Anthropic MCP Tunnels(preview):出口側 gateway,不需要入口防火牆規則

Anthropic 在 research preview 狀態下推出了 MCP Tunnels:一個輕量級 gateway,你把它部署在自己的網路裡,它向 Anthropic 基礎設施發起一條出口方向的加密連線。一旦這條 tunnel 建立起來,Managed Agents 和 Messages API 就能觸達你這一側的私有 MCP server —— 內部資料庫、API、ticketing 系統、知識庫 —— 而你不需要開任何一條入口方向的防火牆規則。這個 pattern,本質上跟 Cloudflare Tunnel、ngrok、AWS PrivateLink 是同一個思路,套到了 MCP 流量和 Anthropic 的 agent 表面上。Authentication 模型、transport、定價目前都還沒披露。

解決的是什麼。Anthropic 在 Code With Claude 上端出的 Managed Agents 原語 —— sandboxed execution、checkpointing、credential scoping —— 是託管在 Anthropic 基礎設施上的。本身有用,但企業裡的真正攔路虎一直是資料:agent 要觸達你的私有 Postgres、內部 Jira、公司 wiki、你的客戶資料平台,而這些沒一個在公網上。以前的 workaround 要麼是把這些服務通過 VPN 或者 reverse proxy 暴露出去(安全評審惡夢),要麼是把資料搬到 Anthropic 側的基礎設施(資料駐留惡夢)。MCP Tunnels 讓第三條路可走:連線從你的內部網路往外發起,因此你現有的網路安全模型不需要改。Agent 通過 tunnel 觸達私有 MCP server;內部系統從來不接收來自 Anthropic 的入口連線。這個連通性原語,把 Managed Agents 從「有意思的 demo」變成了「企業可部署」。

生態背景。Anthropic 在把 MCP stack 在垂直方向填滿:協定(MCP 本身)、執行(Managed Agents)、連通性(MCP Tunnels)。每一層都是一個原語,而 wrapper 生態那些 player(LangGraph、AutoGen、客製化的企業 agent 平台)以前都是把這一層賣給同一個 buyer。押注跟 Anthropic 這週其他幾次基礎設施 move 是一致的:把原語自己佔住,wrapper 那一層可有可無。對競爭對手而言:OpenAI 的 Assistants API 和 Agents SDK 目前沒有跟 MCP Tunnels 等價的、原生的私有網路存取故事 —— OpenAI 企業部署目前靠 Azure OpenAI 的 private endpoint(鎖在 Azure 上)或者 custom 的 reverse-proxy。Google 這週的 Antigravity 2.0 也沒出一個 hosted 等價物。AWS 的 Bedrock Agents 有 PrivateLink 走 VPC 內部服務,但那是 AWS 鎖定的。MCP Tunnels 是第一個 vendor-neutral 的 pattern:你的 MCP server 可以住在任何地方,tunnel 是入口。

週一上手:如果你有一個被擱置或者暫停的「agent 得能接到我們內部系統」的專案,從抽屜裡翻出來 —— MCP Tunnels 正好補上了那個之前一直把這些專案卡死的 network-access gap。去 research preview 的waitlist 上簽個名。採納之前的架構決策:你的 MCP server 住哪裡(你的 VPC、你的 on-prem、混合邊緣)?Tunnel gateway 是跟 MCP server 一起跑的,放在哪裡決定了 agent 實際能觸達哪些網路。走安全評審的時候要問的事:gateway 是往 Anthropic 方向發起出口連線的;確認你的 egress 策略放行這個目的地、tunnel 的 binary 是可稽核或者開源的、agent 通過 tunnel 回來的 payload 有清楚的信任邊界。Auth 模型的細節還沒公布 —— 在 commit 到生產 pilot 之前,push 你的 Anthropic account team 把 scoping 原語(per-tool、per-database、per-row)講清楚。research-preview 這個標籤的意思是:接下來 1-2 個月會有 breaking changes,生產 GA 估計 Q3 或 Q4。不管 GA 早晚,這個pattern 是站住了的:只走出口方向的 tunnel 做 agent 連通,是企業接下來會對每一個想做 managed agent 的 vendor 提出的要求。