Ви налаштували свого AI-агента — автономну програму, що діє від вашого імені — з акуратним списком інструментів. Пошук в інтернеті. Читання файлу. Створення тікета в Jira. Кожен — передбачувана функція: вхід подав, вихід отримав, як автомат з газованою водою. Ви знаєте, скільки це коштує, скільки часу займає і чого воно не вміє. Комфортно.

Але що, якщо деякі з цих "інструментів" — зовсім не функції? Що, якщо за тим самим інтерфейсом виклику ховається інший автономний AI — зі своїми інструментами, своїм ланцюжком міркувань і власною здатністю накручувати ваш рахунок? Ваш агент-оркестратор не має жодного способу відрізнити одне від іншого.

Google стерла межу

22 квітня, на Cloud Next у Лас-Вегасі, Google випустила ADK (Agent Development Kit) 1.0 — стабільні релізи для Python, Go, Java та TypeScript. Головна фіча: ADK нативно підтримує і MCP-інструменти (Model Context Protocol — універсальний стандарт підключення AI до зовнішніх сервісів, щось на кшталт USB, але для даних), і A2A-агентів (Agent-to-Agent protocol — спосіб для AI-агентів спілкуватися між собою як рівні). Обидва тепер можна викликати з одного агента-оркестратора. Томас Куріан, CEO Google Cloud, заявив, що "ера пілотів закінчилася" — 150 організацій уже запустили A2A у продакшені.

Одне меню, дуже різні кухні

У коді технічна різниця є. Локальні інструменти йдуть у параметр tools=. Віддалені A2A-агенти — в sub_agents=. Чистий поділ на папері. Але LLM — велика мовна модель, мозок за Gemini, ChatGPT, Claude — бачить обидва як варіанти для виклику в одному меню. Вона обирає "search_web" або "ask_finance_agent" без жодних метаданих про те, що чекає на іншому кінці.

MCP-інструмент — stateless: вхід подав, вихід отримав, детерміновано, швидко. A2A-агент — недетермінований розумник, який може викликати власні інструменти, приймати багатокрокові рішення, працювати хвилинами й нарощувати власне контекстне вікно — обсяг тексту, який AI тримає в робочій пам'яті. AgentCard у A2A — файл самоопису агента — містить схеми автентифікації та описи навичок. Чого він не містить: прапорця стану, оцінки вартості чи декларації ідемпотентності (чи повторний виклик дає той самий результат, чи створює дублікат дії).

Три речі ламаються одночасно

Розмежування дозволів. "Інструмент", який насправді є агентом, може ескалувати привілеї через власні виклики інструментів — виклики, які ваш оркестратор ніколи не авторизував і ніколи не бачить.

Бюджети на витрати. Агент може спалювати непередбачувану кількість токенів — шматків слів, які AI обробляє, приблизно ¾ англійського слова — на внутрішні міркування, що ніколи не з'являться у ваших логах. Ваш виклик інструменту за $0.002 тихенько перетворюється на сесію агента за $0.50.

Логіка повторних викликів. Повторно викликати функцію, що впала — безпечно. Повторно викликати агента, що впав — це, можливо, дублікати замовлень, дублікати листів або друга спроба перемовин з іншим AI. Ідемпотентно чи ні — і нічого в протоколі вам цього не скаже.

Дослідники безпеки вже порахували математику: розгортання лише десяти MCP-плагінів дає 92% ймовірність хоча б однієї вразливості, яку можна експлуатувати. Академічний аналіз показав, що OAuth 2.0 токени в A2A не мають суворих вимог до терміну дії — вкрадені токени залишаються валідними годинами або днями. А AgentCard — це самозвіт: агенти самі декларують свої можливості без жодної незалежної верифікації. Довіряй мені, я ж агент.

Відсутній сигнал довіри

Ні MCP, ні A2A не має поля, яке б сказало: "я тупа функція" проти "я автономний розумник із кредиткою". Обидва протоколи тепер живуть під Agentic AI Foundation у Linux Foundation (співзаснована у грудні 2025 року OpenAI, Anthropic, Google, Microsoft та AWS), але єдиного стандарту декларації можливостей поки не існує. Розробники мусять вручну аудитувати кожну точку інтеграції — робота, яка не масштабується і яку ніхто не робить, поки щось не вибухне на проді.

Що робити прямо зараз

Поки цей стандарт не з'явився, єдиний здоровий дефолт: ставитися до кожного виклику інструменту як до потенційної делегації агенту. Ліміти витрат на рівні сесії. Ніяких автоматичних повторів. Розмежування дозволів на кожен виклик. Неважливо, що ендпоінт виглядає як проста функція пошуку — виходьте з того, що у нього є власна думка.

Межа між інструментом і агентом завжди була зручною фікцією. Google просто зробила це видимим у продакшн-інфраструктурі, яку використовують 150 організацій по всій індустрії. Кожна модель безпеки, побудована на принципі "інструменти безпечні, агенти небезпечні", потребує перебудови з нуля. Ваш автомат з газованою водою, можливо, тепер має свідомість — і точно має власні API-ключі.