LLM Automation Agent systems Sandboxing gVisor Claude API

Claude Managed Agents vs self-hosted sandbox con seccomp e gVisor: TCO e threat model a confronto

Claude Managed Agents vs self-hosted sandbox con seccomp e gVisor: TCO e threat model a confronto

L'8 aprile 2026 Anthropic ha rilasciato in public beta Claude Managed Agents, harness fully-managed che rende cloud-hosted gli agent Claude con sandbox container, persistent session, built-in tool e SSE event streaming, esposto via API singola con beta header managed-agents-2026-04-01. Sul mio Hetzner CCX33 (8 vCPU AMD EPYC 9454P, 32 GB RAM DDR5) ho passato due settimane a confrontarlo con il mio harness self-hosted basato su gVisor + seccomp + cap-drop su container effimeri Firecracker, lo stesso che ho descritto in dettaglio nel pezzo sul sandboxing di agent LLM che eseguono codice. La domanda operativa che mi sono posto è la più semplice: ha ancora senso mantenere l'harness self-hosted, o conviene migrare a Managed Agents per il throughput di sviluppo che ne consegue? Spoiler della risposta che propongo nel resto dell'articolo: dipende da quattro variabili specifiche del cliente, e per la maggior parte delle PMI italiane medio-piccole la risposta è "managed adesso, self-hosted dopo se cresci abbastanza". Ma il "dipende" non è cosmetico, è costoso da sbagliare in entrambe le direzioni.

Una nota tecnica sorprendente che vale la pena anticipare: Anthropic stessa, sui propri Managed Agents, non usa seccomp e fa girare i container con root execution. La security boundary è interamente affidata a gVisor in modalità syscall-intercepting con tre layer di egress control (DNS-restricted, JWT-authenticated proxy, network-level firewall). È una scelta di design diversa da quella che molte best practice OWASP suggeriscono per agent self-hosted, ed è il segnale che Anthropic ha scelto di concentrare la difesa su un singolo isolation layer molto robusto invece che su defense-in-depth a layer multipli. Per il consulente che sta valutando se replicare quella stessa scelta o se invece restare sul defense-in-depth tradizionale, è un punto di analisi non banale.

Cosa offre davvero Claude Managed Agents

L'architettura di Managed Agents si appoggia su quattro concetti modulari documentati su platform.claude.com/docs/managed-agents/overview: Agent (modello, system prompt, tool, connection MCP), Environment (template del container con package preinstallati, network rules, file mounted), Session (istanza in esecuzione di un Agent dentro un Environment, persistente fra disconnessioni, può durare ore), Events (stream di messaggi via SSE fra applicazione e agent). Il modello di programmazione è semplice rispetto al fai-da-te: definisci una volta l'Agent e l'Environment, lanci una Session, ti agganci allo stream SSE, e Claude orchestra autonomamente il toolset built-in (agent_toolset_20260401) che include bash, read, write, edit, glob, grep, web_search, web_fetch. Per i task più verticali sono disponibili Skills dedicati per Excel, Word, PowerPoint, PDF.

Il pricing è bipartito: tariffe normali sui token del modello backbone (Opus 4.7, Sonnet, Haiku a scelta), più $0.08 per session-hour metered al millisecondo. Web search interna costa $10 ogni 1.000 search dentro la session. La somma di queste tariffe è una variabile che vedremo essere centrale nella TCO analysis. I primi cinque enterprise customer pubblicamente nominati (Notion, Rakuten, Asana, Vibecode, Sentry) hanno portato workload di produzione prima del lancio public beta, segnale che il prodotto è uscito già con pattern di adoption enterprise validati. Memory stores, multi-agent e outcomes sono in research preview dietro form di accesso, indicando una roadmap di estensione con feature più sofisticate per use case multi-agent collaborativo.

Se gestisci una pipeline agentic e devi decidere fra managed e self-hosted

Nel mio hub dedicato all'AI per aziende, sezione sviluppo raccolgo gli articoli sui pattern di engineering applicati ai sistemi agentic. La scelta architetturale fra managed e self-hosted è uno dei trade-off più impattanti che farai sul tuo stack AI nei prossimi 12 mesi, ed è raramente discussa nei termini ingegneristici concreti che servono al decision maker tecnico.

TCO analysis: le quattro variabili che decidono

Variabile uno: carico orario sessione di agent. Per ogni session che gira H ore al mese, Managed Agents addebita H × $0.08 × N session, dove N è il numero di session lanciate. Per un cliente con 10 session che girano in media 4 ore/giorno per 22 giorni lavorativi, sono 880 session-hour al mese, $70 di runtime. Per un cliente con 100 session attive simultanee 24/7 sono 72.000 session-hour, $5.760/mese. Il primo profilo trova Managed conveniente fin da subito; il secondo paga il modello più del costo del compute equivalente self-hosted, e oltre una certa soglia diventa economicamente razionale costruirsi l'harness in casa.

Variabile due: numero e profondità delle integrazioni custom. Managed Agents fornisce un toolset built-in più connection MCP esposte. Se il tuo agent ha bisogno di tool molto verticali (es. integrazione con un ERP italiano specifico, una API legacy proprietaria con autenticazione SAML quirky, un sistema SCADA on-premise) puoi farli via MCP, ma il design e la maintenance del MCP server ricade su di te. Se il tuo agent fa solo task standard (codice, ricerca web, manipolazione documenti, scripting bash) sei nello sweet spot di Managed. Se il tuo agent integra dieci sistemi enterprise eterogenei con auth diverse e shaping della response dipendente dal canale, l'overhead di adattare tutto a MCP rende self-hosted più semplice da estendere.

Variabile tre: regime di compliance e data sovereignty. I container Managed girano in cloud Anthropic, che oggi ha datacenter principalmente US e UK. Per molte PMI italiane non è un problema (il dato che passa nei prompt è già di Claude API), ma per clienti con dati health, financial regulated, o pubblica amministrazione, il vincolo di residenza europea può spostare drammaticamente la valutazione. AI Act in vigore dal 2 agosto 2026, alcuni provvedimenti del Garante Privacy del 2025-2026 sui sistemi LLM enterprise, e la pressione del mercato verso "sovereign AI" (Forrester Europe: 52% accelera spesa sovereignty, 47% riesamina cloud extra-UE) rendono questo asse decisivo per certe categorie di cliente. Self-hosted dentro Hetzner Falkenstein, OVH Roubaix, Aruba Arezzo è oggi l'unica strada se la compliance richiede strict EU residency.

Variabile quattro: expertise interna disponibile per gestire infrastruttura agentic. Self-hosting un harness con gVisor + seccomp + cap-drop + container effimeri richiede ingegneria security e DevOps di livello senior. Per le PMI italiane con team IT da 1-3 persone, il costo opportunità di costruire e mantenere quell'infrastruttura è proibitivo: ogni ora spesa su Firecracker tuning è un'ora non spesa sul prodotto del cliente. Per le PMI medio-grandi con team di security/DevOps dedicato, il fai-da-te diventa un asset strategico (meno vendor lock-in, customization fine, audit trail proprietario).

Threat model: superficie d'attacco e dove sta la responsabilità

Sul piano security le due architetture hanno trade-off opposti che vanno espliciti. Managed Agents porta la responsabilità del runtime sandbox in capo ad Anthropic. Se domani un ricercatore Unit 42 trova un escape gVisor zero-day che colpisce il pool Anthropic, Anthropic ha il dovere di patcharlo e tu non devi fare nulla. È un vantaggio enorme per chi non ha team security dedicato. Per converso, sei legato al threat model di Anthropic: scegli loro come unico custode dei tuoi dati di sessione (file persistenti, log eventi, eventuali secret nei container), accetti la loro telemetria, accetti i loro retention policy. Il caso Vertex AI Double Agent che ho descritto nel pezzo sul privilege escalation cross-tenant ricorda che i provider managed possono avere blind spot strutturali che colpiscono tutti i customer simultaneamente.

Self-hosted ti dà controllo completo del threat model ma anche responsabilità completa. Se metti in produzione un harness senza upgrade regolari di gVisor, senza monitoring degli escape attempt, senza review periodica delle seccomp profile, hai trasferito il rischio dal vendor a te stesso, peggiorandolo. Per molte PMI italiane il calcolo realistico è che la propria capacity di mantenere security al livello di Anthropic è inferiore alla capacity di Anthropic stessa, quindi la Managed è una net improvement security-wise. Per aziende con SOC interno e team red team operativo, il discorso si capovolge: hanno la struttura per fare meglio del vendor sul proprio scenario specifico.

Una considerazione legata al pattern OWASP Top 10 for Agentic Applications che ho descritto in questo articolo: per ASI03 Identity & Privilege Abuse, su Managed il service account dell'agent è gestito da Anthropic ma le credenziali esposte ai tool dell'agent sono tue (chiavi API, token DB, secret di terze parti). La superficie di attacco si sposta dal runtime al credential management. Sul self-hosted la superficie include anche il runtime, ma se il runtime è ben configurato, il blast radius di un compromise è minore. È una sostituzione di rischio, non una riduzione.

Esempio numerico concreto: confronto a 18 mesi su un caso PMI tipico

Per chiudere la TCO analysis con numeri concreti, ricostruisco un caso che sintetizza tre engagement che ho seguito negli ultimi sei mesi (anonimizzato per profilo). Cliente: PMI italiana servizi B2B, 80 dipendenti, ha già un team di 4 sviluppatori senior PHP/Python, vuole costruire un agent autonomo per qualifica lead, summarization documenti contrattuali, generazione bozza email commerciali. Volume atteso a regime: 50 session simultanee massime, durata media 1,5 ore, 22 giorni lavorativi al mese, totale 1.650 session-hour mese.

Scenario A, Managed Agents: $0.08 × 1.650 = $132/mese di runtime, più $80-200/mese di token Opus 4.7 a regime, più web_search occasionali. Totale a regime: $250-400/mese. Setup: 2-3 settimane di engineering per definire Agent ed Environment, integrare MCP server interno per il CRM aziendale (5 giornate aggiuntive), test end-to-end (3 giornate). Costo setup totale: 35-45 giornate-uomo, equivalente in valore di 18.000-24.000 euro per team interno della PMI. Maintenance: 3-5 giornate al mese.

Scenario B, self-hosted con harness gVisor + Firecracker su Hetzner: server CCX43 (16 vCPU, 64 GB RAM, 360 GB NVMe) a circa 70 euro/mese, più 1.5 TB di traffico incluso. Runtime computazionale per 1.650 session-hour ampiamente coperto dal singolo server. Token Opus 4.7 stesso costo $80-200/mese. Setup: 60-80 giornate-uomo per harness completo, monitoring, observability, security hardening (32.000-43.000 euro equivalenti). Maintenance: 8-12 giornate al mese (security patching, container update, capacity tuning, incident response). Plus opex licenza monitoring, log aggregation: 50-100 euro/mese.

Calcolo del break-even a 18 mesi: scenario A spende circa 35 giornate setup + 18 × 4 = 72 giornate maintenance + 18 × 325 dollari = 90 giornate equivalenti totali in valore di compute, totale ~107 giornate-uomo di costo equivalente. Scenario B spende 70 giornate setup + 18 × 10 = 180 giornate maintenance + costo server, totale ~250 giornate-uomo di costo equivalente più 1.260 euro di server. Per questa PMI Managed Agents è oltre il doppio più conveniente nei primi 18 mesi a parità di funzionalità, e il divario si chiude solo verso il quarto anno se il volume cresce significativamente. Per chi ha team capacity limitato, è una scelta operativa quasi obbligata.

Il caso flips a self-hosted già a regime se il cliente raggiunge 5.000+ session-hour/mese (tipicamente PMI medio-grande con 200+ dipendenti che integra agent in 5-10 workflow paralleli) e ha team security/DevOps di 2-3 persone dedicate. Sopra una certa scala, l'integrazione tighter con i sistemi proprietari, il minor vendor lock-in e i costi ricorrenti più bassi rendono il fai-da-te economicamente preferibile.

Decision framework: quando scegliere quale

Sintetizzo i quattro assi sopra in una griglia operativa.

PMI piccola con team IT 1-3 persone, carico agent leggero (sotto 200 session-hour/mese), task standard, no vincoli sovereignty stretti. Managed Agents. Costo tipico $50-200/mese di runtime, zero overhead infrastrutturale, time-to-market inferiore a una settimana. Self-hosted è inutile complicazione.

PMI media con team IT 4-8 persone, carico moderato (500-2000 session-hour/mese), task con qualche integrazione custom, vincoli sovereignty soft. Managed Agents con MCP server custom on-premise per integrazioni proprietarie. Hybrid pattern: il runtime gira su Anthropic, ma i tool che toccano dati sensibili sono espositi via MCP server self-hosted dentro DC europeo. Costo $400-1.600/mese di runtime managed più maintenance MCP server (~10-15 giornate ingegneristiche/anno).

Azienda media-grande con team security/DevOps maturo, carico alto (oltre 5.000 session-hour/mese), integrazioni complesse, vincoli sovereignty strict (sanitario, financial, PA). Self-hosted. TCO break-even sotto i 5.000 session-hour può non giustificare il fai-da-te; oltre, il delta cost diventa strutturale. Costo iniziale di setup 30-60 giornate ingegneristiche, costo mantenimento 4-8 giornate al mese.

Caso particolare: cliente con use case sperimentale, prototipo, POC. Managed Agents anche se il profilo a regime sarebbe self-hosted: la velocità di iterazione vale il delta cost a breve, e poi si valuta migrazione quando il prodotto è validato e i numeri di carico atteso sono confermati su dati reali e non più stime.

Il consulente che porta sul tavolo del cliente PMI italiana questa griglia, applicata sui suoi numeri reali, fa esattamente ciò che il mercato chiede e pochi sanno offrire: una scelta architetturale ancorata a TCO + threat model + sovereignty + expertise, non a moda o marketing. Se vuoi una conversazione tecnica per modellare il tuo caso specifico fra Managed Agents, harness self-hosted o pattern ibrido, includendo le quattro variabili decisive e una stima di TCO calibrata sui tuoi numeri reali, il modulo di preventivo gratuito è il punto da cui inquadrare la richiesta in due minuti, sette domande.

Ultima modifica: