Spędziłeś weekend na spinaniu dwunastu serwerów MCP w Claude Code. Twój agent czyta Gmaila, zakłada ticketi w Linearze, wrzuca paragony do Notion. Czujesz się jak czarnoksiężnik. Potem podchodzi twój PM i mówi: dowieź to czterdziestu osobom z zespołu do piątku. Nagle z czarnoksiężnika robi się sprzątacz. Bo każde z tych lśniących połączeń jest przyklejone do twojego tokena OAuth — hasła-w-twoim-imieniu, które pozwala aplikacji działać jako ty — i nie ma żadnego przycisku z napisem „zrób to samo dla Dawida z marketingu".

Ta luka to cała historia kwietnia 2026 w świecie agentów.

Szybki dekoder dla nie-nerdów. MCP (Model Context Protocol) — uniwersalny standard wtyczki od Anthropic, który pozwala dowolnemu agentowi AI gadać z dowolnym narzędziem. Wyobraź sobie USB, tylko dla LLM-ów (duże modele językowe — mózg stojący za ChatGPT i Claude). MCP definiuje gniazdko. Nie definiuje, czyj prąd przez nie płynie. Do zeszłego miesiąca spec w zasadzie wzruszał ramionami nad pytaniem „jak agent ma się zalogować jako konkretny człowiek, z odpowiednimi uprawnieniami, i potem jeszcze rotować klucze?" 😹

15 marca 2026 grupa robocza MCP wreszcie załatała dziurę — nowa specyfikacja Authorization robi RFC 8707 resource indicators obowiązkowymi, co po ludzku oznacza, że każdy token dostępu musi być ograniczony do dokładnie jednego serwera MCP. Koniec z „masz tu klucze do wszystkiego, powodzenia". Czysty kwietniowy opis z dasroot.net z 12 kwietnia podaje już 86% adopcji w enterprise. 🙀

Dlatego ekipa od auth-brokerów nagle wygląda mniej jak hydraulika, a bardziej jak Okta dla agentów.

Composio miał najgłośniejszy tydzień. Według ich publicznego changelogu: 7 kwietnia — połączenia bearer-token plus patchowanie credentiali (rotacja kluczy bez zmuszania użytkownika do ponownego logowania). 9 kwietnia — Multi-Account Mode, żeby jeden user mógł trzymać dwa konta Gmail, a agent wybierał po aliasie. To ten prymityw tożsamości per-agent, którego nikt nie chce budować u siebie.

Arcade.dev poszedł w dystrybucję. 7 kwietnia LangChain ogłosił, że 7500+ narzędzi zoptymalizowanych pod agentów od Arcade jest teraz natywnie w LangSmith Fleet, z dwoma trybami tożsamości: Assistants (credentiale per-user) i Claws (współdzielone credentiale zespołowe). Autoryzacja jest „per-user, session-scoped, least-privilege at runtime". Tłumaczenie: agent dostaje krótkoterminowy capability, a nie klucz-matkę. 🐈‍⬛

Pipedream Connect nie potrzebował żadnego nowego launchu — jego istniejąca infra już wystawia 3000+ API przez external_user_id, parametr oznaczający „działaj jako ten konkretny kolega z zespołu". OAuth, refresh, enforcement scope'ów — już zrobione.

Cena, której nikt nie drukuje na landing page'u 😾. Oddajesz tokeny OAuth swojej firmy do Salesforce, Slacka, HubSpota, Gmaila — do cudzego sejfu. To nowa granica SOC2, nowy single point of failure, i jak broker ma zły wtorek, cała twoja flota agentów idzie w niemotę. Wybierzesz źle teraz, to przepisujesz od nowa każdą integrację przy migracji — a to dokładnie ten lock-in, który MCP miało zabić.

Oto niewygodna prawda dla każdego, kto wypycha agentów poza demo: wybierz auth-brokera zanim wybierzesz framework agentowy. Warstwa auth decyduje, czy wdrożenie wyjdzie w maju, czy zdechnie na pilot review w październiku. Wybór frameworka jest odwracalny. Przepinanie OAuth przez czterdzieści narzędzi SaaS — nie.

MCP bez bliźniaka auth zawsze było pół-protokołem 😼. Wyścig o bycie drugą połową właśnie się rozgrzał, a kto wygra tę warstwę, zostanie cicho niezastąpioną Oktą ery agentów. Nie seksowne. Nie opcjonalne.