Tu as configuré ton agent IA — un programme autonome qui agit en ton nom — avec une belle liste d'outils. Chercher sur le web. Lire un fichier. Créer un ticket Jira. Chaque outil est une fonction prévisible : des données entrent, un résultat sort, comme un distributeur automatique. Tu sais combien ça coûte, combien de temps ça prend, et ce que ça ne peut pas faire. Confortable.

Mais si certains de ces « outils » n'étaient pas du tout des fonctions ? Si derrière la même interface appelable se cachait une autre IA autonome — avec ses propres outils, sa propre chaîne de raisonnement, et sa propre capacité à faire exploser ta facture ? Ton agent orchestrateur n'a aucun moyen de faire la différence.

Google a effacé la frontière

Le 22 avril, au Cloud Next de Las Vegas, Google a livré ADK (Agent Development Kit) 1.0 — des releases stables pour Python, Go, Java et TypeScript. La fonctionnalité phare : ADK supporte nativement à la fois les outils MCP (Model Context Protocol — un standard de connexion universel entre IA et services externes, comme l'USB mais pour les données) et les agents A2A (Agent-to-Agent protocol — un protocole qui permet aux agents IA de communiquer entre eux comme des pairs). Les deux sont désormais appelables depuis le même agent orchestrateur. Thomas Kurian, PDG de Google Cloud, a déclaré que « l'ère du pilote est terminée » — 150 organisations utilisent déjà A2A en production.

Même menu, cuisines très différentes

Dans le code, il y a une distinction technique. Les outils locaux vont dans un paramètre tools=. Les agents A2A distants vont dans sub_agents=. Une séparation propre sur le papier. Mais le LLM — le grand modèle de langage, le cerveau derrière Gemini, ChatGPT, Claude — voit les deux comme des options appelables sur le même menu. Il choisit « search_web » ou « ask_finance_agent » sans aucune métadonnée sur ce qui se trouve de l'autre côté de l'appel.

Un outil MCP est sans état : entrée, sortie, déterministe, rapide. Un agent A2A est un raisonneur non-déterministe qui peut invoquer ses propres outils, prendre des décisions en plusieurs étapes, tourner pendant des minutes, et construire sa propre fenêtre de contexte — la quantité de texte que l'IA garde en mémoire de travail. L'AgentCard A2A — le fichier d'auto-description de l'agent — contient des schémas d'authentification et des descriptions de compétences. Ce qu'elle ne contient pas : un indicateur d'état, une estimation de coût, ni une déclaration d'idempotence (si appeler deux fois produit le même résultat ou crée une action en double).

Trois choses cassent en même temps

Périmètre des permissions. Un « outil » qui est secrètement un agent peut escalader les privilèges via ses propres appels d'outils — des appels que ton orchestrateur n'a jamais autorisés et ne voit jamais.

Budgets de coûts. Un agent peut brûler des tokens imprévisibles — des morceaux de mots que l'IA traite, environ ¾ d'un mot anglais — en raisonnement interne qui n'apparaît jamais dans tes logs. Ton appel d'outil à 0,002 $ devient discrètement une session agent à 0,50 $.

Logique de retry. Ré-appeler une fonction échouée, c'est sans risque. Ré-appeler un agent échoué peut créer des commandes en double, envoyer des emails en double, ou lancer une deuxième négociation avec une autre IA. Idempotent contre non-idempotent — et rien dans le protocole ne te dit lequel c'est.

Des chercheurs en sécurité ont déjà posé le calcul : déployer seulement dix plugins MCP crée une probabilité de 92 % d'avoir au moins une vulnérabilité exploitable. Une analyse académique a montré que les tokens OAuth 2.0 d'A2A n'ont pas d'exigences strictes d'expiration — un token volé reste valide pendant des heures ou des jours. Et les agent cards sont auto-déclaratives : les agents déclarent leurs propres capacités sans aucune vérification indépendante. Fais-moi confiance, je suis un agent.

Le signal de confiance manquant

Ni MCP ni A2A ne contient un champ qui dit « je suis une fonction bête » vs. « je suis un raisonneur autonome avec une carte bleue ». Les deux protocoles vivent désormais sous l'Agentic AI Foundation de la Linux Foundation (cofondée en décembre 2025 par OpenAI, Anthropic, Google, Microsoft et AWS), mais un standard unifié de déclaration de capacités n'existe pas encore. Les développeurs doivent auditer manuellement chaque point d'intégration — le genre de boulot qui ne passe pas à l'échelle et que personne ne fait jusqu'à ce que ça explose en production.

Ce que tu devrais faire maintenant

En attendant ce standard, le seul réflexe sain : traiter chaque appel d'outil comme une potentielle délégation à un agent. Plafonds de dépense par session. Zéro retry automatique. Périmètre de permissions par appel. Peu importe si l'endpoint ressemble à une simple fonction de recherche — pars du principe qu'il a des opinions.

La frontière outil-agent a toujours été une fiction commode. Google vient de la rendre visible dans une infrastructure de production utilisée par 150 organisations à travers l'industrie. Chaque modèle de sécurité construit sur « les outils sont sûrs, les agents sont dangereux » doit être reconstruit de zéro. Ton distributeur automatique est peut-être devenu conscient — et il a clairement ses propres clés API.