AIP: MCPとA2Aにまたがる検証可能な委任のためのエージェント・アイデンティティ・プロトコル
arXiv cs.AI / 2026/3/27
💬 オピニオンDeveloper Stack & InfrastructureIdeas & Deep AnalysisModels & Research
要点
- 本論文は、既存のModel Context Protocol(MCP)におけるツール呼び出しや、エージェント間(Agent-to-Agent: A2A)の委任には、エージェント身元を検証する仕組みが欠けていると指摘し、約2,000のMCPサーバを調査したところ認証が行われていないことが分かった。
- その上で、AIP(Agent Identity Protocol)を提案する。これはInvocation-Bound Capability Tokens(IBCTs)を用い、公的鍵で検証可能な身元、保持側(ホルダー側)でのアテンション(減衰)、連鎖させた表現力のあるポリシー、MCP/A2A/HTTPにまたがるトランスポート境界でのバインディング、さらにプロヴェナンス(来歴)指向の完了記録を組み合わせる。
- IBCTsは2種類のワイヤ形式に対応している。単一ホップ委任では、署名付きJWTを用いるコンパクト・モード。多段(マルチホップ)委任では、Datalogポリシーを備えたBiscuitトークンを用いるチェイン(連鎖)モード。
- PythonおよびRustによる参照実装が提供されており、言語間の相互運用性にも対応している。性能テストでは検証コストが非常に低く(約0.049〜0.189ms)、実運用のオーバーヘッドも小さい(MCP-over-HTTPで約0.22ms、マルチエージェントのGemini 2.5 Flashセットアップで約2.35ms)。
- 敵対的テスト(攻撃試行600件)では、AIPは拒否率100%を達成し、プレーンなJWTや無署名の方式では見逃されがちな委任の深さ(delegation-depth)違反や監査回避(audit-evasion)試行を独自に検出できた。
広告
![[Boost]](/_next/image?url=https%3A%2F%2Fmedia2.dev.to%2Fdynamic%2Fimage%2Fwidth%3D800%252Cheight%3D%252Cfit%3Dscale-down%252Cgravity%3Dauto%252Cformat%3Dauto%2Fhttps%253A%252F%252Fdev-to-uploads.s3.amazonaws.com%252Fuploads%252Fuser%252Fprofile_image%252F3618325%252F470cf6d0-e54c-4ddf-8d83-e3db9f829f2b.jpg&w=3840&q=75)
