Problema
El gran bloqueo de los agentes enterprise no es que razonen poco. Es que ejecutar acciones cerca de datos privados, repositorios, APIs internas y sistemas de negocio es peligroso si todo vive en una caja opaca.
Las novedades de Claude Managed Agents en mayo de 2026 atacan justo ese punto: self-hosted sandboxes, MCP tunnels y partners como Cloudflare para ejecutar herramientas dentro de un perimetro controlado.
La arquitectura empieza a separarse en piezas: el modelo razona, el harness orquesta, el sandbox ejecuta y la red gobierna.
Tesis
El perimetro del agente se esta convirtiendo en una categoria de producto.
Durante 2024 y 2025, muchas empresas se preguntaban que modelo elegir. En 2026, la pregunta madura es otra: donde corre el agente, que puede tocar, como accede a sistemas internos y que queda registrado.
Claude Managed Agents con sandboxes externos expresa una arquitectura mas seria: el “cerebro” puede estar gestionado por Anthropic, pero las manos del agente pueden ejecutarse en infraestructura del cliente o en proveedores especializados.
Framework
Una arquitectura agentica madura separa cinco responsabilidades:
- Modelo: decide, razona, planifica y solicita herramientas.
- Harness: mantiene la sesion, gestiona errores y coordina pasos.
- Sandbox: ejecuta codigo, manipula archivos y corre procesos.
- Conectividad: accede a APIs privadas, bases de datos y MCP servers.
- Observabilidad: registra acciones, argumentos, resultados y excepciones.
Mini-caso: una empresa quiere que un agente revise incidencias, lea un repo privado y ejecute tests. Con self-hosted sandbox, los archivos y dependencias pueden quedarse dentro del perimetro. Con MCP tunnels, el agente alcanza herramientas internas sin exponerlas publicamente. La mejora no es solo tecnica; es politica. Seguridad puede aceptar un diseño con limites visibles.
Señal medible: porcentaje de acciones de agente ejecutadas en entornos con network policy, logs y control de secretos.
Postura: los agentes no se vuelven enterprise por tener mejor modelo. Se vuelven enterprise cuando su ejecucion tiene arquitectura.
Por que importa ahora
Anthropic anuncio que Claude Managed Agents puede operar en sandboxes controlados por el cliente o por proveedores como Cloudflare, Daytona, Modal y Vercel. Tambien introdujo MCP tunnels para conectar agentes a servidores MCP privados sin exponerlos a internet publico.
Cloudflare, por su parte, posiciona sus sandboxes como la capa de ejecucion segura y escalable para esos agentes.
Esto anticipa una guerra menos visible que la de modelos: quien controla el runtime, los permisos, la red y la observabilidad del trabajo agentico.
Anti-ejemplo
“Si el proveedor gestiona el agente, ya estamos seguros.”
No necesariamente. Gestionar el loop no equivale a controlar todos los efectos. La seguridad real vive en la frontera entre razonamiento, herramienta, dato, secreto y accion. Si esa frontera no esta diseñada, la empresa depende de confianza implicita.
Protocolo (3 pasos)
- Dibuja la ruta de ejecucion. Desde prompt hasta herramienta, archivo, red y output.
- Aisla por tipo de trabajo. No uses el mismo sandbox para exploracion, build, datos sensibles y produccion.
- Haz visible el secreto. No el valor del secreto, sino quien lo inyecta, donde vive y que accion habilita.
| Componente | Pregunta critica | Error frecuente |
|---|---|---|
| Harness | quien recupera de fallos | loop casero sin logs |
| Sandbox | donde se ejecuta codigo | entorno compartido |
| MCP tunnel | que herramienta interna toca | endpoint publico |
| Secretos | quien los inyecta | variables en claro |
Relacionado
- Agent Reliability Score: como saber si un agente merece autonomia
- Human Escalation Design: cuando un agente debe pedir ayuda y cuando debe seguir solo
- MCP en la empresa: el estandar que evita el caos de agentes
Fuentes consultadas
- New in Claude Managed Agents: self-hosted sandboxes and MCP tunnels
- Announcing Claude Managed Agents on Cloudflare
- Scaling Managed Agents: decoupling the brain from the hands
Proximo paso
Si estas evaluando agentes gestionados, no pidas primero una demo. Pide el diagrama de ejecucion: modelo, harness, sandbox, secretos, red, logs y rollback.