Claude Managed Agents

Claude Managed Agents : sandbox auto-hébergé, tunnel MCP d’entreprise

ParSteven de Simseo

Voici deux points que connaissent bien tous ceux qui ont tenté d’introduire un agent d’IA dans une entreprise réglementée :

  • où s’exécute le code que l’agent écrit et exécute,
  • comment l’agent accède aux services internes sans ouvrir les portes au public.

Les deux nouvelles fonctionnalités de Claude sont les bacs à sable auto-hébergés en version bêta publique et les tunnels MCP en version préliminaire de recherche. La promesse, au niveau architectural, est que le « cerveau » de l’agent, c’est-à-dire le modèle et son orchestration, reste sur l’infrastructure Anthropic, tandis que les « mains » de l’agent, c’est-à-dire le sandbox d’exécution et les serveurs MCP internes, peuvent vivre entièrement dans le périmètre du client.

Le découplage cerveau-mains qui rend tout cela possible

Pour bien lire cette actualité, il faut remonter au choix architectural fait par Anthropic en avril 2026, décrit dans un billet d’ingénierie signé par Lance Martin, Gabe Cemaj et Michael Cohen. L’équipe a découplé l’agent en trois interfaces : la session, comprise comme un journal de chaque événement en ajout uniquement, le harnais, c’est-à-dire la boucle qui appelle Claude et achemine les appels de l’outil, et le bac à sable où le code généré s’exécute réellement. Le point clé est que chacun de ces composants peut tomber en panne ou être remplacé sans perturber les autres.

Dans la conception initiale, le harnais et le bac à sable se trouvaient dans le même conteneur, ce qui a créé deux problèmes sérieux dont Anthropic lui-même parle : lorsque le conteneur est mort, la session a été perdue, et lorsqu’un client a demandé de connecter l’agent à son VPC, vous deviez le faire. peering entre les réseaux ou amener leharnais dans l’environnement du client. En découplant le cerveau des mains, leharnais il a cessé de supposer que les ressources étaient dans le conteneur avec lui, et le conteneur est devenu bétail plutôt que animal de compagnie. La métaphore animal de compagnie contre bétail c’est le classique : l’animal a un nom, on le soigne s’il tombe malade ; le bétail est interchangeable, s’il tombe vous en obtenez un autre.

L’effet pratique mesuré par Anthropic est important : avec la nouvelle architecture, le p50 du temps jusqu’au premier jeton a chuté d’environ 60 % et p95 de plus de 90 %. Les données ne concernent pas directement l’annonce d’Anthropic, mais elles expliquent pourquoi aujourd’hui les sandbox peuvent être hébergés ailleurs sans pénaliser l’expérience de l’utilisateur qui utilise l’agent.

Que signifie réellement « garder le bac à sable à la maison » ?

Le bac à sable est l’endroit où l’agent écrit des fichiers, exécute du code, exécute des tests, construit et génère des sorties. Dans les versions précédentes de Managed Agents, cet endroit était Anthropic Infrastructure. Avec les sandbox auto-hébergés, le client choisit où l’exécuter : sur sa propre infrastructure ou sur l’un des quatre fournisseurs gérés partenaires. Cloudflare propose des microVM légères et isole avec une injection d’informations d’identification sans confiance et des proxys de sortie sonores.

Daytona propose des ordinateurs composables de longue durée et avec état, accessibles via SSH ou une URL de prévisualisation authentifiée, avec pause et récupération d’état.

Modal propose des bacs à sable avec des startups inférieures à la seconde qui partagent la même base de fonctions et de stockage, s’adaptant à des centaines de milliers de bacs à sable concurrents.

Vercel combine la sécurité des VM, le peering VPC et le Bring-your-own-Cloud, avec un pare-feu qui injecte les informations d’identification à la périphérie du réseau afin qu’elles n’entrent jamais dans le bac à sable.

La liste des intégrations est intéressante car elle signale un choix de positionnement, indépendant de l’infrastructure d’une part, favorable aux partenaires d’autre part. Anthropic n’essaie pas de vendre son bac à sable comme la seule option, il dit que l’interface «execute(name, input) → string» est la seule chose qu’il se soucie de normaliser, et tout le reste peut être porté par le client ou un tiers.

En termes de sécurité, le gain est évident pour ceux qui travaillent dans les secteurs de la finance, de la santé et des secteurs réglementés. Les fichiers et référentiels ne quittent pas l’infrastructure du client. Les politiques réseau, les journaux d’audit et les outils de sécurité déjà en place s’appliquent à l’agent comme à toute autre charge de travail interne.

Aussi le dimensionnement de l’ordinateur est de nouveau entre les mains du client, et cela compte pour charge de travail lourdes, comme les builds longues ou la génération d’images, où le réglage du processeur et de la mémoire fait la différence entre un agent qui se termine en une heure et un autre qui se termine en dix minutes.

Le tunnel MCP, la pièce manquante pour les ressources privées

La deuxième annonce concerne un problème différent. Un agent sérieux au sein d’une entreprise ne travaille pas que sur des fichiers : il travaille sur des bases de données internes, des API privées, des bases de connaissances, des systèmes de billetterie, CRM, ERP. Pendant des années, la solution standard a consisté à exposer ces services via des passerelles API publiques avec authentification forte, ou à mettre un VPN entre les deux, ou encore à ouvrir des listes blanches sur des IP spécifiques. Aucun des trois n’est particulièrement élégant dans un monde où l’agent est une machine qui doit négocier les informations d’identification de manière autonome.

Avec les tunnels MCP, le client déployer une passerelle légère vers votre réseau privé. Cette passerelle ouvre une seule connexion sortante à Anthropic, sans règles entrantes, sans points de terminaison publics, trafic chiffré de bout en bout. A partir de ce moment, les serveurs MCP qui fonctionnent en interne, et qui exposent les systèmes de l’entreprise comme des outils, deviennent accessibles aux agents sans jamais avoir à être exposés à Internet.

C’est un schéma déjà connu dans le secteur des entreprises, on le voit dans les tunnels inversés de Cloudflared, dans Grok pour un usage plus léger, dans Tailscale, mais ramené dans le protocole MCP et géré par la console Claude par les admins de l’espace de travail.

Il vaut la peine de s’attarder sur les implications pratiques. Une entreprise qui a déjà adopté MCP pour exposer ses systèmes en tant qu’outil, et ici on pense aux banques italiennes qui expérimentent les serveurs internes de MCP pour les pratiques de notation de crédit ou pour la recherche juridique, n’a plus à choisir entre « J’expose le serveur sur Internet avec tous les risques associés » ou « J’abandonne l’utilisation d’agents gérés et je garde tout en interne avec une expérience de développeur moins bonne ».

Il peut désormais conserver le serveur là où il se trouve, à l’intérieur du VPC, et permettre à l’agent d’y accéder via un canal sous son contrôle.

Les quatre histoires industrielles présentées par Anthropic

Anthropic accompagne l’annonce de quatre témoignages considérés comme des preuves industrielles.

Clay développe Sculptor, un agent d’ingénierie GTM qui conçoit, teste et surveille de manière autonome les flux de travail, en plus des agents gérés et de Daytona. Ryan Chang, AI Engineering chez Clay, écrit que cette combinaison lui permet de reproduire la puissance d’un agent local avec la fiabilité et l’exécution en arrière-plan d’un agent cloud, et que le bac à sable Daytona vous donne le contrôle du système de fichiers en ce qui concerne le montage de magasins de fichiers externes et l’installation de packages à la volée.

Rogo, une plateforme d’IA pour la finance institutionnelle, construit un analyste d’agent sur Managed Agents et Vercel Sandbox. Strib Walker, responsable produit, dit quelque chose qui mérite attention : « Claude Managed Agents gère la boucle des agents, les sandbox de Vercel nous offrent un environnement que nous pouvons configurer pour nos charges de travail. Cela nous donne la possibilité de tirer parti de la meilleure infrastructure de sa catégorie tout en nous concentrant sur ce qui constitue une plate-forme d’IA financière : une profondeur et une étendue d’outils et de données, ainsi qu’une surface de produit conçue pour la façon dont les investisseurs et les banquiers travaillent réellement. » Le levier stratégique est clair : ne pas construire une infrastructure d’agents de toutes pièces, garder l’énergie sur le produit et les données qui font la différence pour les clients finaux.

Amplitude travaille sur Agent de conceptionun outil interne pour les maquettes de marque et les critiques de conception, sur les agents gérés et Cloudflare. Will Newton de l’équipe de conception rapporte qu’ils ont eu une première version utile en deux jours, sur une infrastructure qu’ils connaissent déjà et à laquelle ils font confiance. Mason, cité comme le quatrième client du bac à sable Modal, parle explicitement des limites de sécurité requises par ses clients entreprises et du temps réduit d’une semaine pour accéder à une version fonctionnelle.

Quatre histoires, quatre fournisseurs différents, un schéma commun : l’abstraction Managed Agent permet de se concentrer sur la logique métier et de choisir le fournisseur d’infrastructure pour des raisons précises, sécurité pour Mason, observabilité pour Amplitude, état préservable pour Clay, sandboxing fin pour Rogo.

Quels changements pour ceux qui conçoivent des agents d’entreprise

Le modèle d’intégration proposé par Anthropic est cohérent avec la trajectoire que nous observons dans les adoptions par des entreprises plus matures. Le rejet de l’approche monolithique, dans laquelle un fournisseur vend l’intégralité de la pile d’agents de bout en bout, laisse la place à une composition cloud native typique : le modèle et l’orchestration d’un côté, le calcul et les ressources de l’autre, l’identité et les secrets dans une troisième couche, les intégrations telles que les outils MCP dans une quatrième.

Pour un DSI italien qui considère les agents comme un horizon productif pour les 18 prochains mois, deux implications opérationnelles émergent immédiatement. La première concerne la posture de sécurité : avec les sandbox auto-hébergés et les tunnels MCP, les agents cessent d’être une boîte noire dans laquelle les données et les identifiants disparaissent au-delà de l’horizon de l’entreprise, et reviennent à des objets qui peuvent être gouvernés avec les mêmes outils que ceux utilisés pour toute autre charge de travail. La seconde concerne l’optionnalité du fournisseur : le fait que Cloudflare, Daytona, Modal, Vercel fonctionnent sur la même interface fait que le choix devient un compromis opérationnel, et non plus un verrouillage. Vous pouvez changer de fournisseur sandbox sans reconstruire l’agent.

Il existe un troisième élément, plus subtil, qui concerne la culture logicielle interne. Ouvrir une passerelle MCP au sein du réseau signifie cartographier vos systèmes en tant qu’outils déclaratifs, avec un schéma, une authentification et des contrats clairs. Il s’agit d’un exercice de discipline architecturale que de nombreuses entreprises ont toujours reporté à plus tard parce que la pression du secteur n’était pas payante. Aujourd’hui, cela porte ses fruits, car chaque outil MCP bien conçu devient une fonctionnalité immédiatement exploitable par tout futur agent, et pas seulement par l’agent conçu aujourd’hui.

Sans aucun doute, une question se pose : à quelle vitesse les équipes d’entreprise pourront-elles passer de pilotes isolés à des opérations d’agents fonctionnant dans des périmètres de sécurité déjà définis, et dans quelle mesure les fournisseurs gérés susmentionnés seront-ils réellement accessibles en termes de conformité au RGPD et de résidence des données pour les secteurs les plus réglementés ?

Steven de Simseo
Steven de Simseo

Steven, rédacteur en chef et moteur de Simseo, fusionne une expertise en intelligence artificielle avec une vision futuriste. Pionnier dans son domaine, il guide son équipe avec passion, transformant les complexités de l'IA en récits captivants et accessibles pour le grand public.