Anthropic a restructuré fondamentalement le fonctionnement de ses Agents gérés, passant d'une architecture monoconteneur à un design distribué avec trois composants découplés.

La conception originale regroupait la boucle de modèle (harnais), l'environnement d'exécution du bac à sable et l'historique des sessions dans un seul conteneur. Cela créait trois problèmes opérationnels : le débogage était opaque car les défaillances du harnais, des paquets réseau ou du conteneur lui-même semblaient identiques ; la portée réseau était limitée car le harnais supposait que les ressources vivaient dans le même conteneur, forçant les clients à soit appairer les réseaux, soit exécuter leur propre harnais ; et des risques de sécurité émergaient car les credentials et le code généré non fiable partageaient le même environnement – une injection de prompt n'avait pas besoin de s'échapper du conteneur mais seulement de convaincre Claude de lire les variables d'environnement.

La nouvelle architecture virtualise l'agent en trois interfaces indépendantes, inspirée par la façon dont les systèmes d'exploitation virtualisaient le matériel. La session est un journal durable et immutable de tous les événements. Le harnais (cerveau) est la boucle d'orchestration qui appelle Claude et achemine les appels d'outils. Le bac à sable (mains) est l'environnement d'exécution où le code s'exécute et les fichiers sont modifiés. Chaque composant peut défaillir ou être remplacé sans perturber les autres.

Ce découplage apporte trois avantages majeurs. Premièrement, le délai jusqu'au premier token a chuté dramatiquement car l'inférence peut maintenant démarrer immédiatement en tirant les événements en attente du journal de session ; l'approvisionnement en conteneur est différé jusqu'à ce qu'un appel d'outil l'exige réellement. Les sessions qui n'exécutent jamais de code contournent le démarrage du conteneur entièrement, ce qui explique pourquoi la latence p95 a chuté de plus de 90% – la queue était dominée par l'installation inutile de conteneurs. Deuxièmement, le harnais et le bac à sable deviennent tous deux sans état et remplaçables ; si le harnais plante, une nouvelle instance démarre avec wake(sessionId), reconstruit l'état à partir du journal de session via getEvents(), et reprend. Si un bac à sable échoue, un nouveau conteneur s'active à la demande. Troisièmement, les credentials sont maintenant structurellement inaccessibles à partir du code généré : les tokens Git sont utilisés une fois lors du clonage et jamais conservés par la suite ; les tokens OAuth pour les outils personnalisés vivent dans un coffre externe et sont échangés contre des tokens de session via un proxy dédié, de sorte que l'injection de prompt ne peut plus voler les credentials de longue durée.

Le 22 juillet 2026, Anthropic changera le comportement du listage de mémoire sur les Agents gérés : les paramètres order_by et order seront ignorés en faveur d'un ordre stable défini par le serveur. Cela reflète la philosophie de conception plus large selon laquelle les interfaces durables et interrogeables survivent aux implémentations spécifiques. Le journal de session lui-même est traité comme un objet contextuel en dehors de la fenêtre du modèle, permettant au harnais de récupérer des tranches du flux d'événements, de revenir en arrière ou de relire autour d'actions spécifiques – tout avant d'envoyer à Claude. Cela contourne le problème des décisions irréversibles sur les tokens à rejeter lorsque les tâches dépassent le contexte.

Le principe sous-jacent est de codifier les hypothèses dans les interfaces plutôt que dans les implémentations. Les capacités du modèle s'améliorent au fil du temps, rendant les contournements obsolètes ; Anthropic note que la logique de réinitialisation de contexte ajoutée pour Sonnet 4.5 est devenue du poids mort à Opus 4.5. En séparant le cerveau, les mains et la mémoire, et en gardant les credentials hors du bac à sable d'exécution, les systèmes d'agents deviennent résilients à l'évolution du modèle et immunisés contre des classes entières d'attaques.