Anthropic MCP Tunnels(preview):出口侧 gateway,不需要入口防火墙规则

Anthropic 在 research preview 状态下推出了 MCP Tunnels:一个轻量级 gateway,你把它部署在自己的网络里,它向 Anthropic 基础设施发起一条出口方向的加密连接。一旦这条 tunnel 建立起来,Managed Agents 和 Messages API 就能触达你这一侧的私有 MCP server —— 内部数据库、API、ticketing 系统、知识库 —— 而你不需要开任何一条入口方向的防火墙规则。这个 pattern,本质上跟 Cloudflare Tunnel、ngrok、AWS PrivateLink 是同一个思路,套到了 MCP 流量和 Anthropic 的 agent 表面上。Authentication 模型、transport、定价目前都还没披露。

解决的是什么。Anthropic 在 Code With Claude 上端出的 Managed Agents 原语 —— sandboxed execution、checkpointing、credential scoping —— 是托管在 Anthropic 基础设施上的。本身有用,但企业里的真正拦路虎一直是数据:agent 要触达你的私有 Postgres、内部 Jira、公司 wiki、你的客户数据平台,而这些没一个在公网上。以前的 workaround 要么是把这些服务通过 VPN 或者 reverse proxy 暴露出去(安全评审噩梦),要么是把数据搬到 Anthropic 侧的基础设施(数据驻留噩梦)。MCP Tunnels 让第三条路可走:连接从你的内部网络往外发起,因此你现有的网络安全模型不需要改。Agent 通过 tunnel 触达私有 MCP server;内部系统从来不接收来自 Anthropic 的入口连接。这个连通性原语,把 Managed Agents 从「有意思的 demo」变成了「企业可部署」。

生态背景。Anthropic 在把 MCP stack 在垂直方向填满:协议(MCP 本身)、执行(Managed Agents)、连通性(MCP Tunnels)。每一层都是一个原语,而 wrapper 生态那些 player(LangGraph、AutoGen、客制化的企业 agent 平台)以前都是把这一层卖给同一个 buyer。押注跟 Anthropic 这周其他几次基础设施 move 是一致的:把原语自己占住,wrapper 那一层可有可无。对竞争对手而言:OpenAI 的 Assistants API 和 Agents SDK 目前没有跟 MCP Tunnels 等价的、原生的私有网络访问故事 —— OpenAI 企业部署目前靠 Azure OpenAI 的 private endpoint(锁在 Azure 上)或者 custom 的 reverse-proxy。Google 这周的 Antigravity 2.0 也没出一个 hosted 等价物。AWS 的 Bedrock Agents 有 PrivateLink 走 VPC 内部服务,但那是 AWS 锁定的。MCP Tunnels 是第一个 vendor-neutral 的 pattern:你的 MCP server 可以住在任何地方,tunnel 是入口。

周一上手:如果你有一个被搁置或者暂停的「agent 得能接到我们内部系统」的项目,从抽屉里翻出来 —— MCP Tunnels 正好补上了那个之前一直把这些项目卡死的 network-access gap。去 research preview 的waitlist 上签个名。采纳之前的架构决策:你的 MCP server 住哪里(你的 VPC、你的 on-prem、混合边缘)?Tunnel gateway 是跟 MCP server 一起跑的,放在哪里决定了 agent 实际能触达哪些网络。走安全评审的时候要问的事:gateway 是往 Anthropic 方向发起出口连接的;确认你的 egress 策略放行这个目的地、tunnel 的 binary 是可审计或者开源的、agent 通过 tunnel 回来的 payload 有清楚的信任边界。Auth 模型的细节还没公布 —— 在 commit 到生产 pilot 之前,push 你的 Anthropic account team 把 scoping 原语(per-tool、per-database、per-row)讲清楚。research-preview 这个标签的意思是:接下来 1-2 个月会有 breaking changes,生产 GA 估计 Q3 或 Q4。不管 GA 早晚,这个pattern 是站住了的:只走出口方向的 tunnel 做 agent 连通,是企业接下来会对每一个想做 managed agent 的 vendor 提出的要求。