Du hast das Wochenende damit verbracht, zwölf MCP-Server in Claude Code zu verkabeln. Dein Agent liest dein Gmail, legt Tickets in Linear an, wirft Belege in Notion. Du fühlst dich wie ein Zauberer. Dann kommt dein PM vorbei und sagt: roll das bis Freitag auf vierzig Kolleg:innen aus. Plötzlich ist der Zauberer ein Hausmeister. Denn jede dieser glänzenden Verbindungen hängt an deinem OAuth-Token — dem Passwort-in-deinem-Namen, das einer App erlaubt, als du zu handeln — und es gibt keinen Button mit der Aufschrift „mach das auch für Dave aus dem Marketing“.
Diese Lücke ist die ganze Geschichte des April 2026 im Agenten-Land.
Kurzer Decoder für alle Nicht-Nerds. MCP (Model Context Protocol) — ein universeller Stecker-Standard von Anthropic, über den jeder KI-Agent mit jedem Tool reden kann. Stell dir USB vor, aber für LLMs (Large Language Models — die Gehirne hinter ChatGPT und Claude). MCP definiert die Steckdose. Es definiert nicht, wessen Strom durch sie fließt. Bis letzten Monat hat die Spec bei der Frage „wie loggt sich der Agent als konkreter Mensch ein, mit den richtigen Berechtigungen, und wie rotieren wir später die Schlüssel?“ im Grunde mit den Schultern gezuckt. 😹
Am 15. März 2026 hat die MCP-Arbeitsgruppe dieses Loch endlich geflickt — die neue Authorization-Spec macht RFC 8707 Resource Indicators verpflichtend, was auf Deutsch heißt: jedes Access Token muss auf genau einen MCP-Server beschränkt sein. Schluss mit „hier sind die Schlüssel zu allem, viel Glück“. Ein sauberer Writeup vom 12. April auf dasroot.net beziffert die Enterprise-Adoption bereits auf 86%. 🙀
Deshalb sieht die Auth-Broker-Fraktion plötzlich weniger nach Sanitär-Installation und mehr nach Okta-für-Agenten aus.
Composio hat die lauteste Woche abgeliefert. Laut öffentlichem Changelog: am 7. April — Bearer-Token-Verbindungen plus Credential-Patching (Schlüssel rotieren, ohne dass die Nutzer:innen sich neu authentifizieren müssen). Am 9. April — Multi-Account Mode, damit ein:e Nutzer:in zwei Gmail-Accounts halten kann und der Agent per Alias auswählt. Das ist das Per-Agent-Identity-Primitiv, das niemand selbst bauen will.
Arcade.dev ist die Distributionsspur gefahren. Am 7. April verkündete LangChain, dass Arcades 7.500+ agentenoptimierte Tools jetzt nativ in LangSmith Fleet laufen, mit zwei Identity-Modi: Assistants (Credentials pro Nutzer:in) und Claws (geteilte Team-Credentials). Die Autorisierung ist „per-user, session-scoped, least-privilege at runtime“. Übersetzt: Der Agent bekommt eine kurzlebige Fähigkeit, nicht den Generalschlüssel. 🐈⬛
Pipedream Connect braucht gar keinen neuen Launch — die bestehende Infra exponiert bereits 3.000+ APIs über external_user_id, einen Parameter, der schlicht heißt „agiere als diese:r konkrete Kolleg:in“. OAuth, Refresh, Scope-Enforcement — alles schon erledigt.
Der Preis, den niemand aufs Landingpage-Banner druckt 😾. Du reichst die OAuth-Tokens deiner Firma für Salesforce, Slack, HubSpot, Gmail an einen Dritt-Tresor weiter. Das ist eine neue SOC2-Grenze, ein neuer Single Point of Failure, und wenn der Broker einen schlechten Dienstag hat, geht deine gesamte Agenten-Flotte auf stumm. Greif jetzt zum Falschen, und du verlegst bei der Migration jede Integration neu — genau das Lock-in, das MCP eigentlich killen sollte.
Hier die unbequeme Wahrheit für alle, die Agenten über das Demo-Stadium hinaus ausliefern: wähle den Auth-Broker, bevor du das Agenten-Framework wählst. Der Auth-Layer entscheidet, ob dein Rollout im Mai ausliefert oder im Oktober im Pilot-Review stirbt. Framework-Entscheidungen sind reversibel. OAuth über vierzig SaaS-Tools neu zu verlegen ist es nicht.
MCP ohne Auth-Zwilling war immer ein Halb-Protokoll 😼. Das Rennen um die andere Hälfte ist gerade ernst geworden, und wer diesen Layer gewinnt, wird zur leise unverzichtbaren Okta der Agenten-Ära. Nicht sexy. Nicht optional.
