Anthropic ha reestructurado fundamentalmente cómo funcionan sus Agentes administrados, pasando de una arquitectura de contenedor único a un diseño distribuido con tres componentes desacoplados.
El diseño original agrupaba el bucle del modelo (arnés), el entorno de ejecución de la sandbox y el historial de sesión en un único contenedor. Esto creaba tres problemas operacionales: la depuración era opaca porque los fallos en el arnés, los paquetes de red o el contenedor en sí se veían idénticos; el alcance de red era limitado porque el arnés asumía que los recursos vivían en el mismo contenedor, obligando a los clientes a emparejar redes o ejecutar su propio arnés; y surgían riesgos de seguridad porque las credenciales y el código generado no confiable compartían el mismo entorno – una inyección de prompt no necesitaba escapar del contenedor sino solo convencer a Claude de leer variables de entorno.
La nueva arquitectura virtualiza el agente en tres interfaces independientes, inspirada en cómo los sistemas operativos virtualizaban el hardware. La sesión es un registro inmutable y durable de todos los eventos. El arnés (cerebro) es el bucle de orquestación que llama a Claude y enruta las llamadas de herramientas. La sandbox (manos) es el entorno de ejecución donde se ejecuta el código y se editan archivos. Cada componente puede fallar o ser reemplazado sin perturbar a los otros.
Este desacoplamiento proporciona tres ventajas principales. Primero, el tiempo hasta el primer token cayó dramáticamente porque la inferencia ahora puede comenzar inmediatamente extrayendo eventos pendientes del registro de sesión; el aprovisionamiento de contenedores se difiere hasta que una llamada de herramienta lo requiera realmente. Las sesiones que nunca ejecutan código evitan el arranque del contenedor por completo, lo que explica por qué la latencia p95 cayó más del 90%—la cola estaba dominada por configuración de contenedores innecesaria. Segundo, tanto el arnés como la sandbox se vuelven sin estado e intercambiables; si el arnés falla, una nueva instancia arranca con wake(sessionId), reconstruye el estado desde el registro de sesión mediante getEvents() y reanuda. Si una sandbox falla, se activa un nuevo contenedor bajo demanda. Tercero, las credenciales ahora son estructuralmente inaccesibles desde código generado: los tokens de Git se usan una sola vez durante la clonación y nunca se retienen nuevamente; los tokens OAuth para herramientas personalizadas viven en una bóveda externa y se intercambian por tokens de sesión a través de un proxy dedicado, por lo que la inyección de prompt ya no puede robar credenciales de larga vida.
El 22 de julio de 2026, Anthropic cambiará cómo funciona el listado de memoria en Agentes administrados: los parámetros order_by y order serán ignorados a favor de un orden estable definido por el servidor. Esto refleja la filosofía de diseño más amplia de que las interfaces duraderas y consultables perduran más que las implementaciones específicas. El registro de sesión en sí se trata como un objeto de contexto fuera de la ventana del modelo, permitiendo que el arnés obtenga segmentos del flujo de eventos, rebobine o relea alrededor de acciones específicas—todo antes de enviar a Claude. Esto evita el problema de tomar decisiones irreversibles sobre qué tokens descartar cuando las tareas desbordan el contexto.
El principio subyacente es codificar suposiciones en interfaces en lugar de implementaciones. Las capacidades del modelo mejoran con el tiempo, haciendo que los workarounds sean obsoletos; Anthropic señala que la lógica de reinicio de contexto agregada para Sonnet 4.5 se convirtió en peso muerto en Opus 4.5. Al separar el cerebro, las manos y la memoria, y mantener las credenciales fuera de la sandbox de ejecución, los sistemas de agentes se vuelven resilientes a la evolución del modelo e inmunes a clases enteras de ataques.