Você configurou seu agente de IA — um programa autônomo que age em seu nome — com uma lista caprichada de ferramentas. Pesquisar na web. Ler um arquivo. Criar um ticket no Jira. Cada uma delas uma função previsível: entrada entra, saída sai, tipo máquina de refrigerante. Você sabe quanto custa, quanto tempo leva e o que ela não faz. Confortável.

Mas e se algumas dessas "ferramentas" não forem funções de verdade? E se por trás da mesma interface chamável estiver escondida outra IA autônoma — com suas próprias ferramentas, sua própria cadeia de raciocínio e sua própria capacidade de estourar sua fatura? Seu agente orquestrador não tem como saber a diferença.

O Google apagou a linha

Em 22 de abril, no Cloud Next em Las Vegas, o Google lançou o ADK (Agent Development Kit) 1.0 — releases estáveis em Python, Go, Java e TypeScript. A feature principal: o ADK suporta nativamente tanto ferramentas MCP (Model Context Protocol — um padrão universal de conexão para plugar IA em serviços externos, tipo USB só que para dados) quanto agentes A2A (Agent-to-Agent protocol — um jeito de agentes de IA conversarem entre si como pares). Ambos agora podem ser chamados pelo mesmo agente orquestrador. Thomas Kurian, CEO do Google Cloud, declarou que "a era do piloto acabou" — 150 organizações já rodam A2A em produção.

Mesmo cardápio, cozinhas bem diferentes

No código, existe uma distinção técnica. Ferramentas locais vão num parâmetro tools=. Agentes remotos A2A vão em sub_agents=. Separação limpa no papel. Mas o LLM — o modelo de linguagem, o cérebro por trás do Gemini, ChatGPT, Claude — vê os dois como opções chamáveis no mesmo cardápio. Ele escolhe "search_web" ou "ask_finance_agent" sem nenhum metadado sobre o que está do outro lado da chamada.

Uma ferramenta MCP é stateless: entrada entra, saída sai, determinística, rápida. Um agente A2A é um raciocinador não-determinístico que pode invocar suas próprias ferramentas, tomar decisões em múltiplas etapas, rodar por minutos e construir sua própria context window — a quantidade de texto que a IA mantém na memória de trabalho. O AgentCard do A2A — o arquivo de autodescrição do agente — traz esquemas de autenticação e descrições de habilidades. O que ele não traz: flag de statefulness, estimativa de custo ou declaração de idempotência (se chamar duas vezes produz o mesmo resultado ou cria uma ação duplicada).

Três coisas quebram ao mesmo tempo

Escopo de permissões. Uma "ferramenta" que secretamente é um agente pode escalar privilégios através de suas próprias chamadas de ferramentas — chamadas que seu orquestrador nunca autorizou e nunca vê.

Orçamento de custos. Um agente pode queimar tokens imprevisíveis — pedaços de palavras que a IA processa, grosso modo ¾ de uma palavra em inglês — em raciocínio interno que nunca aparece nos seus logs. Sua chamada de ferramenta de $0,002 vira silenciosamente uma sessão de agente de $0,50.

Lógica de retry. Rechamar uma função que falhou é seguro. Rechamar um agente que falhou pode criar pedidos duplicados, enviar emails duplicados ou iniciar uma segunda negociação com outra IA. Idempotente vs. não-idempotente — e nada no protocolo te avisa qual é qual.

Pesquisadores de segurança já fizeram as contas: implantar apenas dez plugins MCP cria uma probabilidade de 92% de pelo menos uma vulnerabilidade explorável. Uma análise acadêmica descobriu que os tokens OAuth 2.0 do A2A não exigem expiração rigorosa — tokens vazados ficam válidos por horas ou dias. E os agent cards são autodeclarados: agentes declaram suas próprias capacidades sem nenhuma verificação independente. Confia em mim, eu sou um agente.

O sinal de confiança que não existe

Nem o MCP nem o A2A carregam um campo que diga "sou uma função burra" vs. "sou um raciocinador autônomo com cartão de crédito". Os dois protocolos agora vivem sob a Agentic AI Foundation da Linux Foundation (cofundada em dezembro de 2025 por OpenAI, Anthropic, Google, Microsoft e AWS), mas um padrão unificado de declaração de capacidades ainda não existe. Desenvolvedores precisam auditar manualmente cada ponto de integração — o tipo de trabalho que não escala e que ninguém faz até algo explodir em produção.

O que você deve fazer agora

Até esse padrão chegar, o único default sensato: tratar toda chamada de ferramenta como uma potencial delegação a agente. Limites de gasto por sessão. Nada de retries automáticos. Escopo de permissão por chamada. Não importa se o endpoint parece uma função de busca simples — assuma que ele tem opiniões.

A fronteira entre ferramenta e agente sempre foi uma ficção conveniente. O Google só tornou isso visível na infraestrutura de produção usada por 150 organizações em toda a indústria. Todo modelo de segurança construído sobre "ferramentas são seguras, agentes são perigosos" precisa ser reconstruído do zero. Sua máquina de refrigerante pode ser senciente agora — e com certeza tem suas próprias API keys.