Anthropic hat die grundlegende Struktur seiner Managed Agents neu gestaltet und ist von einer Einkammer-Architektur zu einem verteilten Design mit drei entkoppelten Komponenten übergegangen.
Das ursprüngliche Design fasste die Modellschleife (Harness), die Sandbox-Ausführungsumgebung und den Sitzungsverlauf in einem Container zusammen. Dies schuf drei operative Probleme: Das Debuggen war undurchsichtig, da Ausfälle im Harness, in Netzwerkpaketen oder im Container selbst identisch aussahen; die Reichweite war begrenzt, da der Harness annahm, dass Ressourcen im selben Container leben – Kunden mussten entweder Netzwerke verbinden oder ihren eigenen Harness betreiben; und Sicherheitsrisiken entstanden, weil Credentials und nicht vertrauenswürdiger generierter Code denselben Raum teilten – eine Prompt-Injection musste nicht aus dem Container entkommen, sondern nur Claude überreden, Umgebungsvariablen zu lesen.
Die neue Architektur virtualisiert den Agenten in drei unabhängige Schnittstellen, inspiriert von der Art, wie Betriebssysteme Hardware virtualisierten. Die Session ist ein beständiges, nur anfügbares Protokoll aller Ereignisse. Der Harness (Gehirn) ist die Orchestrierungsschleife, die Claude aufruft und Tool-Aufrufe weiterleitet. Die Sandbox (Hände) ist die Ausführungsumgebung, in der Code läuft und Dateien bearbeitet werden. Jede Komponente kann ausfallen oder ersetzt werden, ohne die anderen zu stören.
Diese Entkopplung liefert drei Hauptvorteile. Erstens fiel die Time-to-First-Token dramatisch, da die Inferenz sofort starten kann, indem ausstehende Ereignisse aus dem Session-Protokoll abgerufen werden; die Container-Bereitstellung wird aufgeschoben, bis ein Tool-Aufruf sie tatsächlich benötigt. Sitzungen, die niemals Code ausführen, umgehen den Container-Boot vollständig, was erklärt, warum die p95-Latenz über 90% fiel – der Tail wurde von unnötiger Container-Einrichtung dominiert. Zweitens werden Harness und Sandbox zustandslos und austauschbar; wenn der Harness abstürzt, startet eine neue Instanz mit wake(sessionId), rekonstruiert den Zustand aus dem Session-Protokoll über getEvents() und setzt fort. Wenn eine Sandbox ausfällt, spinnts eine neue Container on demand auf. Drittens sind Credentials jetzt strukturell unerreichbar aus generiertem Code: Git-Tokens werden einmal beim Klonen verwendet und dann nicht mehr gehalten; OAuth-Tokens für benutzerdefinierte Tools leben in einem externen Tresor und werden durch einen dedizierten Proxy für Session-Tokens getauscht, sodass Prompt-Injection keine lange gültigen Credentials stehlen kann.
Am 22. Juli 2026 ändert Anthropic, wie das Memory Listing auf Managed Agents funktioniert: Die Parameter order_by und order werden ignoriert zugunsten einer stabilen, serverseitig definierten Reihenfolge. Dies spiegelt die grundlegende Designphilosophie wider, dass beständige, abfragbare Schnittstellen spezifische Implementierungen überdauern. Das Session-Protokoll selbst wird als Kontextobjekt außerhalb des Modell-Fensters behandelt, das es dem Harness ermöglicht, Schnitte des Ereignisstroms abzurufen, zurückzuspulen oder vor spezifischen Aktionen erneut zu lesen – alles bevor es an Claude gesendet wird. Dies umgeht das Problem von unwiederbringlichen Entscheidungen darüber, welche Tokens verworfen werden sollen, wenn Aufgaben den Kontext überlaufen.
Das zugrunde liegende Prinzip besteht darin, Annahmen in Schnittstellen statt in Implementierungen zu codieren. Die Modellfähigkeiten verbessern sich im Laufe der Zeit, was Workarounds obsolet macht; Anthropic vermerkt, dass Context-Reset-Logik, die für Sonnet 4.5 hinzugefügt wurde, bis Opus 4.5 zu Leergut wurde. Durch die Trennung von Gehirn, Händen und Speicher sowie die Fernhaltung von Credentials aus der Ausführungs-Sandbox werden Agent-Systeme resilient gegen Model-Evolution und immun gegen ganze Klassen von Angriffen.