Você passou o fim de semana plugando doze servidores MCP no Claude Code. Seu agente lê seu Gmail, abre tickets no Linear, joga recibos no Notion. Você se sente um mago. Aí o seu PM chega e diz: entrega isso pra quarenta colegas até sexta. De repente o mago virou faxineiro. Porque cada uma daquelas conexões brilhantes está colada ao seu token OAuth — a senha-em-seu-nome que deixa um app agir como você — e não existe nenhum botão escrito "faz isso pro Davi do marketing também".

Esse buraco é a história inteira de abril de 2026 no mundo dos agentes.

Decodificador rápido pros não-nerds. MCP (Model Context Protocol) — um padrão universal de plug da Anthropic que deixa qualquer agente de IA conversar com qualquer ferramenta. Tipo USB, mas pra LLMs (large language models — o cérebro por trás do ChatGPT e do Claude). MCP define a tomada. Ele não define de quem é a eletricidade que passa por ela. Até o mês passado, a spec basicamente dava de ombros pra pergunta "como o agente faz login como um humano específico, com as permissões certas, e rotaciona as chaves depois?" 😹

Em 15 de março de 2026, o working group do MCP finalmente tampou o buraco — a nova Authorization spec torna obrigatórios os resource indicators do RFC 8707, o que em português claro significa que todo token de acesso precisa ter escopo restrito a exatamente um servidor MCP. Acabou o "toma as chaves de tudo, boa sorte". Um writeup limpo de 12 de abril no dasroot.net cita 86% de adoção enterprise já. 🙀

E é por isso que a turma dos auth-brokers de repente parece menos encanamento e mais Okta-pra-agentes.

Composio soltou a semana mais barulhenta. Segundo seu changelog público: em 7 de abril — conexões via bearer-token mais credential patching (rotacionar chaves sem forçar o usuário a re-autenticar). Em 9 de abril — Multi-Account Mode, então um usuário pode ter duas contas Gmail e o agente escolhe pelo alias. É a primitiva de identidade-por-agente que ninguém quer construir in-house.

Arcade.dev pegou a faixa da distribuição. Em 7 de abril, a LangChain anunciou que as mais de 7.500 ferramentas otimizadas pra agentes da Arcade agora são nativas dentro do LangSmith Fleet, com dois modos de identidade: Assistants (credenciais por usuário) e Claws (credenciais compartilhadas de time). A autorização é "por usuário, com escopo de sessão, privilégio mínimo em runtime". Tradução: o agente recebe uma capability de curta duração, não a chave-mestra. 🐈‍⬛

Pipedream Connect não precisa de novo lançamento — sua infra existente já expõe mais de 3.000 APIs via external_user_id, um parâmetro que significa "aja como esse colega específico". OAuth, refresh, enforcement de escopo — tudo já feito.

O preço que ninguém imprime na landing page 😾. Você está entregando os tokens OAuth da sua empresa pro Salesforce, Slack, HubSpot, Gmail pra um cofre de terceiros. Isso é uma nova fronteira de SOC2, um novo ponto único de falha, e se o broker tiver uma terça-feira ruim toda a sua frota de agentes fica muda. Escolha o errado agora, e você vai re-encanar cada integração quando migrar — que é exatamente o lock-in que o MCP era pra matar.

Eis a verdade desconfortável pra quem está colocando agentes em produção além do estágio de demo: escolha o auth broker antes de escolher o framework do agente. A camada de auth decide se seu rollout entra no ar em maio ou morre em revisão de piloto em outubro. Escolha de framework é reversível. Re-encanar OAuth em quarenta ferramentas SaaS não é.

MCP sem um gêmeo de auth sempre foi um meio-protocolo 😼. A corrida pra ser a outra metade acabou de ficar séria, e quem ganhar essa camada vira o Okta silenciosamente indispensável da era dos agentes. Não é sexy. Não é opcional.