新出現する AI エージェントプロトコルにおけるセキュリティ脅威モデル：MCP、A2A、Agora、ANP の比較分析

arXiv:2602.11327v2 Announce Type: replace-cross 本稿では、モデルコンテキストプロトコル（MCP）、エージェント 2 エージェント（A2A）、Agora、およびエージェントネットワークプロトコル（ANP）を含む AI エージェント通信プロトコルの迅速な発展が、AI エージェントがツール、サービス、および互いにどのように通信するかを再定義しているという背景を説明する。これらのプロトコルは、スケーラブルなマルチエージェントインタラクションと組織間相互運用性を支援する一方で、セキュリティ原則については研究が不足しており、標準化された脅威モデルは限定的である。また、プロトコル中心のリスク評価フレームワークは現状確立されていない。 本稿は、4 つの新出現する AI エージェント通信プロトコルに対する体系的なセキュリティ分析を提示する。第一に、プロトコル固有およびクロスプロトコルリスク表面を特定するため、プロトコルアーキテクチャ、信頼性前提条件、インタラクションパターンのライフサイクル挙動を考察する構造化された脅威モデル分析を構築する。第二に、可能性、影響、および全体プロトコルリスクを系数的に評価することで、作成、運用、更新の各段階におけるセキュリティ姿勢を特定する 12 個のプロトコルレベルのリスクを特定し、安全性なデプロイおよび将来的な標準化に対する含意を持つ定性的リスク評価フレームワークを導入する。 第三に、MCP における測定駆動による事例研究を提供し、実行可能コンポーネントの必須検証/認証の欠如が、代表性なレゾルバーポリシーにおけるマルチサーバー構成下で誤ったプロバイダーツールの実行を量化することで検証可能なセキュリティ主張として形式化する。 我々の結果はcollectively、設計誘発したリスク表面を強調し、エージェント通信エコシステムの安全性なデプロイおよび将来的な標準化に関する実行可能なガイダンスを提供する。

arXiv:2602.11327v2 Announce Type: replace-cross Abstract: The rapid development of the AI agent communication protocols, including the Model Context Protocol (MCP), Agent2Agent (A2A), Agora, and Agent Network Protocol (ANP), is reshaping how AI agents communicate with tools, services, and each other. While these protocols support scalable multi-agent interaction and cross-organizational interoperability, their security principles remain understudied, and standardized threat modeling is limited; no protocol-centric risk assessment framework has been established yet. This paper presents a systematic security analysis of four emerging AI agent communication protocols. First, we develop a structured threat modeling analysis that examines protocol architectures, trust assumptions, interaction patterns, and lifecycle behaviors to identify protocol-specific and cross-protocol risk surfaces. Second, we introduce a qualitative risk assessment framework that identifies twelve protocol-level risks and evaluates security posture across the creation, operation, and update phases through systematic assessment of likelihood, impact, and overall protocol risk, with implications for secure deployment and future standardization. Third, we provide a measurement-driven case study on MCP that formalizes the risk of missing mandatory validation/attestation for executable components as a falsifiable security claim by quantifying wrong-provider tool execution under multi-server composition across representative resolver policies. Collectively, our results highlight key design-induced risk surfaces and provide actionable guidance for secure deployment and future standardization of agent communication ecosystems.