WorkOS apresenta auth.md — protocolo aberto para registro de agentes de IA

A maioria dos aplicativos web não possui uma forma estruturada para um agente de IA se registrar e obter acesso. WorkOS propõe uma solução: auth.md — protocolo aberto baseado em OAuth que simplifica a integração de agentes sem preenchimento manual de formulários.

O problema que auth.md resolve

Atualmente, quando um desenvolvedor quer conectar um agente de IA a um aplicativo, precisa preencher manualmente um formulário de registro, especificar permissões, obter uma chave API. O agente não pode fazer isso automaticamente — não existe uma forma padrão de descobrir quais fluxos o serviço suporta, quais permissões são necessárias e como obter credenciais vinculadas a um usuário real. Isso se torna um gargalo ao escalar: cada novo agente requer configuração manual, desenvolvedores precisam escrever integrações customizadas para cada aplicativo, manter a documentação atualizada.

auth.md muda essa abordagem. É um arquivo Markdown comum que o aplicativo publica em seu domínio (por exemplo, example.com/auth.md). O arquivo contém todas as informações necessárias para o agente se registrar automaticamente:

• Métodos suportados (OAuth 2.0, chaves de API, mTLS e outros)
• Escopos e permissões necessários para diferentes cenários de uso
• Endpoints para obter credenciais e tokens de longa duração
• Exemplos de código e recomendações para começar rapidamente
• Informações sobre limitações de rate-limit, quotas, duração dos tokens

Como funciona na prática

Quando um agente de IA precisa se integrar a um aplicativo, ele acessa o domínio, encontra auth.md e lê as instruções. Em seguida, inicia automaticamente o processo de registro necessário, solicita as permissões necessárias, obtém um token ou chave de API vinculada ao usuário real. Não é necessário que uma pessoa preencha nada manualmente — todo o processo acontece programaticamente.

Por exemplo, se um agente se conecta a um serviço de email, pode solicitar exatamente as permissões que precisa (ler mensagens, enviar respostas), sem acesso a outras funcionalidades (excluir mensagens, alterar configurações da conta). Cada permissão é explicitamente listada em auth.md, o usuário vê o que o agente solicita e pode aprovar ou rejeitar.

WorkOS escolheu Markdown em vez de JSON ou XML porque esse formato é fácil de ler e editar tanto para desenvolvedores quanto para agentes de IA. Além disso, um arquivo Markdown é conveniente para versionamento em git, rastreamento de mudanças, adição de comentários e atualização sem reimplantação do aplicativo.

O que isso significa para o ecossistema

auth.md é um passo em direção à padronização da integração de agentes de IA no ecossistema web. Se o protocolo ganhar suporte suficiente entre grandes serviços, agentes de IA poderão se registrar automaticamente em centenas de aplicativos sem intervenção manual de desenvolvedores. Isso acelerará significativamente a automação de tarefas rotineiras.

No entanto, surgem novas questões de segurança: como prevenir acesso não autorizado através de agentes? Como gerenciar permissões se o registro é totalmente automático? WorkOS espera que a padronização aberta facilite a discussão dessas questões na comunidade e ajude a estabelecer as melhores práticas para registro automático seguro de agentes.