Tre lanci ravvicinati indicano una stessa direzione: l'agente resta orchestrato dal fornitore, ma gli strumenti girano dove vivono i dati e i sistemi interni restano raggiungibili attraverso canali privati.
Nelle ultime settimane tre fornitori di AI hanno spostato il punto di esecuzione degli agenti verso l'interno del perimetro aziendale. È un movimento tecnico convergente: l'agente resta orchestrato dal fornitore, ma gli strumenti girano dove vivono i dati del cliente, e i sistemi interni restano raggiungibili attraverso canali privati.
Il 19 maggio 2026, alla conferenza Code with Claude di Londra, Anthropic ha presentato due capacità per i Claude Managed Agents: le self-hosted sandbox (in beta pubblica), che fanno eseguire gli strumenti su infrastruttura controllata dal cliente o da provider gestiti come Cloudflare, Daytona, Modal e Vercel, e gli MCP tunnel (in research preview), che collegano gli agenti a server Model Context Protocol privati tramite un gateway con connessione cifrata in uscita.
Lo stesso giorno, durante Google I/O 2026, Google ha aperto in public preview i Managed Agents nella Gemini API: una singola chiamata avvia un agente in una sandbox Linux isolata e ospitata da Google, con esecuzione di codice, ricerca web e fetch di URL. A giugno Mistral ha aggiunto i Connectors in Studio, portando connettori MCP nativi e custom nei flussi enterprise, con tool calling diretto e approvazione human-in-the-loop.
Tre annunci, una stessa direzione su tre assi. Primo: l'esecuzione degli strumenti si avvicina ai dati, dentro sandbox isolate sotto il controllo del cliente o in container provvisti dal fornitore. Secondo: la connettività ai sistemi interni passa per canali privati, con un gateway che apre la connessione verso l'esterno e mantiene riservati i server interni. Terzo: l'orchestrazione, il recovery e la gestione del contesto restano lato fornitore, mentre il dato sensibile resta dentro casa.
Il Model Context Protocol fa da denominatore comune. Da formato di interoperabilità per gli strumenti, MCP diventa il piano di connessione privata tra l'agente e l'azienda.
Per un'azienda regolata — banca, assicurazione, sanità, manifattura con segreti industriali — il punto dolente storico era l'uscita del dato verso l'ambiente di esecuzione del fornitore. Con l'esecuzione dentro il perimetro e la connettività privata, la residenza del dato, l'audit logging e le policy di rete tornano sotto controllo diretto dell'organizzazione. Resta la responsabilità di progettare i confini con cura: una sandbox isolata vale quanto la disciplina con cui si definiscono permessi, log e perimetri di rete attorno a essa.
Alcune pratiche restano valide a prescindere dal fornitore scelto. Mappare quali sistemi interni un agente deve raggiungere e isolare ciascun accesso dietro un canale dedicato. Pretendere audit logging granulare su ogni azione dell'agente, esportabile verso il SIEM aziendale. Verificare la residenza del dato di ogni componente, distinguendo dove gira l'esecuzione da dove resta l'orchestrazione. Trattare la sandbox come una zona a privilegio minimo, con permessi espliciti per file system, rete e credenziali.
La domanda aperta per i prossimi mesi riguarda l'interoperabilità: se ogni fornitore converge su MCP per la connessione privata, le aziende potranno comporre agenti di vendor diversi sullo stesso perimetro? È lì che si gioca la prossima fase della maturità agentica enterprise.
Autore
Pablo Liuzzi
Founder, Synthos Logic