論文の概要: AIP: Agent Identity Protocol for Verifiable Delegation Across MCP and A2A

• arxiv url: http://arxiv.org/abs/2603.24775v1
• Date: Wed, 25 Mar 2026 19:45:37 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-03-27 20:52:47.974179
• Title: AIP: Agent Identity Protocol for Verifiable Delegation Across MCP and A2A
• Title（参考訳）: AIP:MPPとA2Aをまたいで検証可能なデリゲーションのためのエージェントIDプロトコル
• Authors: Sunil Prakash,
• Abstract要約: IBCT(Invocation-Bound Capability Tokens)は、ID、認可、証明のバインディングを単一の追加専用トークンチェーンに融合する。 完全な言語間の相互運用性を備えたPythonとRustのリファレンス実装を提供しています。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: AI agents increasingly call tools via the Model Context Protocol (MCP) and delegate to other agents via Agent-to-Agent (A2A), yet neither protocol verifies agent identity. A scan of approximately 2,000 MCP servers found all lacked authentication. In our survey, we did not identify a prior implemented protocol that jointly combines public-key verifiable delegation, holder-side attenuation, expressive chained policy, transport bindings across MCP/A2A/HTTP, and provenance-oriented completion records. We introduce Invocation-Bound Capability Tokens (IBCTs), a primitive that fuses identity, attenuated authorization, and provenance binding into a single append-only token chain. IBCTs operate in two wire formats: compact mode (a signed JWT for single-hop cases) and chained mode (a Biscuit token with Datalog policies for multi-hop delegation). We provide reference implementations in Python and Rust with full cross-language interoperability. Compact mode verification takes 0.049ms (Rust) and 0.189ms (Python), with 0.22ms overhead over no-auth in real MCP-over-HTTP deployment. In a real multi-agent deployment with Gemini 2.5 Flash, AIP adds 2.35ms of overhead (0.086% of total end-to-end latency). Adversarial evaluation across 600 attack attempts shows 100% rejection rate, with two attack categories (delegation depth violation and audit evasion through empty context) uniquely caught by AIP's chained delegation model that neither unsigned nor plain JWT deployments detect.
• Abstract（参考訳）: AIエージェントは、モデルコンテキストプロトコル(MCP)を介してツールを呼び出し、A2A(Agent-to-Agent)を介して他のエージェントに委譲する。 約2000のMSPサーバーをスキャンしたところ、認証がすべて欠けていた。 本調査では,公開鍵検証型デリゲート,ホルダ側減衰,表現連鎖型ポリシ,MPP/A2A/HTTP間のトランスポートバインディング,証明指向補完レコードを併用した事前実装プロトコルを特定できなかった。 Invocation-Bound Capability Tokens (IBCTs)は、IDを融合し、認可を減らし、単一の追加専用トークンチェーンに前処理をバインドするプリミティブである。 IBCTは、コンパクトモード(シングルホップケース用の署名付きJWT)とチェーンモード(マルチホップデリゲート用のDatalogポリシを備えたビスケットトークン)の2つのワイヤフォーマットで動作する。 完全な言語間の相互運用性を備えたPythonとRustのリファレンス実装を提供しています。 コンパクトモードの検証には0.049ms(Rust)と0.189ms(Python)が必要で、実際のMSP-over-HTTPデプロイメントでは0.22msのオーバーヘッドがある。 Gemini 2.5 Flashによる実際のマルチエージェントデプロイメントでは、AIPは2.35msのオーバーヘッド(エンドツーエンドのレイテンシ全体の0.086%)を追加している。 600件の攻撃の試みに対する敵意評価は、100%の拒絶率を示し、2つの攻撃カテゴリ(委譲深度違反と、空きコンテキストによる監査回避)は、署名されていないJWT配置も検出されていないAIPの連鎖デリゲートモデルに固有のものである。

関連論文リスト

• AgentRFC: Security Design Principles and Conformance Testing for Agent Protocols [2.1352949241716352]
  エージェントプロトコルにより、自律的なエージェントが機能を発見し、タスクを委譲し、信頼境界を越えてサービスを構成することができる。 大規模なデプロイメントにもかかわらず、これらのプロトコルの体系的なセキュリティフレームワークは存在しない。 Agent Protocol Stack、Agent-Agnostic Security Model、AgentConformの3つのコントリビューションを提示します。
  論文  参考訳（メタデータ） (2026-03-25T00:25:02Z)
• Agent Control Protocol: Admission Control for Agent Actions [0.4929694290403903]
  エージェントコントロールプロトコル(エージェントコントロールプロトコル、ACP)は、B2Bの機関環境における自律エージェントの受け入れ制御ガバナンスのための正式な仕様である。 ACPは、暗号ID、能力に基づく認可、決定論的リスク評価、連鎖デリゲート、および暗号化連鎖監査を定義する。 ACPはRBACとZero Trustの上で動作し、どちらのモデルも解決しない問題に対処する。
  論文  参考訳（メタデータ） (2026-03-19T12:28:28Z)
• Governing Dynamic Capabilities: Cryptographic Binding and Reproducibility Verification for AI Agent Tool Use [0.0]
  既存のセキュリティレイヤでは、AIエージェントに何ができるか、それが主張するものを実行したのか、マルチエージェントインタラクションで何が起きたのかを検証できない。 既存のフレームワークはこれら2つを詳述し、サイレントな能力のエスカレーションを可能にし、検証済みの証明なしに相互作用を残す。 我々は3つのエージェントガバナンス要件を導出する:能力の完全性(G1)、行動の妥当性(G2)、相互作用監査性(G3)。 基本(Ed25519, SHA-256; 97 us verify)と拡張(BBS+選択開示、Groth16 DV-SNARK; 13.8 ms)の2つの暗号に依存しないインスタンス化で検証する。
  論文  参考訳（メタデータ） (2026-03-15T11:46:57Z)
• CLASP: Defending Hybrid Large Language Models Against Hidden State Poisoning Attacks [48.54598003197356]
  Mambaのような状態空間モデル(SSM)はトランスフォーマーの効率的な代替品として大きな注目を集めている。 HiSPAsは、最近発見された脆弱性で、敵対する文字列を通じてSSMメモリを破損させる。 この脅威に対して防御するためのCLASPモデルを紹介します。
  論文  参考訳（メタデータ） (2026-03-12T17:29:55Z)
• BackdoorAgent: A Unified Framework for Backdoor Attacks on LLM-based Agents [58.83028403414688]
  大規模言語モデル(LLM)エージェントは、計画、メモリ、ツールの使用を組み合わせた多段階ワークフローを通じてタスクを実行する。 エージェントワークフローの特定のステージに注入されたバックドアトリガーは、複数の中間状態を通して持続し、下流出力に悪影響を及ぼす可能性がある。 LLMエージェントにおけるバックドア脅威を統一したエージェント中心のビューを提供するモジュールおよびステージアウェアフレームワークである textbfBackdoorAgent を提案する。
  論文  参考訳（メタデータ） (2026-01-08T03:49:39Z)
• Binding Agent ID: Unleashing the Power of AI Agents with accountability and credibility [46.323590135279126]
  BAID(Binding Agent ID)は、検証可能なユーザコードバインディングを確立するための総合的なアイデンティティ基盤である。 ブロックチェーンベースのID管理とzkVMベースの認証プロトコルの実現可能性を実証し、完全なプロトタイプシステムの実装と評価を行った。
  論文  参考訳（メタデータ） (2025-12-19T13:01:54Z)
• EIP-7702 Phishing Attack [15.627042428575487]
  EIP-7702はデリゲートベースの認証機構を導入している。 ユーザーを個別のトランザクションにサインさせる代わりに、攻撃者は被害者に単一の認証にサインするよう誘導することができる。 我々は、26kアドレスと数百のデリゲータ契約を含む150k以上の認証および実行イベントを分析します。
  論文  参考訳（メタデータ） (2025-12-13T04:41:19Z)
• Agentic JWT: A Secure Delegation Protocol for Autonomous AI Agents [0.6747475365990533]
  エージェント設定の推論、プロンプトインジェクション、マルチエージェントオーケストレーションは、サイレントに特権を拡張することができる。 本稿では,エージェントのアクションをユーザインテントにバインドする2面インテントトークンであるAgentic JWT(A-JWT)を紹介する。 A-JWTはエージェントのアイデンティティを、そのプロンプト、ツール、設定から派生したワンウェイハッシュとして保持する。
  論文  参考訳（メタデータ） (2025-09-16T23:43:24Z)
• Malicious Agent Detection for Robust Multi-Agent Collaborative Perception [52.261231738242266]
  多エージェント協調(MAC)知覚は、単エージェント認識よりも敵攻撃に対して脆弱である。 MAC知覚に特異的な反応防御であるMADE(Malicious Agent Detection)を提案する。 我々は、ベンチマーク3DデータセットV2X-simとリアルタイムデータセットDAIR-V2Xで包括的な評価を行う。
  論文  参考訳（メタデータ） (2023-10-18T11:36:42Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。