Anthropic a introduit MCP Tunnels en research preview : un gateway léger que tu déploies dans ton propre réseau et qui établit une connexion encryptée outbound vers l'infra Anthropic. Une fois que le tunnel est up, les Managed Agents et l'API Messages peuvent reach des MCP servers privés qui roulent de ton côté — databases internes, APIs, systèmes de ticketing, knowledge bases — sans que tu aies à ouvrir une seule règle firewall inbound. Le pattern c'est la même idée que Cloudflare Tunnel, ngrok, ou AWS PrivateLink, appliquée au trafic MCP et à la surface agent Anthropic. Modèle d'authentication, transport, et pricing pas encore divulgués.
Ce que ça résout. La primitive Managed Agents qu'Anthropic a annoncée à Code With Claude — exécution sandboxée, checkpointing, scoping de credentials — est hostée sur l'infra Anthropic. Utile en soi, mais le blocker enterprise a toujours été les données : les agents ont besoin de reach ton Postgres privé, ton Jira interne, ton wiki d'entreprise, ta customer-data-platform, dont aucun n'est sur l'internet public. Le workaround précédent c'était soit exposer ces services via VPN ou reverse proxy (cauchemar de security review), soit déplacer les données vers de l'infra côté-Anthropic (cauchemar de data residency). MCP Tunnels rend le troisième path opérationnel : la connexion s'initie de l'intérieur de ton périmètre vers l'extérieur, donc ton modèle de network security existant change pas. Les agents reach les MCP servers privés à travers le tunnel ; les systèmes internes accept jamais de connexions inbound d'Anthropic. C'est la primitive de connectivité qui transforme Managed Agents d'interesting-demo en enterprise-deployable.
Contexte écosystème. Anthropic remplit le stack MCP verticalement : protocole (MCP lui-même), exécution (Managed Agents), connectivité (MCP Tunnels). Chaque couche est une primitive que les players de l'écosystème wrapper (LangGraph, AutoGen, plateformes agent enterprise custom) avaient previously vendue au même buyer. Le pari c'est le même qu'avec les autres moves d'infrastructure d'Anthropic cette semaine : own les primitives, laisse la couche wrapper être optionnelle. Pour les compétiteurs : l'API Assistants d'OpenAI et l'Agents SDK n'ont pas current de story native pour le private-network-access comparable à MCP Tunnels — les déploiements enterprise OpenAI dépendent des private endpoints d'Azure OpenAI (captives à Azure) ou de setups reverse-proxy custom. Antigravity 2.0 de Google (aussi cette semaine) ship pas d'équivalent hosté. Les Bedrock Agents d'AWS ont PrivateLink pour les services VPC-internes, mais c'est AWS-captive. MCP Tunnels c'est le premier pattern vendor-neutral : ton MCP server peut vivre n'importe où, le tunnel c'est l'ingress.
Lundi matin : si t'as un projet « agent qui doit reach nos systèmes internes » sur pause ou shelved, époussette-le — MCP Tunnels ferme le gap network-access qui les tuait previously. Mets-toi sur la waitlist du research preview. Décision architecturale avant adoption : où vit ton MCP server (ton VPC, ton on-prem, un edge hybride) ? Le gateway du tunnel tourne à côté du MCP server ; le placement décide quels networks l'agent peut effectivement reach. Ask de security review : le gateway initie outbound vers Anthropic ; vérifie que ta policy d'egress permet la destination, que le binary du tunnel est auditable ou ouvert, et que tu comprends la trust boundary sur les payloads agent qui reviennent à travers. Les détails du modèle d'auth ont pas été publiés — push ton Anthropic account team pour des primitives de scoping (per-tool, per-database, per-row) avant de committer à un pilote production. Le label research-preview veut dire expect des breaking changes pour 1-2 mois et GA production en Q3 ou Q4. Le pattern est là pour rester de toute façon : les tunnels outbound-only pour la connectivité agent c'est ce que l'enterprise va demander de chaque vendor qui veut shipper des managed agents.