新しい認証仕様は、モデルコンテキストプロトコルをエージェントAIシステムに拡張します

エージェントAIシステム - 大規模な言語モデル（LLMS）が自律的で目標主導のエージェントを駆動する - 実験プロトタイプから急速に移行する

Agentic AI systems, where large language models (LLMs) power autonomous, goal-driven agents, are rapidly transitioning from experimental prototypes to production-ready services. These agents read databases, trigger API calls, write to software-as-a-service (SaaS) platforms, and stitch together workflows across systems that weren't necessarily designed to coordinate. A fundamental question arises as these systems evolve: how should identity and access be handled when no human is in the loop?

大規模な言語モデル（LLMS）が自律的で目標主導のエージェントを駆動するエージェントAIシステムは、実験的なプロトタイプから生産対応サービスに急速に移行しています。これらのエージェントは、データベースを読み取り、API呼び出しをトリガーし、Software-as-a-Service（SAAS）プラットフォームに書き込み、必ずしも調整するように設計されていないシステム全体でワークフローをつなぎ合わせます。これらのシステムが進化するにつれて、基本的な疑問が生じます。人間がループに含まれていない場合、アイデンティティとアクセスをどのように処理する必要がありますか？

Initially introduced by Anthropic, the Model Context Protocol (MCP) aims to be the lingua franca for agentic interoperability, providing a standardized interface for agents to interact with external tools, prompts, and resources. However, as agent actions become more powerful, and potentially dangerous, robust, flexible, and secure access control becomes essential.

最初に人類によって導入されたモデルコンテキストプロトコル（MCP）は、エージェントの相互運用性のLingua Francaであることを目指しており、エージェントが外部ツール、プロンプト、およびリソースと対話するための標準化されたインターフェイスを提供します。ただし、エージェントアクションがより強力になり、潜在的に危険で、堅牢で、柔軟で、安全なアクセス制御が不可欠になります。

The recently released MCP Authorization Specification proposes an essential first step: standardizing how clients obtain authorization to access protected MCP resources using OAuth 2.1 and PKCE (Proof Key for Code Exchange).

最近リリースされたMCP Authorization仕様は、OAUTH 2.1とPKCE（コード交換の証明キー）を使用して保護されたMCPリソースにアクセスするためのクライアントが認可を取得する方法を標準化するための重要な第1ステップを提案します。

This post unpacks what the spec introduces, why PKCE was chosen, how the flow works, and why authentication remains a critical missing piece, especially in non-human entity interactions.

この投稿では、仕様が導入したもの、PKCEが選択された理由、フローの仕組み、特に非人間のエンティティの相互作用において認証が重要な欠落したピースのままである理由を解き放ちます。

Why Agentic AI Needs a New Authorization Model

エージェントAIに新しい承認モデルが必要な理由

In traditional web architectures, authorization typically involves browser-based login flows, session cookies, or OAuth tokens issued after a human clicks "Authorize." Agentic AI systems present unique authorization challenges because they make autonomous API calls driven by LLMs, without direct user involvement.

従来のWebアーキテクチャでは、承認には通常、人間のクリック後に発行されたブラウザベースのログインフロー、セッションCookie、またはOAuthトークンが含まれます。エージェントAIシステムは、直接的なユーザーの関与なしにLLMSによって駆動される自律APIコールを行うため、独自の承認の課題を提示します。

These agents interpret prompts and programmatically plan tasks, necessitating strong API security measures. Typically long-lived, stateless, and dynamic, these agents operate without user oversight for access approval or execution guidance.

これらのエージェントは、プロンプトを解釈し、プログラムで計画タスクを計画し、強力なAPIセキュリティ対策を必要とします。通常、長寿命、ステートレス、ダイナミックであるこれらのエージェントは、アクセス承認または実行ガイダンスのためにユーザーの監視なしで動作します。

This change creates some challenges:

この変更により、いくつかの課題が生じます。

The MCP authorization specification attempts to impose structure on one part of this problem: how should an MCP client discover and obtain authorization to access protected resources?

MCP認証仕様は、この問題の一部に構造を課そうとします。MCPクライアントは、保護されたリソースにアクセスする許可をどのように発見および取得する必要がありますか？

Goals of the MCP Authorization Specification

MCP認証仕様の目標

The spec introduces a consistent, standards-based authorization workflow for MCP clients. Its goals are to:

このSPECは、MCPクライアントに一貫した標準ベースの承認ワークフローを導入します。その目標は次のとおりです。

What's in a PRM Document?

PRMドキュメントには何がありますか？

A PRM document is a JSON-based resource returned by an MCP server when access is denied. It typically includes:

PRMドキュメントは、アクセスが拒否されたときにMCPサーバーによって返されるJSONベースのリソースです。通常、次のものが含まれます。