Na Build 2026, a Microsoft adicionou duas capacidades de AI-gateway ao Azure API Management que juntas esboçam para onde o control plane de modelo-e-agente está indo. A primeira, a Unified Model API, agora em public preview, deixa um client escrever requisições uma vez no formato OpenAI Chat Completions enquanto o APIM as traduz transparentemente para a Messages API da Anthropic, Google Vertex AI, ou os schemas nativos de outros providers. O ganho prático é que você pode trocar backends, adicionar modelos, ou rotear tráfego por custo, latência ou região sem reescrever o código do cliente, e a governança, rate limits, content safety, token metering, se aplica consistentemente através de cada provider por trás do único endpoint.

A adição mais afiada é a content safety para a camada agêntica. A Microsoft estendeu sua política llm-content-safety existente para além do simples texto LLM para cobrir as chamadas de tools Model Context Protocol e a comunicação Agent-to-Agent, escaneando três coisas que a política antiga nunca via: os argumentos de chamadas de tools MCP, o texto de resposta MCP, e os payloads de agentes A2A. Carrega filtros por categoria (ódio, automutilação, sexual, violência numa escala de severidade de 0 a 7) e um atributo shield-prompt que sinaliza tentativas de prompt-injection. Para respostas em streaming coloca os eventos em buffer numa janela deslizante e simplesmente para de encaminhar diante de uma violação; o não-streaming retorna um 403, e um botão window-size lida com conteúdo além do limite de 10.000 caracteres do Azure Content Safety. Ao lado disso, o APIM agora registra tokens de raciocínio, em cache e áudio através de OpenAI, Anthropic, Bedrock e Vertex, lançou um API Center MCP Server geralmente disponível para descobrir servidores MCP, tools e agentes registrados, e adicionou conversão REST-para-MCP para que APIs existentes se exponham como servidores MCP sem um rebuild.

O timing é a história. Isso chega na mesma semana em que o gateway é a coisa sob ataque ativo: o bug de injeção de comando do LiteLLM entrou na lista known-exploited da CISA precisamente porque um proxy que fica na frente de cada modelo detém a pilha de credenciais mais concentrada da infraestrutura de IA. O movimento da Azure é a outra face da mesma percepção. Se todo o tráfego de modelo e agente de uma organização afunila através de um único control plane, esse plane é simultaneamente o alvo de mais alto valor e o único lugar onde você pode impor política sobre tudo. Estender a content safety ao MCP e A2A é a parte a sublinhar, porque à medida que os agentes chamam tools e chamam uns aos outros, o payload perigoso deixa de ser só o prompt do usuário. Vira o argumento de tool que um agente constrói e a mensagem que um agente envia a outro, e o gateway é o único ponto de estrangulamento que vê tudo isso.

Também encaixa limpo nos outros fios de segurança desta semana. A prova do NIST de que nenhum conjunto finito de guardrails é inquebrável argumenta por enforcement contínuo e atualizável em vez de um muro de uma vez, e uma política de gateway central é exatamente onde você corrige continuamente. A Microsoft é explícita que posiciona o APIM como o control plane para workloads de IA, e nota que os concorrentes, AWS Bedrock Guardrails, Google Apigee, Cloudflare AI Gateway, cobrem terreno mais estreito em amplitude multi-provider e multi-protocolo. O takeaway para builders não depende de escolher o gateway da Microsoft especificamente: se você roteia mais de um provider de modelo ou roda sistemas multi-agente, a governança se consolida no gateway quer você queira ou não, e a content safety agora tem que significar inspecionar chamadas de tools e mensagens agente-a-agente, não só moderar chat.