तुमने अपने AI agent को — एक autonomous program जो तुम्हारी तरफ से काम करता है — tools की एक साफ-सुथरी लिस्ट दी। Web search करो। File पढ़ो। Jira ticket बनाओ। हर एक predictable function: input डालो, output आया, बिल्कुल vending machine जैसा। तुम्हें पता है कितना खर्चा आएगा, कितना टाइम लगेगा, और क्या नहीं कर सकता। सब comfortable है।

लेकिन अगर उन "tools" में से कुछ functions हों ही नहीं? अगर उसी callable interface के पीछे एक और autonomous AI छुपा बैठा हो — अपने खुद के tools, अपनी reasoning chain, और तुम्हारा बिल बढ़ाने की अपनी capability के साथ? तुम्हारे orchestrating agent के पास कोई तरीका नहीं है फर्क पता करने का।

Google ने लकीर मिटा दी

22 अप्रैल को, Las Vegas में Cloud Next पर, Google ने ADK (Agent Development Kit) 1.0 ship किया — Python, Go, Java, और TypeScript में stable releases। Headline feature: ADK natively MCP tools (Model Context Protocol — AI को external services से connect करने का universal plug standard, जैसे USB लेकिन data के लिए) और A2A agents (Agent-to-Agent protocol — AI agents का आपस में peers की तरह बात करने का तरीका) दोनों support करता है। दोनों एक ही orchestrating agent से callable हैं। Google Cloud CEO Thomas Kurian ने announce किया "pilot का दौर खत्म" — 150 organizations पहले से A2A production में चला रही हैं

Same Menu, बहुत अलग Kitchens

Code में technical distinction है। Local tools tools= parameter में जाते हैं। Remote A2A agents sub_agents= में। कागज़ पर साफ separation। लेकिन LLM — large language model, Gemini, ChatGPT, Claude के पीछे का दिमाग — दोनों को एक ही menu पर callable options की तरह देखता है। वो "search_web" या "ask_finance_agent" pick करता है बिना किसी metadata के कि दूसरी तरफ क्या है।

MCP tool stateless है: input in, output out, deterministic, fast। A2A agent एक non-deterministic reasoner है जो अपने खुद के tools invoke कर सकता है, multi-step decisions ले सकता है, minutes तक run कर सकता है, और अपना context window बना सकता है — यानी AI जितना text अपनी working memory में hold करता है। A2A AgentCard — agent की self-description file — authentication schemes और skill descriptions carry करता है। जो नहीं carry करता: statefulness flag, cost estimate, या idempotency declaration (कि उसे दो बार call करने पर same result आएगा या duplicate action होगा)।

तीन चीज़ें एक साथ टूटती हैं

Permission scoping. एक "tool" जो secretly agent है, अपने tool calls के through privileges escalate कर सकता है — ऐसे calls जो तुम्हारे orchestrator ने न authorize किए और न कभी देखे।

Cost budgets. एक agent unpredictable tokens — AI जो word-chunks process करता है, roughly एक English word का ¾ — internal reasoning पर जला सकता है जो तुम्हारे logs में कभी दिखती नहीं। तुम्हारी $0.002 वाली tool call चुपचाप $0.50 की agent session बन जाती है।

Retry logic. एक failed function को दोबारा call करना safe है। एक failed agent को दोबारा call करना duplicate orders बना सकता है, duplicate emails भेज सकता है, या दूसरे AI के साथ दूसरी negotiation शुरू कर सकता है। Idempotent vs. non-idempotent — और protocol में कुछ भी नहीं बताता कि कौन सा है।

Security researchers पहले ही math flag कर चुके हैं: सिर्फ दस MCP plugins deploy करने पर कम से कम एक exploitable vulnerability की 92% probability बनती है। एक academic analysis में पता चला कि A2A के OAuth 2.0 tokens में strict expiration requirements नहीं हैं — leaked tokens घंटों या दिनों तक valid रहते हैं। और agent cards self-reported हैं: agents अपनी capabilities खुद declare करते हैं बिना किसी independent verification के। Trust me, I'm an agent।

Missing Trust Signal

न MCP और न A2A में कोई field है जो बताए "मैं एक dumb function हूँ" vs. "मैं एक autonomous reasoner हूँ जिसके पास credit card है।" दोनों protocols अब Linux Foundation के Agentic AI Foundation (दिसंबर 2025 में OpenAI, Anthropic, Google, Microsoft, और AWS ने मिलकर बनाया) के under हैं, लेकिन एक unified capability-declaration standard अभी तक exist नहीं करता। Developers को हर integration point manually audit करना पड़ता है — वो काम जो scale नहीं होता और जो कोई नहीं करता जब तक production में कुछ फटता नहीं।

अभी क्या करो

जब तक वो standard नहीं आता, सबसे समझदार default: हर tool call को potential agent delegation मानो। Session-level spending caps। No automatic retries। Per-call permission scoping। चाहे endpoint simple search function जैसा दिखे — assume करो कि उसकी अपनी राय है।

Tool-agent boundary हमेशा से एक convenient fiction था। Google ने बस इसे 150 organizations वाले production infrastructure में visible बना दिया। हर security model जो "tools safe हैं, agents dangerous हैं" पर बना है, उसे scratch से rebuild करना पड़ेगा। तुम्हारी vending machine अब शायद sentient है — और उसके पास definitely अपनी API keys हैं।