Analýza

MCP tunely: proč odchozí spojení není detail

Anthropic ohlásil šifrované odchozí spojení pro volání interních MCP serverů z Claude agentů. Pro architekta v české enterprise je to víc než konfigurační volba — je to změna kontrolního bodu.

AK
AK
Sleduje modely, open-source ekosystém a startupovou scénu v ČR.
calendar_today21. května 2026
schedule5 min čtení
MCP tunely: proč odchozí spojení není detail

V Londýně Anthropic ohlásil nové možnosti pro Claude Managed Agents, mezi nimi šifrované odchozí spojení (outbound-only), kterým agent volá interní nástroje firmy. Funkčně to zní jako další konfigurační volba. Ve skutečnosti je to jedna z prvních vendor odpovědí na otázku, která brzdí enterprise nasazení agentů od chvíle, co se začaly nasazovat: jak nechat AI pracovat s firemními daty, aniž bych musel otevřít příchozí cestu do firemní sítě.

Naivní cesta: dejte agentovi token a doufejte

Většina dnešních produkčních agentů funguje přes klasický API model. Vystavím token, dám ho agentovi, agent dělá HTTP volání do interního systému. Z hlediska vývojáře elegantní. Z hlediska bezpečnostního oddělení noční můra. Token se musí někde uložit, někde rotovat, někdo ho může zalogovat. Hlavně ale: agent v cloudu dodavatele získává přístupová oprávnění do firemní sítě. Z toho plyne, že firma musí pustit IP rozsahy dodavatele přes svůj firewall, nasadit reverzní proxy nebo zveřejnit interní API. Každá z těchto cest přidává plochu pro chybu.

Co dělají odchozí tunely jinak

Vzor je v podnikové síti starý víc než deset let. Cloudflare Tunnel, ngrok, výchozí vzor pro reverzní propojku skrz egress gateway v service meshi: spojení iniciuje vždy interní strana. Klient naváže šifrované spojení směrem ven a dodavatel přes něj posílá požadavky zpět. Z hlediska sítě firma neexponuje žádný příchozí port, žádné veřejné DNS, ani veřejný endpoint s aplikačním tokenem.

V řešení od Anthropicu se tímto kanálem propojí self-hosted MCP server uvnitř firmy s agentem běžícím v cloudu Anthropicu. Agent zná, co umí volat. Firma kontroluje, co je za bránou. Lokální audit log a aplikační credentials zůstávají uvnitř interního MCP serveru. Pokud útočník napadne dodavatele, nezíská tím přímou cestu k veřejnému endpointu firemní VPC — jen ke konkrétně vystaveným nástrojům podle konfigurace tunelu. Proto Anthropic v dokumentaci doporučuje doplnit tunel o OAuth, IP omezení, monitoring a rotaci přístupů.

Inline figure
Inline figure

Co se mění pro české enterprise firmy

Pro firmu, která drží zákaznická data v EU a dodržuje GDPR nebo se hlásí k ISO/IEC 27001 jako ke standardu pro řízení bezpečnosti informací, nejde o rétorický rozdíl mezi příchozí a odchozí architekturou. Velká část interních bezpečnostních politik předpokládá, že vstupní bod do sítě je definovaný a auditovaný. Odchozí tunel se do existujících politik často vejde snáz než další WAF pravidlo.

V praxi to znamená dvě věci. Za prvé, produkt postavený na AI agentech nemusí být zablokovaný tím, že compliance odmítá otevřít firewall. Spojení iniciuje interní stroj, který má povolený výstup, a vystavená rozhraní se konfigurují v MCP serveru. Za druhé, pokud MCP server správně vyžaduje OAuth nebo bearer autentizaci a omezuje rozsah dostupných nástrojů, řízení přístupu se posouvá z roviny síťové na rovinu aplikační. Definuje se zde, jaký nástroj smí agent zavolat, s jakými parametry a s jakou identitou koncového uživatele. Tato vrstva je v architektuře tam, kde by měla být, blízko byznysové logice, ne uprostřed routerové konfigurace.

Mantinely zůstávají. Odchozí tunel neřeší obsah dat, která agent stáhne, ani způsob, jakým je následně použije v promptu. Neřeší ani sociální inženýrství, kdy uživatel agentovi řekne, aby zavolal něco, co volat nemá. Stále potřebujete schvalování volání nástrojů, maskování citlivých polí před odesláním do modelu a auditní stopu na úrovni agenta, nejen sítě.

Stejný vzor, jiná vrstva

Podobný posun podniková síť zažila už dříve. Při zavádění cloudových přístupů firmy zjistily, že VPN do každého SaaSu je horší než identity provider plus SAML, který existuje jako standard od roku 2005. Při masovém nasazení Kubernetesu se ukázalo, že egress gateway v service meshi se konfiguruje snáz než dlouhý seznam příchozích pravidel. Odchozí tunely pro agenty patří do stejné rodiny řešení: méně otevřeného povrchu, vyšší řízení v jednom kontrolním bodě, lepší auditní stopa.

Pokud firma dnes staví agenty bez této vrstvy, není to chyba sama o sobě. Je to ale dluh. Ve chvíli, kdy přijde první enterprise zákazník s dotazníkem pro vendor security review, tento dluh se začne počítat v měsících odložené smlouvy.

Co to znamená

Pro architekta v české firmě je vzkaz konkrétní: ve chvíli, kdy si vybíráte agentickou platformu, ptejte se ne na model, ale na to, jak řeší volání do vaší sítě. Pokud řešení vyžaduje, abyste dodavatele pustili dovnitř, je to architektonická regrese. Pokud klient iniciuje spojení ven a dodavatel po něm volá nazpět, jste u produkčně vyzkoušeného síťového vzoru — i když konkrétně MCP tunely jsou zatím v Anthropicu označeny jako research preview, ne jako obecný produkční standard.

Anthropic není první, kdo tento vzor pojmenoval pro AI. Je ale mezi prvními velkými dodavateli, kteří ho ohlásili jako součást nabídky pro Managed Agents, ne jako samostatný bezpečnostní doplněk. To je důvod, proč by si CTO neměl tunely odbýt jako kosmetickou volbu v konfiguraci. Z dlouhého výčtu funkcí, které tento týden přibyly do agentické platformy, je právě tahle ta, která rozhoduje o tom, zda nový produkt projde příštím bezpečnostním a compliance posouzením.

Proč je to důležité

Adopce AI v českém prostředí už není otázkou prestiže, ale konkurenceschopnosti. Firmy, které začnou letos, získají zásadní časovou výhodu.

#Anthropic#Agenti
sharelink
mail

Pondělní redakční briefing

Pravidelný přehled o AI v českém byznysu přímo do vaší schránky. Bez spamu, jen data.

Přihlášením souhlasíte se zpracováním osobních údajů podle zásad ochrany údajů. Odhlásit se můžete kdykoli.