Anthropic Đưa AI Agent Vào Bên Trong Vành Đai Doanh Nghiệp: MCP Tunnels Và Self-Hosted Sandboxes Giải Quyết Rào Cản Bảo Mật Cuối Cùng
Rào cản phổ biến nhất để triển khai AI agent trong môi trường doanh nghiệp không phải là chi phí, khả năng, hay độ tin cậy. Đó là bảo mật. Các ngành được quản lý chặt chẽ — tài chính, y tế, pháp lý, chính phủ — vận hành theo các yêu cầu nghiêm ngặt về lưu trú dữ liệu và ranh giới mạng bảo mật. Trước ngày 19 tháng 5 năm 2026, triển khai Claude Managed Agents đồng nghĩa với việc định tuyến việc thực thi công cụ qua hạ tầng cloud của Anthropic: một yêu cầu kiến trúc khiến các file nhạy cảm, API nội bộ và cơ sở dữ liệu riêng tư nằm ngoài ranh giới bảo mật doanh nghiệp. Tại Code with Claude London, Anthropic đã loại bỏ ràng buộc đó. Hai tính năng mới — self-hosted sandboxes (bản beta công khai) và MCP tunnels (bản xem trước nghiên cứu) — cho phép việc thực thi công cụ của agent và truy cập mạng riêng tư hoàn toàn nằm trong ranh giới hạ tầng của chính khách hàng. Đây không phải là cập nhật tính năng. Đây là sự tái phân loại kiến trúc về nơi các Claude agent tồn tại.
Kiến Trúc Tách Biệt: Điều Phối Ở Anthropic, Thực Thi Ở Bạn
Hiểu những gì đã thay đổi đòi hỏi phải hiểu những gì đã có trước đó. Claude Managed Agents trước đây hoạt động như một dịch vụ cloud thống nhất: vòng lặp điều phối, quản lý ngữ cảnh, phục hồi lỗi và thực thi công cụ đều chạy trên hạ tầng của Anthropic. Điều này hiệu quả nhưng tạo ra một vấn đề tuân thủ căn bản — mỗi lần gọi công cụ, đọc file và gọi API đều vượt qua ranh giới mạng của khách hàng. Kiến trúc mới tách mô hình này một cách chính xác tại điểm ghép nối đúng đắn. Vòng lặp agent — lớp trí tuệ chịu trách nhiệm điều phối, lập kế hoạch, quản lý ngữ cảnh và phục hồi lỗi — vẫn ở trên hạ tầng của Anthropic. Thực thi công cụ, phần thực sự đọc file, gọi API và chạy code, chuyển sang môi trường được cấu hình của khách hàng. Hãy hình dung như một vị tướng ở phía Anthropic chỉ đạo các hoạt động thực địa ở phía bạn. Trí tuệ ở ngoài; hành động diễn ra bên trong ranh giới của bạn.
MCP Tunnels: Truy Cập Mạng Riêng Tư Không Phơi Lộ Ra Internet Công Cộng
MCP tunnels giải quyết vấn đề đã chặn hoàn toàn các quy trình làm việc agentic doanh nghiệp: làm thế nào để cấp cho AI agent quyền truy cập vào cơ sở dữ liệu nội bộ, API riêng tư hoặc cơ sở kiến thức của công ty mà không đưa các hệ thống đó lên internet công cộng? Các câu trả lời truyền thống — tích hợp VPN, danh sách IP cho phép, proxy API công khai — mỗi cái đều mang theo chi phí bảo mật đáng kể và thời gian chờ phê duyệt doanh nghiệp tính bằng tháng, không phải ngày. Kiến trúc tunnel của Anthropic có sự thanh lịch về mặt kỹ thuật. Một cổng kết nối nhẹ được triển khai bởi khách hàng bên trong mạng riêng tư của họ. Nó tạo ra một kết nối outbound duy nhất đến hạ tầng tunnel của Anthropic — không có quy tắc tường lửa inbound, không có endpoint công khai, không cần thay đổi chính sách mạng doanh nghiệp. Lưu lượng được mã hóa end-to-end. Agent, đang chạy vòng lặp điều phối trong cloud của Anthropic, tiếp cận MCP server nội bộ qua tunnel như thể đó là một dịch vụ cục bộ. Cơ sở dữ liệu nội bộ, hệ thống ticketing, cơ sở kiến thức riêng tư, API độc quyền và các hệ thống on-premise cũ trở thành các công cụ có thể gọi cho agent — mà không vượt qua ranh giới mạng doanh nghiệp.
Self-Hosted Sandboxes: Nơi Thực Thi Công Cụ Diễn Ra Từ Nay
Self-hosted sandboxes giải quyết vấn đề ranh giới thứ hai: hệ thống file, thực thi gói và chạy code của agent thực sự xảy ra ở đâu? Trước đây, điều này diễn ra trong các cloud VM được Anthropic quản lý. Với self-hosted sandboxes, khách hàng cấu hình việc thực thi công cụ để chạy trên hạ tầng của riêng họ, hoặc thông qua một bộ nhà cung cấp sandbox được quản lý được tuyển chọn: Cloudflare, Daytona, Modal và Vercel. Hiệu quả thực tế rất cụ thể: các file nhạy cảm, gói độc quyền, dịch vụ nội bộ và các tạo phẩm code không bao giờ rời khỏi môi trường của khách hàng. Quá trình ra quyết định của agent — làm gì, theo thứ tự nào, cách phục hồi khi có lỗi — vẫn nằm trên hạ tầng của Anthropic. Nhưng công việc thực sự diễn ra bên trong ranh giới của khách hàng. Đối với các ngành mà lưu trú dữ liệu là yêu cầu pháp lý, không phải tùy chọn, sự phân biệt này chuyển đổi Claude Managed Agents từ một thử nghiệm thú vị thành hệ thống production có thể triển khai và vượt qua vòng xem xét tuân thủ.
Tại Sao Bảo Mật Doanh Nghiệp Mới Là Trần Giới Hạn Thực Sự Của Việc Áp Dụng
Thị trường AI coding agent năm 2026 có một đường cầu được ghi chép rõ ràng: các đội kỹ thuật doanh nghiệp liên tục báo cáo lợi ích năng suất đáng kể trong các môi trường thử nghiệm. Tỷ lệ chuyển đổi triển khai kể một câu chuyện khác. Các ngành được quản lý chặt chẽ — chiếm tỷ lệ không cân xứng về số lượng kỹ sư và chi tiêu phần mềm toàn cầu — phần lớn đã không thể chuyển từ đánh giá sang production ở quy mô lớn. Lý do hầu như luôn giống nhau: chủ quyền dữ liệu. Khi việc thực thi công cụ của agent chạm vào code nội bộ, thông tin xác thực, hồ sơ khách hàng hoặc thuật toán độc quyền trong môi trường cloud ngoài tầm kiểm soát của khách hàng, nó kích hoạt các chu kỳ xem xét tuân thủ có thể kéo dài nhiều quý. Đội bảo mật chặn. Pháp lý leo thang. Mua sắm đình trệ. Self-hosted sandboxes và MCP tunnels trực tiếp giải quyết rào cản này. Bằng cách giữ việc thực thi công cụ và truy cập mạng riêng tư trong ranh giới của khách hàng, Anthropic đã thay đổi cuộc trò chuyện tuân thủ từ 'liệu điều này có thể được phê duyệt về nguyên tắc không' sang 'danh sách kiểm tra triển khai trông như thế nào.' Đó là một cuộc trò chuyện hoàn toàn khác về mặt bản chất.
Bức Tranh Chiến Lược: Mô Hình Hạ Tầng Hai Lớp Của Anthropic
Nhìn trong bối cảnh, Code with Claude London tiết lộ một chiến lược hạ tầng nhất quán mà Anthropic đã thực hiện trong suốt năm 2026. Việc thâu tóm Stainless đảm bảo hạ tầng tạo SDK giúp việc tạo MCP server trở nên liền mạch cho bất kỳ API nào. Việc ra mắt nền tảng Managed Agents mang lại các nguyên tắc agent cấp production — dreaming (tổng hợp bộ nhớ dựa trên transcript), outcomes (hoàn thành nhiệm vụ được chấm điểm theo tiêu chí), và multi-agent orchestration — có thể truy cập qua một lần gọi API duy nhất. Giờ đây, self-hosted sandboxes và MCP tunnels mở rộng hạ tầng đó vào môi trường của chính khách hàng. Mô hình là hai lớp có chủ ý: Anthropic sở hữu control plane (điều phối, ngữ cảnh, trí tuệ, đảm bảo độ tin cậy), và khách hàng sở hữu execution plane (chạy công cụ, truy cập dữ liệu, ranh giới mạng). Điều này phản ánh kiến trúc mà các nền tảng phần mềm doanh nghiệp đã chiến thắng trong lịch sử các thị trường được quản lý — các bậc lưu trú dữ liệu của Salesforce, AWS GovCloud, Azure Government — bằng cách tách biệt trí tuệ nền tảng khỏi quyền quản lý dữ liệu. Anthropic đang thực thi cùng chiến lược đó cho các AI agent. Đây không phải là sự trùng hợp ngẫu nhiên. Đây là một kịch bản được lên kế hoạch.
Các Đội Doanh Nghiệp Nên Làm Gì Ngay Tuần Này
Con đường thực tiễn phía trước rõ ràng. Self-hosted sandboxes đang trong bản beta công khai và sẵn có ngay — các đội kỹ thuật trong các ngành được quản lý có thể bắt đầu cấp phát hạ tầng và đánh giá tuân thủ ngay lập tức. Các nhà cung cấp được hỗ trợ (Cloudflare, Daytona, Modal, Vercel) bao gồm các mô hình triển khai doanh nghiệp chính: serverless, container hóa và dedicated compute. MCP tunnels đang trong bản xem trước nghiên cứu và yêu cầu đăng ký truy cập — các đội có yêu cầu mạng riêng tư ngay lập tức nên đăng ký ngay, vì năng lực bản xem trước thường bị giới hạn và truy cập sớm tương quan với thời gian triển khai production nhanh hơn. Với các đội không thuộc ngành được quản lý, tín hiệu chiến lược quan trọng bất kể vậy: kiến trúc hai lớp của Anthropic có nghĩa là ranh giới giữa những gì chạy bên trong và bên ngoài hạ tầng của bạn hiện có thể cấu hình, không cố định về mặt kiến trúc. Khả năng cấu hình đó sẽ trở nên quan trọng khi khả năng của agent mở rộng và độ nhạy cảm của những gì agent có thể truy cập tăng lên. Kiến trúc tin cậy trong các hệ thống AI agent đang được định nghĩa ngay bây giờ. Các tổ chức thiết kế mô hình triển khai của họ một cách cẩn thận hôm nay sẽ không cần phải xây dựng lại chúng khi mức độ rủi ro trở nên cao hơn.