Toda a infraestrutura da web foi construída com uma premissa implícita: há um humano do outro lado. Um humano que abre o navegador, preenche o formulário de cadastro, copia o token de API, resolve o CAPTCHA e responde ao e-mail de verificação. Um humano que, quando pede para fazer deploy de uma aplicação, consegue clicar em "confirmar" dentro de 60 segundos.

Os agentes autônomos de IA chegaram sem pedir licença — e essa premissa não se sustenta mais. A Cloudflare olhou para esse problema e decidiu resolver na raiz: redesenhar o que significa ter uma conta quando não há ninguém do outro lado do teclado.

O muro invisível que agentes encontram

Imagine um agente recebendo a tarefa "cria um Worker e faz deploy". O código está pronto em segundos. Mas o momento em que ele tenta criar conta na plataforma, bate num muro construído para humanos: um fluxo OAuth que exige navegador, um dashboard para clicar, um token de API para copiar e colar, e uma autenticação multifator que expira em 60 segundos.

Sessões de IA em background viraram norma — pipelines de geração de código, agentes de prototipagem, automações que rodam enquanto o desenvolvedor dorme. Qualquer etapa de autenticação que exija um clique humano quebra o fluxo inteiro. Como a Cloudflare colocou no anúncio: "any auth step that needs a browser, a copy-paste, or 'click here in 60 seconds' means an agent gets stuck."

A solução: contas que nascem efêmeras

Na Agents Week 2026, a Cloudflare lançou as Temporary Accounts: qualquer agente pode rodar wrangler deploy --temporary e ter um Worker no ar em segundos, sem cadastro, sem OAuth, sem humano no loop.

O funcionamento é elegante na simplicidade: a CLI detecta que não há credenciais e sugere o flag --temporary. A Cloudflare provisiona uma conta efêmera, entrega um token de API e gera uma URL de reivindicação. O Worker fica no ar por 60 minutos. Se ninguém reivindicar, a conta expira e some. Se alguém quiser ficar com o deploy, acessa a URL e converte em conta permanente.

O agente pode iterar quantas vezes quiser dentro dessa janela: editar o código, fazer redeploy, testar via curl, ajustar — o ciclo tentativa-erro que é justamente onde agentes são mais eficazes. "Trial-and-error is the agent's superpower", escreveu a equipe da Cloudflare.

A primeira versão suporta Workers, Workers Static Assets, KV, D1 (banco de dados, até 100 MB), Durable Objects, Queues e certificados SSL/TLS. Não é para produção — a documentação é explícita nisso — mas é suficiente para prototipar, demonstrar e entregar.

Quando o agente também paga a conta

A parceria com a Stripe vai um passo além. Num protocolo lançado em conjunto, agentes agora podem criar contas pagas, registrar domínios e obter tokens com escopo real — tudo sem intervenção humana direta.

O fluxo tem três pilares: descoberta (o agente consulta um catálogo de serviços via API REST), autorização (o Stripe atua como provedor de identidade, vinculando a uma conta existente ou criando uma nova via OAuth) e pagamento (o Stripe fornece um token de pagamento ao provedor, sem expor dados do cartão). Há um limite padrão de US$ 100 por mês que o agente pode gastar em cada provedor.

É uma infraestrutura pensada de ponta a ponta para o caso em que o comprador não é humano. Nenhuma tela de checkout. Nenhum "confirme seu e-mail". O humano aprova o orçamento uma vez; o agente opera dentro dele.

O novo desafio de segurança que ninguém resolve fácil

Toda essa fluidez traz um problema concreto: credenciais de agentes são um vetor de ataque novo. Se uma conta temporária vaza, o atacante tem 60 minutos de Workers gratuitos. Se um token de agente com escopo amplo é comprometido, ele pode permanecer ativo por muito mais.

A Cloudflare respondeu com algumas salvaguardas: prova de trabalho automática antes de criar conta temporária, throttling de criação para prevenir abuso, tokens com escopo por recurso (não mais um token "deus" que acessa tudo), e OAuth gerenciado compatível com RFC 9728 para que agentes acessem aplicações internas sem usar service accounts compartilhados.

Mas há uma tensão real aqui. A lógica de contas efêmeras resolve a fricção de autenticação — mas cria superfície de ataque em escala. Se qualquer script pode provisionar um Worker sem conta, a barreira contra abuso fica inteiramente no throttling e na prova de trabalho. Quão robusto isso é contra um atacante motivado? A comunidade no Hacker News foi direta na dúvida, e a Cloudflare não tem resposta definitiva ainda.

O ponto de inflexão real

O que a Cloudflare fez não é só um feature novo. É uma sinalização sobre onde a computação vai: a infraestrutura precisa se adaptar a atores não-humanos como cidadãos de primeira classe, não como exceções que workaroundam o sistema.

Por décadas, o contrato implícito da web foi: o usuário tem uma identidade persistente, paga uma assinatura, e assume responsabilidade pelo que faz sob aquela conta. Contas efêmeras para agentes quebram esse contrato. Quem é responsável pelo Worker que um agente deploiu, coletou dados por 59 minutos e depois sumiu?

Não é uma crítica à solução — é um problema genuíno que o setor vai precisar resolver. A Cloudflare pelo menos está colocando a pergunta no centro da conversa, em vez de fingir que o modelo atual de autenticação vai escalar para um mundo onde agentes rodam aos milhares em background.

Para desenvolvedores que trabalham com automação e infraestrutura, vale prestar atenção. A forma como você projeta permissões, tokens e identidade para seus sistemas vai mudar — não porque a Cloudflare quer, mas porque agentes autônomos já chegaram e o modelo antigo não os comporta.