~/beer-and-code
~ / noticias / 1password-for-claude $
Notícias

1Password for Claude: como o Claude faz login sozinho sem ver sua senha

LS Lucas Souza · · 10 min de leitura
1Password for Claude: como o Claude faz login sozinho sem ver sua senha

Deixar uma IA usar as suas senhas sempre foi o pesadelo perfeito de segurança. Senha que entra no contexto do modelo vai parar em log, em histórico de conversa, em telemetria — e você não consegue auditar nenhum desses lugares. Por isso, agente de navegador até hoje parava na tela de login.

A 1Password e a Anthropic anunciaram em 16 de julho uma resposta direta a esse problema: o 1Password for Claude. O Claude completa tarefas que exigem login — fazer uma reserva, baixar uma fatura, mexer num painel — com a credencial injetada em runtime pela 1Password, numa arquitetura que eles chamam de zero-exposure: o modelo nunca vê o segredo.

Neste post a gente destrincha como isso funciona por baixo do capô, como ativar, o que interessa pra dev (Claude Code, MCP, op run) e onde essa arquitetura ainda não te protege.

TL;DR

  • O que é: integração oficial 1Password + Claude. O Claude loga em sites usando suas credenciais, sem que senha ou código 2FA entrem no contexto do modelo.
  • Stack: app desktop do Claude + extensão do Claude no Chrome + 1Password para Mac 8.12.28+ com a extensão de navegador.
  • Custo/Acesso: disponível agora, só no Mac, em todos os planos 1Password (individual, família e business). Exige plano pago do Claude (Pro, Max, Team ou Enterprise).
  • Link útil: documentação oficial de setup.

O que foi anunciado (e por que os dois lados precisavam disso)

Em 16 de julho, a 1Password anunciou a parceria com a Anthropic e lançou o 1Password for Claude, disponível primeiro no Mac. O caso de uso é o que todo agente de navegador prometia e não entregava: você pede pro Claude resolver uma tarefa real — renovar uma assinatura, baixar o relatório de um painel, completar uma reserva — e, quando ele esbarra numa tela de login, em vez de te pedir a senha no chat (ou desistir), ele aciona a 1Password.

A frase de Nancy Wang, CTO da 1Password, resume a tese do lançamento: "precisamos de um novo modelo de segurança construído especificamente para agentes, não só para humanos".

E não tem caridade nessa parceria. Pra Anthropic, agente que trava em login é agente que não completa tarefa — e tarefa incompleta é produto pela metade. Pra 1Password, num mundo em que quem preenche formulário deixou de ser só humano, ou o cofre aprende a falar com agentes ou vira peça de museu.

Zero-exposure: o que acontece por baixo do capô

O desenho técnico é mais interessante que o marketing. O fluxo, segundo a documentação oficial, é este:

  1. O Claude, navegando pela extensão dele no Chrome, encontra uma tela de login e solicita a credencial à 1Password.
  2. A 1Password mostra pra você — não pro modelo — qual credencial ele quer usar e por quê. Se a sugestão vier errada, dá pra trocar o item num dropdown.
  3. Você aprova com Touch ID.
  4. Nesse momento, o Claude fica cego de propósito. A documentação é explícita: o Claude para de ler e rastrear o site até a 1Password reportar de volta.
  5. A extensão da 1Password preenche usuário, senha e código de uso único direto na página e submete o formulário.
  6. Quando o Claude volta a enxergar o site, o login já aconteceu e as credenciais não estão mais visíveis. Depois do preenchimento, a 1Password ainda verifica se nenhum segredo ficou exposto na página — e, se a submissão falhar, limpa os campos antes de devolver o controle.

Resultado: senha e 2FA nunca entram no contexto do modelo. Não vazam em log de conversa, não ficam em screenshot, não têm como ser "lembradas" pelo modelo. O segredo continua com uma única fonte de verdade: o cofre.

Repare no detalhe de engenharia: não é criptografia mágica, é separação de contexto. A janela de tempo em que o segredo existe em claro na página é exatamente a janela em que o modelo está proibido de olhar. É o mesmo princípio de tirar segredo de prompt que a gente aplica em qualquer agente de produção — só que implementado no nível do navegador, com aprovação biométrica no meio.

Agentic Mode: a extensão se tranca sozinha

Junto veio o Agentic Mode, atualização da extensão de navegador da 1Password. Quando um agente compatível assume o controle do navegador, a extensão se bloqueia automaticamente: a interface some, o autofill em outros sites é desabilitado e o agente só consegue usar os logins e códigos explicitamente aprovados pra tarefa atual. Vale pro Claude — e pra outros agentes de navegador também.

Como ativar o 1Password for Claude

O checklist antes de começar:

  • [ ] Um Mac (por enquanto é só macOS)
  • [ ] 1Password para Mac 8.12.28 ou superior + extensão 1Password no navegador
  • [ ] App desktop do Claude + extensão do Claude para Chrome
  • [ ] Plano pago do Claude (Pro, Max, Team ou Enterprise) — se está decidindo qual segurar, a conta completa dos planos está no nosso raio-X de preços do Claude em 2026

Com tudo instalado, o setup é curto: abra o app do Claude, vá em Customize > Connectors, localize o conector da 1Password e clique em Connect. Autorize com Touch ID (ou a senha da conta) e, se tiver múltiplas contas 1Password, escolha qual fica disponível.

Em conta Business tem um degrau a mais: o administrador precisa habilitar a política "Allow AI agents to autofill for users" em Policies, na seção de Sharing and permissions. Sem isso, o conector não funciona pra ninguém do time — o que, convenhamos, é o default correto.

O ângulo dev: e o Claude Code?

O Google já registra gente perguntando "how to use 1Password with Claude Code". A resposta honesta: o 1Password for Claude é browser + desktop — o Claude Code não entra nesse anúncio. Mas o princípio por trás, segredo fora do contexto do agente, já funciona no terminal hoje. E é aí que mora o ganho real pra quem desenvolve.

Regra de ouro: agente de código nunca deveria ler um .env com segredo de verdade. O jeito 1Password de resolver isso são as secret references:

# .env — sem nenhum segredo real, só referências
STRIPE_SECRET="op://Prod/Stripe/credential"
OPENAI_API_KEY="op://Dev/OpenAI/api-key"
# o segredo só materializa no ambiente do subprocesso, em runtime
op run --env-file=.env -- php artisan serve

O op run resolve as referências na hora de subir o processo e injeta os valores como variáveis de ambiente do subprocesso — que morrem com ele. O Claude Code pode ler esse .env à vontade: só tem ponteiro, não tem segredo. Dá até pra versionar o arquivo sem dor na consciência.

O mesmo padrão limpa a config de MCP server, que virou o esconderijo favorito de token em texto plano. A própria 1Password publicou o padrão pra tirar credencial do mcp.json:

{
  "mcpServers": {
    "github": {
      "command": "op",
      "args": ["run", "--", "npx", "-y", "@modelcontextprotocol/server-github"],
      "env": {
        "GITHUB_PERSONAL_ACCESS_TOKEN": "op://Dev/GitHub PAT/token"
      }
    }
  }
}

O agente enxerga a config, o repositório versiona a config — e o token só existe dentro do processo do server, em runtime. É a versão de terminal da mesma arquitetura zero-exposure do anúncio.

Onde isso NÃO te protege

Aqui é onde a notícia termina e a conversa de engenharia começa. Quatro pontos pra ter no radar antes de soltar o agente logado por aí:

  • A senha está protegida. A sessão, não. Depois do login, quem opera a conta autenticada é o agente. Se ele for manipulado — por uma instrução escondida numa página que ele lê, por exemplo — ele age com os seus poderes, sem precisar saber senha nenhuma. Zero-exposure protege o segredo; não limita a ação. É a classe de risco que a gente mapeou no guia de prompt injection: o elo fraco deixou de ser a credencial e passou a ser a instrução.
  • OTP automatizado enfraquece o fator humano do MFA. O código de dois fatores nasceu pra provar presença. Quando a 1Password preenche o OTP pro agente, o segundo fator vira mais um campo de formulário. Na prática, a aprovação via Touch ID passa a ser o seu segundo fator — e ela acontece uma vez por credencial na tarefa, não a cada ação.
  • Escopo pós-login é problema do Claude, não da 1Password. O que o agente pode fazer logado — mudar e-mail? apagar conta? — depende dos guardrails do Claude e da precisão do que você pediu. A 1Password fecha a porta da credencial; a governança do que acontece lá dentro continua sendo sua.
  • Limites práticos da v1: só macOS, só itens de Login (usuário, senha e OTP). Sem passkeys, sem cartão de crédito, sem identidades — e login social, tipo "entrar com Google", pode falhar.

FAQ rápido

Funciona no Windows ou Linux? Ainda não. O lançamento é exclusivo pra Mac (app 1Password 8.12.28+). A 1Password não deu data pra outras plataformas — historicamente, esse tipo de feature chega primeiro no macOS e expande depois.

O Claude ganha acesso permanente ao meu cofre? Não. O acesso é escopado por tarefa e termina quando ela acaba. Cada credencial exige a sua aprovação via Touch ID na hora, e dá pra desconectar tudo em Customize > Connectors no app do Claude.

Funciona com o Claude Code no terminal? Esse anúncio, não — ele cobre o Claude no navegador e no desktop. No terminal, o caminho é o op CLI: referências op:// no .env + op run, ou o MCP server da 1Password. O efeito é o mesmo — o agente nunca lê o segredo.

Por que a Anthropic está investindo nessa camada de confiança? Porque agente sem credencial é agente de brinquedo, e agente com credencial exposta é passivo de segurança. As peças que a empresa vem montando — essa integração e a verificação de identidade no Claude — apontam pra mesma direção: agentes agindo em nome de pessoas verificadas, com segredos controlados por infraestrutura, não por prompt.

Conclusão

O 1Password for Claude é a primeira implementação mainstream de uma ideia que vai definir os próximos anos de agentes: agente age, mas não guarda segredo. A credencial sai do prompt e vira infraestrutura — injetada em runtime, escopada por tarefa, aprovada por biometria. Se você constrói agente, o recado é direto: pare de passar segredo em contexto hoje, porque a plataforma de amanhã vai assumir que você nunca fez isso.

O próximo capítulo é previsível: passkeys pra agentes, credenciais delegadas com escopo estilo OAuth pra IA, e esse mesmo fluxo chegando a Windows e mobile. A fronteira deixou de ser "o modelo é bom o suficiente?" e virou "o modelo tem as permissões certas?".

Testar essas peças no dia em que elas saem — modelo novo, credencial em runtime, superfície de ataque nova — é o que a gente faz toda semana, ao vivo, no Clã Beer and Code, a maior comunidade de engenharia de IA do Brasil. Porque ler a notícia te deixa informado; colocar a mão no fluxo antes de todo mundo é o que te deixa à frente.

Lucas Souza
Escrito por
Lucas Souza

{AI Engineer} — apaixonado por Laravel, arquitetura de software e construir produtos com impacto. Compartilho aqui tutoriais, descobertas e reflexões sobre o dia a dia de engenharia.

tocando