배경 및 맥락
엔터프라이즈가 agent를 실제 업무 시스템에 붙이려 할 때 가장 먼저 부딪히는 문제는 모델 성능이 아니라 실행 경계다. 코드를 어디서 돌릴지, 파일이 어디에 남는지, 내부 데이터베이스와 API를 어떻게 연결할지, 그리고 감사 로그를 어떤 통제 아래 둘지가 제품 채택의 핵심 조건이 된다.
그동안 managed agent는 편의성이 높았지만, 민감 데이터와 사설 네트워크를 다루는 조직에서는 실행 환경을 외부 SaaS에 맡기는 것 자체가 도입 장벽이었다. Anthropic의 이번 발표는 바로 그 약점을 겨냥한 구조적 보완이다.
핵심 내용
Anthropic 발표에 따르면 self-hosted sandboxes는 public beta로 제공되며, agent loop 자체는 Anthropic 인프라에 남고 실제 tool execution은 고객이 제어하는 인프라 또는 Cloudflare, Daytona, Modal, Vercel 같은 지원 provider 위에서 이뤄진다. 이를 통해 파일과 저장소가 고객 경계를 벗어나지 않고, 네트워크 정책과 감사 로그, 보안 도구도 기존 기업 통제 체계 안에 둘 수 있다.
함께 공개된 MCP tunnels는 research preview다. 조직이 배포한 lightweight gateway가 단일 outbound connection만 열고 private network 안의 MCP server를 agent에 연결해 준다. 즉 inbound firewall rule이나 public endpoint 없이도 내부 데이터베이스, 사설 API, 지식베이스, 티켓 시스템을 agent tool로 노출할 수 있다.
경쟁 구도 / 비교
최근 에이전트 플랫폼들은 tool calling과 workflow orchestration을 경쟁 포인트로 내세웠지만, 대형 고객에게는 runtime ownership이 더 큰 차별화 요소가 되고 있다. AWS가 IAM 기반 MCP 제어를 강조하고, GitHub와 OpenAI가 enterprise control plane을 넓히는 흐름 속에서 Anthropic은 이번에 sandbox와 private MCP 연결까지 직접 상품화했다.
이 접근은 단순 connector 추가와 다르다. agent가 접근하는 도구의 수보다, 그 도구를 어떤 경계와 정책 아래 실행하느냐가 더 중요해졌기 때문이다. Managed agent가 enterprise perimeter 안에서 작동할 수 있게 되면, SaaS형 agent의 적용 범위가 크게 넓어진다.
의미
산업적으로는 agent 플랫폼이 점점 control plane 사업으로 변하고 있다. 앞으로는 누가 더 강한 모델을 갖고 있느냐보다, 누가 더 많은 기업의 보안 요구와 인프라 현실을 수용하느냐가 계약을 좌우할 가능성이 높다.
실무적으로는 platform/security 팀이 agent 아키텍처 리뷰 시 sandbox 소유권, outbound-only 연결, secrets 주입 방식, 감사 로그 경로를 기본 항목으로 넣어야 한다. 이 영역이 정리되지 않으면 agent의 성능이 좋아도 production 배치는 막힌다.