WorkOS presenta auth.md — protocolo abierto para registro de agentes de IA

La mayoría de las aplicaciones web no tienen una forma estructurada para que un agente de IA se registre y obtenga acceso. WorkOS propuso una solución: auth.md — un protocolo abierto basado en OAuth que simplifica la integración de agentes sin necesidad de completar formularios manualmente.

El problema que resuelve auth.md

Actualmente, cuando un desarrollador desea conectar un agente de IA a una aplicación, debe completar manualmente un formulario de registro, especificar permisos y obtener una clave API. El agente no puede hacerlo automáticamente — no hay una forma estándar de saber qué métodos admite el servicio, qué permisos se requieren y cómo obtener credenciales vinculadas al usuario real. Esto se convierte en un cuello de botella al escalar: cada nuevo agente requiere configuración manual, los desarrolladores deben escribir integraciones personalizadas para cada aplicación y mantener la documentación actualizada.

auth.md cambia este enfoque. Es un archivo Markdown ordinario que la aplicación publica en su dominio (por ejemplo, example.com/auth.md). El archivo contiene toda la información que el agente necesita para registrarse de forma independiente:

• Métodos soportados (OAuth 2.0, claves API, mTLS y otros)
• Scopes y permisos requeridos para diferentes casos de uso
• Endpoints para obtener credenciales y tokens de larga duración
• Ejemplos de código y recomendaciones para comenzar rápidamente
• Información sobre límites de velocidad, cuotas y períodos de validez de tokens

Cómo funciona en la práctica

Cuando un agente de IA necesita integrarse con una aplicación, accede a su dominio, encuentra auth.md y lee las instrucciones. Luego, inicia automáticamente el proceso de registro requerido, solicita los permisos necesarios y obtiene un token o clave API vinculada al usuario real. El usuario no necesita completar nada manualmente — todo el proceso se produce programáticamente.

Por ejemplo, si el agente se conecta a un servicio de correo electrónico, puede solicitar exactamente los permisos que necesita (lectura de correos, envío de respuestas), sin acceso a otras funciones (eliminación de correos, cambio de configuración de cuenta). Cada permiso está explícitamente enumerado en auth.md, el usuario ve lo que solicita el agente y puede aprobar o rechazar.

WorkOS eligió Markdown en lugar de JSON o XML porque este formato es fácil de leer y editar tanto para desarrolladores como para agentes de IA. Además, el archivo Markdown es conveniente para versionarlo en git, rastrear cambios, agregar comentarios y actualizar sin necesidad de reimplementar la aplicación.

Qué significa esto para el ecosistema

auth.md es un paso hacia la estandarización de la integración de agentes de IA en el ecosistema web. Si el protocolo obtiene suficiente apoyo entre los servicios principales, los agentes de IA podrán registrarse de forma independiente en cientos de aplicaciones sin intervención manual de los desarrolladores. Esto aceleraría significativamente la automatización de tareas rutinarias.

Sin embargo, surgen nuevas preguntas de seguridad: ¿cómo prevenir el acceso no autorizado a través de agentes? ¿Cómo gestionar los permisos si el registro es completamente automático? WorkOS espera que la estandarización abierta facilite la discusión de estas cuestiones en la comunidad y ayude a desarrollar mejores prácticas para el registro automático seguro de agentes.