九、数据主权时代的必然选择

在更宏观的背景下，MCP Tunnels和自托管沙箱的发布，是”数据主权”从政策概念走向技术实现的一步。

2023年以来，欧洲在推动”数字主权”（Digital Sovereignty）方面力度持续加大。GDPR的严格执法、对美国云服务商数据处理的限制、欧盟AI法案（EU AI Act）的合规要求，都在推动企业重新思考”我的数据在哪里，谁控制它”。

这个趋势，在2025-2026年已经开始影响企业的AI采购决策。欧洲企业在评估AI服务时，”数据不出欧盟境内”或者”数据不出企业边界”，正在从”加分项”变成”必要条件”。

Anthropic的MCP Tunnels，从技术架构层面给出了一个回应：最强的AI模型能力，可以和企业级的数据主权要求共存，而不是非此即彼。

这不只是一个产品特性，这是一个战略定位：Anthropic正在明确告诉全球的合规敏感企业——你不需要在”用最好的AI”和”数据安全”之间二选一了。

在这个定位上，Anthropic比任何竞争对手都走得更前面。

结语：这不只是安全功能，这是信任架构的重建

有一种更根本的方式来理解MCP Tunnels和自托管沙箱的意义。

企业采用AI工具，本质上是在做一个信任决策：我信任这个外部系统，愿意让它接触我的数据和系统。

传统的SaaS工具（Salesforce、SAP），信任建立在合同、审计、ISO认证上——你用法律约束对方。AI工具在这个框架里面临一个根本性的挑战：AI的行为更难以预测，AI的访问范围可能更广，AI在处理数据时的”理解”过程很难被审计。

MCP Tunnels解决的不只是”数据安全”这个具体问题，而是在重建一种信任架构：

你不需要完全信任外部AI系统，你只需要信任它的智能判断能力——而它执行动作的权限，由你自己的系统来控制。这是一种”零信任AI”（Zero-Trust AI）的实现方式：允许AI接入你的系统，但限制AI能做什么的权限，留在你的手里。

当企业和外部AI服务之间的信任架构被这样重建，很多之前”技术可行但组织无法接受”的AI应用场景，就有了真正落地的机会。

这才是MCP Tunnels最深层的意义。

后记：这个功能，五年后可能被视为理所当然

技术史上，有很多功能在发布时并不受关注，但五年后回头看，它们是整个行业的转折点。

MCP Tunnels和自托管沙箱可能就是这样的功能。

今天，它们是”Anthropic的两个新企业安全特性”。

五年后，它们可能是”AI Agent企业部署架构的标准模式”——不是因为Anthropic发明了它们，而是因为Anthropic是第一个把这种架构模式做成产品，推向市场，并且通过MCP这个开放协议推动它成为行业标准的公司。

当所有人都认为这是理所当然时，才是一个标准真正确立的时刻。

2026年5月19日，这个过程，刚刚开始。

附：写给企业AI负责人的三个实操建议

如果你正在为组织评估Claude Managed Agents和MCP Tunnels，以下三点可以帮助你更快做出判断：

第一：先列清楚你的数据分类。哪些数据是可以进入任何云端服务的（非敏感、公开信息）？哪些数据必须留在企业边界内（客户PII、商业机密、受监管数据）？这个分类完成后，你会发现真正需要MCP Tunnels保护的数据，往往比你最初设想的更集中，配置成本也更可控。

第二：从一个低风险的内部工具开始。不要第一个试验就把核心业务系统接入。选一个相对隔离的内部工具——比如内部知识库搜索、非敏感的分析报告生成——先验证MCP Server的配置流程和性能表现。这种渐进式部署策略，在任何新技术落地时都是正确的。

第三：提前让安全和合规团队参与。MCP Tunnels是一个安全功能，但它的具体实现需要安全审查：加密强度是否符合要求？认证机制是否满足企业策略？审计日志是否可以被合规系统对接？这些问题提前解决，比后期返工代价小得多。

这三步，不能让你跳过所有的评估工作，但可以让你的评估从正确的地方开始。

而那些还在以”数据安全问题无法解决”为理由，搁置企业AI Agent讨论的团队——这次发布，已经移走了最大的那块绊脚石。

接下来的问题，是你准备好了吗。

因为在同一个行业里，已经有一批企业在悄悄配置这个架构，悄悄让AI进入他们之前无法让AI进入的业务系统。当他们做到的时候，你和他们之间的效率差距，不会是10%，可能是10倍。

这不是危言耸听。这是2026年企业AI采用的实际节奏。

那些最保守的行业——银行、医疗、法律——往往最终会成为AI应用最深的行业，因为他们的数据密度最高，AI带来的效率提升也最大。一旦安全障碍被移除，他们的采用速度，历史上从不慢。

MCP Tunnels和自托管沙箱，就是那个开关被拨动的时刻。

参考资料

Anthropic Blog, “Claude Managed Agents Updates: MCP Tunnels and Self-Hosted Sandbox”, 2026-05-19, https://claude.com/ja/blog/claude-managed-agents-updates
Fortune, “Claude Code London: Anthropic AI Software Engineering, Jack Clark Oxford speech”, 2026-05-21, https://fortune.com/2026/05/21/claude-code-london-anthropic-ai-software-engineering/
Salesforce, “Thomson Reuters CoCounsel MCP Integration”, 2026-05-12, https://www.salesforce.com/news/press-releases/2026/05/20/informatica-delivers-trusted-data-foundation/
Business Insider, “Claude Code AI coding wars startup survey”, 2026-05-23, https://www.businessinsider.com/inside-startups-claude-has-already-won-the-ai-coding-wars-2026-5

当AI Agent开始住在企业的安全边界里：Anthropic MCP Tunnels与自托管沙箱