← 返回 Blog
UseAIAPIAI API2min

企业不敢让 Agent 碰核心数据的死结,Anthropic 用"自托管沙箱 + MCP 隧道"拆了:工具执行留在你机房,编排让 Anthropic 管

几个月前的一场 AI 行业大会上,一位开发者的发言虽显尖锐却道出了普遍痛点:一个功能完善的 AI Agent,能够像人类员工一样访问公司内网、查询数据库、发送邮件、编写代码,这听起来无比美好。但每当这时,安全团队总会抛出同一个问题:"你敢让它碰你们的核心业务数据吗?" 话音落下,会议室瞬间陷入沉默。

ClaudeClaude CodeAnthropic 推出自托管沙箱

破解企业 AI 落地安全困局 Anthropic 推出自托管沙箱与 MCP 隧道方案

编排执行分离架构 让 AI 在可控边界内释放核心价值

今天我们要讨论的核心问题,不是 "AI 模型够不够聪明",而是 "企业敢不敢让 AI 触碰自己的核心数据"。

几个月前的一场 AI 行业大会上,一位开发者的发言虽显尖锐却道出了普遍痛点:一个功能完善的 AI Agent,能够像人类员工一样访问公司内网、查询数据库、发送邮件、编写代码,这听起来无比美好。但每当这时,安全团队总会抛出同一个问题:"你敢让它碰你们的核心业务数据吗?" 话音落下,会议室瞬间陷入沉默。

一、企业 AI 落地的核心痛点:数据安全红线不可逾越

让 AI Agent 在云端托管环境中访问企业内部数据库、私有 API 或解析本地文件,传统方案只有两种选择:

  1. 为内网服务开放入站规则、VPN 或公网端点,让外部 Agent 能够接入;
  2. 将敏感数据和业务制品复制到第三方服务器上再运行 AI 任务。

这两条路都踩到了同一条不可触碰的红线:数据主权与合规要求。企业的核心数据一旦跨出自身安全边界,即便采用加密传输,也改变不了 "数据出境" 或 "数据外传" 的事实。在金融、医疗、政务等监管严格的行业,这两套方案从一开始就不具备可行性。

二、59.8MB 源码泄露事件:敲响数据主权警钟

2026 年 3 月 31 日发生的一起安全事件,让企业对数据控制权的担忧进一步加剧。Web3 安全研究员 Chaofan Shou 披露,Claude Code 的 npm 包(v2.1.88 版本)中意外发布了一个 59.8MB 的 cli.js.map 源映射文件,其 sourcesContent 字段内嵌了约 1906 个 TypeScript 源文件、总计 51.2 万行未混淆代码,涵盖工具模块、命令实现和内部核心逻辑,任何人都可以从公网 npm 服务器直接获取。

Anthropic 随后回应称,这是一起人为操作失误,打包发布流程未过滤源映射文件,并非系统被黑客入侵,不涉及任何客户数据或凭证,但承认暴露出了 CI/CD 安全校验和发布治理环节的漏洞。

对企业客户而言,这个事件传递出的信号冰冷而清晰:没有数据主权和控制边界的保证,再强大的 AI 能力都可能被一票否决。无论厂商如何强调 "提示词安全" 和 "模型护栏",都抵不过一句灵魂拷问:"你们自己的钥匙怎么会挂在门口?"

三、伦敦大会推出两大功能 破解数据安全死结

2026 年 5 月 19 日,在伦敦举办的 Code with Claude 大会上,Anthropic 为其 Claude Managed Agents 托管 Agent 基础设施同时推出了两项重磅企业级能力,直击数据安全这一核心痛点:

表格

功能名称发布状态核心解决问题
自托管沙箱(Self-Hosted Sandboxes)公开测试版AI 的工具执行和文件访问能力留在企业边界内,核心数据不出境
MCP 隧道(MCP Tunnels)研究预览版(需申请)AI 的推理编排能力安全连通内网 MCP 服务,无需开放任何公网端口

3.1 自托管沙箱:把执行环境还给企业客户

自托管沙箱的核心逻辑可以用一句话概括:不是把数据和业务逻辑送到 AI 那里,而是让 AI 的执行环境来到数据这边。

在传统的托管 Agent 模式下:

  • 大脑(推理编排、上下文管理、Agent 循环、错误恢复)运行在 Anthropic 的云端;
  • 手脚(代码执行、工具调用、文件系统访问)也同样运行在 Anthropic 的云端。

而自托管沙箱将这两部分彻底拆分:

  • 大脑继续留在 Anthropic 云端,企业依然可以享受 Claude 强大的推理能力和快速的产品迭代;
  • 手脚(工具执行)则回归企业掌控的基础设施,可以部署在企业自己的机房、私有云账号,或者 Cloudflare、Daytona、Modal、Vercel 等符合合规要求的托管沙箱环境。

这意味着:

  • 代码仓库、业务文件、私有软件包全程留在企业安全边界内;
  • 网络策略、审计日志、出站控制、镜像管理和算力配额完全遵循企业现有安全体系;
  • Anthropic 负责任务编排和错误恢复,所有实际执行和数据接触都发生在企业内部。

安全团队最担心的问题就此迎刃而解:核心矛盾不再是 "AI 可不可信",而是 "数据根本没必要离开企业自己的地盘"。

需要明确的是,自托管沙箱并非 "Claude 的彻底本地部署"—— 编排相关的元数据仍会与 Anthropic 侧交互。它解决的是 "执行环境与数据驻留" 的合规问题,而非满足 "任何数据都不能接触外部服务" 的极端气隙要求。

3.2 MCP 隧道:不开端口 安全连通内网服务

MCP(模型上下文协议)是 Anthropic 提出的 AI Agent 与工具之间的标准化接口,被业内称为 "AI 的 USB-C"。但长期以来,它面临一个非常现实的痛点:企业内部最有价值的资源 —— 数据库、工单系统、OA 系统、私有 API、知识库 —— 都不能暴露在公网上,但为了让 AI Agent 使用这些资源,企业又不得不 "手动拷贝数据" 或 "开放网络端口"。

MCP 隧道采用了 "翻转连接方向" 的创新解法:

  1. 完全不需要修改企业防火墙的入站规则;
  2. 企业在内网部署一个轻量级网关代理,它只做一件事:主动向外建立一条加密出站连接,连接到 Anthropic 的路由基础设施(典型实现基于 Cloudflared 等成熟隧道技术);
  3. Anthropic 侧的所有请求都通过这条预先建立的隧道进入企业内网,到达内部的 MCP 服务器;
  4. 全程采用端到端加密(mTLS / 双层 TLS),访问凭证不会进入 Anthropic 的模型上下文,内网服务本身仍由企业进行独立鉴权(OAuth、权限策略等)。

用安全团队最容易理解的话来说:不是 Anthropic 伸进企业的网络,而是企业网络主动 "伸出一只手" 连接到 Anthropic,而且这只手只能通过一条严格受控的加密管道传输数据。无需暴露任何公网端点,企业内部的数据库、API 和知识库就能安全地成为 AI Agent 可调用的工具。

四、编排与执行分离:重构 AI 基础设施新范式

将自托管沙箱和 MCP 隧道结合起来,我们看到的是一个正在形成的行业深层转向:AI 系统的编排层与执行层正在被拆分为两个独立的平面。

  • 推理和智能编排层(需要持续迭代、处理复杂上下文、快速演进)继续留在托管平台;
  • 工具执行和数据接触层(风险最高的部分)下沉到企业自身环境,完全受企业的安全策略和审计体系约束。

网络策略合规、审计日志完整性、数据驻留要求 —— 这些过去让安全团队直接否决 AI Agent 项目的问题,现在无需企业在能力和安全之间做妥协就能得到解决。

行业分析师 Daksh Trehan 的评价被广泛引用:"合规团队才是 AI Agent 生产部署的真正瓶颈,而不是模型本身。自托管沙箱加 MCP 隧道,让 AI Agent 真正能够在客户的网络边界内运行,而不是卡在安全团队需要六周才能审批完成的流程后面。"

值得注意的是,这并非 Anthropic 一家的选择。同一时期,OpenAI 也在推动类似的技术路线,支持企业将私有 MCP 服务器部署在内网,通过出站 HTTPS 隧道连接到 ChatGPT 和相关 API 服务。整个行业正在快速形成共识:AI 基础设施下一阶段的竞争,不再是 "谁的模型更聪明",而是 "谁能以企业可接受的安全方式,把智能送到数据所在的地方"。

结语:安全可控是 AI 规模化落地的前提

最珍贵的工程智慧,从来不是 "让 AI 能做什么",而是 "怎么让这把火只烧在你允许烧的地方"。

Anthropic 推出的自托管沙箱和 MCP 隧道,并没有为 AI 打开任何新的能力大门,它们更像是一个关键的行业转折点:将整个行业从 "敢不敢让 AI 进来" 的犹豫,推向 "能不能让 AI 待在笼子里、而笼子的钥匙握在企业自己手里" 的新阶段。

在 AI 技术加速向企业核心业务渗透的今天,选择一个安全可靠、性价比高的 AI 服务接入平台,成为企业数字化转型的关键。UseAIAPI作为专业的全球 AI 大模型接入平台,提供 Gemini、Claude、ChatGPT、DeepSeek 等全球主流最新 AI 大模型的一站式接入服务,同时支持企业级定制化解决方案,无需复杂的技术配置即可快速部署上线。为切实帮助企业降低 AI 应用门槛和运营成本,UseAIAPI 推出重磅优惠活动,所有服务最低可享官方价格 5 折,大幅减轻企业高强度内容生成、大规模业务流程自动化和 AI 应用开发的算力负担,让企业能够在筑牢安全防线的同时,充分释放 AI 技术的创新潜力与商业价值。