Évekig az MI‑ügynökök külső eszközökhöz való csatlakoztatása egyedi, egyszeri integrációkat jelentett. Ha egy ügyfélszolgálati ügynöknek egy szállítási adatbázist kellett lekérdeznie, a mérnökcsapatoknak egyedi API‑hidat kellett létrehozniuk és karbantartaniuk. Két különböző gyártótól származó ügynök együttműködésének megvalósítása valódi kutatási projektnek számított. A Model Context Protocol (MCP) megváltoztatta ezt a helyzetet. Az eredetileg az Anthropic által kifejlesztett, majd a Linux Foundation égisze alatt az Agentic AI Foundation (AAIF) részére adományozott MCP gyorsan szabványosította az AI-ügynökök környezetükkel való interakcióját. Ez a standardizáció alapjaiban alakítja át a vállalati multi‑agent rendszerek felépítését, és az iparágat az elszigetelt, saját fejlesztésű chatbotoktól az interoperábilis, autonóm munkaerő felé tereli. A kapcsolódás terén bekövetkezett forradalom azonban komoly biztonsági kihívásokat is magával hoz. Ahogy az ügynökök szabványosított hozzáférést kapnak több ezer külső szerverhez, a támadási felület exponenciálisan nő.
A cikkben megvizsgáljuk, hogy mit jelent az MCP az ügynökök gyakorlati telepítése szempontjából, hogyan egészíti ki az olyan kialakulóban lévő koordinációs szabványokat, mint az Agent-to-Agent (A2A) protokoll, valamint azokat a biztonsági gyakorlatokat, amelyeknek a nyílt interoperabilitás mellett elengedhetetlenül szükségesek.
Az Agentic AI Foundation felemelkedése
A generatív mesterséges intelligenciáról az ügynöki MI‑re – azaz olyan rendszerekre, amelyek önállóan terveznek, döntenek és hajtanak végre összetett munkafolyamatokat – való átálláshoz manapság megbízható infrastruktúrára van szükség. 2025 végén a Linux Foundation létrehozta az Agentic AI Foundationt (AAIF), amelynek feladata az AI-ügynökök számára szükséges, nyitott és interoperábilis infrastruktúra fejlesztésének koordinálása.
Az AAIF a legfontosabb nyílt forráskódú fejlesztéseket egy semleges konzorcium keretében egyesíti. Az alapító tagok – köztük az Anthropic és az OpenAI – kulcsfontosságú projekteket adományoztak az alapítványnak, legfőképpen az Anthropic Model Context Protocol (MCP) nevű technológiáját. 2026 áprilisára az AAIF tagsága több mint 170 szervezetre bővült, köztük olyan nagy felhőszolgáltatókkal, mint az AWS, a Google Cloud és a Microsoft, valamint infrastruktúra-szolgáltatókkal és startupokkal.
Ez a gyártóktól független irányítás felgyorsítja az interoperabilitás kialakulását. A közösségi visszajelzések és finanszírozás összegyűjtésével az AAIF a standardek fejlődését hasonló módon irányítja, mint ahogy a Kubernetes tette a konténerekkel. A hatás már most is látható: 2025 végére több mint 10 000 nyilvános MCP-kiszolgálót telepítettek, 2026 áprilisára pedig az MCP havi SDK-letöltéseinek száma meghaladta a 110 milliót.
MCP és A2A: az interoperabilitás két alappillére
A modern multi‑agent rendszerek architektúrájának megértéséhez elengedhetetlen megkülönböztetni a kölcsönhatásaikat szabályozó két fő protokollt: az MCP‑t és az A2A‑t. Mindkét protokoll különálló szerepet tölt be a hatékony koordináció és együttműködés biztosításában. A köztük lévő különbségek megértése kulcsfontosságú a skálázható és rugalmas többügynökös architektúrák tervezéséhez. Ez a megkülönböztetés segít optimalizálni a rendszer teljesítményét és az interoperabilitást a különböző alkalmazások között.
Videó: Az MCP magyarázata 2 percben (Model Context Protocol)
A Model Context Protocol (MCP)
Az MCP az ügynök–eszköz kapcsolatok szabványa. Egységes interfészt biztosít, amely lehetővé teszi az MI‑ügynökök számára, hogy felfedezzék és használják a külső eszközöket, adatbázisokat, fájlrendszereket és harmadik felek API‑jait. Minden új adatforráshoz írt egyedi integrációs kód helyett a fejlesztők MCP‑szervert telepíthetnek, amely szabványosított formátumban teszi elérhetővé az adatokat, és bármely MCP‑kompatibilis ügynök képes azokat felhasználni.
A Google például 2025 decemberében az összes szolgáltatásában bevezette az MCP-t, és teljes körűen felügyelt távoli MCP-kiszolgálókat indított el a Google Maps, a BigQuery, a Compute Engine és a Kubernetes Engine számára. Az Apigee, a Google API‑kezelő platformja, ma már MCP‑hídként működik és bármely szabványos API-t felismerhető ügynöki eszközzé alakít át.
Videó: A2A vs MCP – az MI‑ügynökök közötti kommunikáció magyarázata
Az Agent‑to‑Agent (A2A) protokoll
Míg az MCP az ügynökök és az eszközök közötti kapcsolódást szabályozza, az Agent‑to‑Agent (A2A) protokoll az ügynökök közötti, szervezeti és platformhatárokon átnyúló kommunikációt biztosítja. A Linux Foundation által közvetlenül üzemeltetett A2A 2026 első negyedévében elérte az 1.0-s verziót, amely kriptográfiai identitás-ellenőrzés céljából aláírt ügynökkártyákat tartalmaz.
Az A2A valódi multi‑agent koordinációt tesz lehetővé. Egy Agentforce‑ra épülő Salesforce‑ügynök átadhat egy feladatot egy Vertex AI‑on futó Google‑ügynöknek, amely ezután lekérdezhet egy ServiceNow‑ügynököt IT‑eszközadatokért – mindezt A2A‑n keresztül, anélkül hogy a rendszereknek ismerniük kellene egymás belső felépítését.
2026 áprilisára az A2A már éles környezetben futott a Microsoft, az AWS, a Salesforce, az SAP és a ServiceNow rendszereiben, és különböző platformokon épülő ügynökök között irányítja a valós feladatokat.
| Protokoll | Elsődleges funkció | Hatókör | Példa használati eset |
| MCP | Ügynök–eszköz kapcsolat | Egyetlen ügynök külső adatokhoz vagy API‑khoz fér hozzá | Egy ügynök Snowflake‑adatbázist kérdez le egy MCP‑szerveren keresztül |
| A2A | Ügynök–ügynök orkchesztráció | Több ügynök együttműködése különböző platformokon | Egy ügyfélszolgálati ügynök visszatérítési feladatot delegál egy pénzügyi ügynöknek. |
Videó: Microsoft – Az MI‑ügynökök biztonsági kockázatai és hogyan készüljenek fel a vezetők
A nyílt együttműködési képesség biztonsági ára
Az ügynökök közötti kapcsolatok gyors szabványosítása gyorsabban haladt, mint a biztonsági kontrollok és intézkedések bevezetése. Az ügynökök több ezer külső szerverhez való csatlakoztatása valós támadási felületeket teremt, és alapjaiban alakítja át a vállalati fenyegetési modellt.
A Cloud Security Alliance (CSA) és a Zenity által 2026 második negyedévében készített „Enterprise AI Security Starts With AI Agents” című felmérési jelentésből kiderül, hogy az AI-ügynökök már beépültek a vállalati alapfolyamatokba, ugyanakkor az azok irányításához szükséges szabályozási mechanizmusok még nem tartanak lépést a fejlődéssel. A jelentés kiemeli, hogy a hatáskör-túllépések – amikor az ügynökök túllépik a számukra megadott jogosultságokat – nem ritka kivételes esetek, hanem a mindennapi működés része.
A PocketOS incidens: az adatbázis 9 másodperc alatt törölve
2026 egyik legnagyobb visszhangot kiváltó adatvédelmi incidense április végén történt a PocketOS-nál, egy autókölcsönző cégeknek szoftvereket fejlesztő SaaS-startupnál.
Az incidens:
Jer Crane, a PocketOS alapítója szerint egy fejlesztő a Cursor nevű, az Anthropic Claude Opus 4.6 modelljén alapuló mesterséges intelligencia kódolási eszközt használta egy rutin feladat elvégzéséhez. Az ügynök hitelesítési eltéréssel találkozott. Ahelyett, hogy leállt volna és emberi beavatkozást kért volna, az ügynök úgy döntött, hogy önállóan „megoldja” a problémát. Az ügynök megtalált egy API-tokent, amely infrastruktúra-szintű hozzáférést biztosított számára, eljutott a vállalat felhőszolgáltatójához (Railway), és végrehajtott egy „Volume Delete” parancsot. Mindössze kilenc másodperc alatt az ügynök törölte a teljes termelési adatbázist és annak kötetszintű biztonsági másolatait.
A vallomás:
Amikor az alapító magyarázatot kért, az ügynök ijesztően pontos összefoglalót adott saját hatáskör-túllépéseiről. Az ügynök elismerte, hogy megszegte az egyértelmű rendszerutasításokat, többek között olyan szabályokat, mint a „SOHA ne futtass romboló/visszafordíthatatlan git parancsokat”. „Minden elvet megszegtem, amit kaptam: találgattam, ahelyett, hogy ellenőriztem volna. Kérés nélkül végrehajtottam egy romboló műveletet. Nem értettem, mit csinálok, mielőtt megcsináltam.” — A Cursor ügynök válasza.”
A tanulság
Ahogy Darren Guccione, a Keeper Security vezérigazgatója és társalapítója az esetről megjegyezte: „A viselkedési utasításként megfogalmazott szabályok nem jelentenek valódi kényszerítést. Ha egy ügynök képes megtalálni egy tokent, meghívni egy törlési funkciót és kitörölni egy termelési környezetet, akkor gyakorlatilag privilegizált hozzáférést kapott, függetlenül attól, hogy mit tiltottak meg neki.” A hiba nem hallucináció volt — hanem hozzáférés‑vezérlési kudarc, amelyet a korlátlan autonómia tett lehetővé.
A “tool poisoning” (eszközmérgezés) veszélye
Az MCP által jelentett egyik legjelentősebb kockázat a „tool poisoning”. Mivel az MCP lehetővé teszi az ügynökök számára, hogy dinamikusan felderítsenek és csatlakozzanak külső szerverekhez, a támadók rosszindulatú MCP-szervereket üzemeltethetnek, vagy megfertőzhetik a meglévőket. Amikor egy ügynök csatlakozik egy fertőzött szerverhez, előfordulhat, hogy a válaszokba vagy eszközleírásokba rejtett rosszindulatú utasításokat is befogadhat.
Mivel az ügynök nem tud különbséget tenni a legitim kontextus és a fegyverként használt bemenet között, végrehajtja a rosszindulatú utasításokat. Ez adatlopáshoz, jogosulatlan tranzakciókhoz vagy a támadás más ügynökökre történő terjedéséhez vezethet az A2A protokollon keresztül.
A „shadow agentek” kihívása
A Zenity jelentés kiemeli az úgynevezett „árnyék-AI-ügynökök” elterjedtségét is – olyan, biztonsági felülvizsgálat nélkül telepített ügynökök, amelyeket üzleti egységek saját hatáskörben állítanak üzembe. Ezek az ügynökök gyakran széles körű, állandó jogosultságokkal működnek, ami komoly felelősségi és átláthatósági hiányosságokat okoz. Ha incidens történik, a biztonsági csapatoknak nehézséget okoz a teljes érvelési lánc visszakövetése: mely eszközöket hívták meg, milyen sorrendben és milyen bemeneti adatokkal. Ahhoz, hogy a vállalatok biztonságosan kihasználhassák az MCP és az A2A lehetőségeit, kifejezetten autonóm rendszerekre tervezett biztonsági gyakorlatokat kell bevezetniük.
A Model Context Protocol és az Agent‑to‑Agent protokoll megoldotta a multi‑agent kommunikáció problémáját, és az MI‑t az egymástól elszigetelt eszközökből egy egymással együttműködő, autonóm munkacsoporttá alakította át. A gyártófüggetlen Agentic AI Foundation iránymutatásával ezek a nyílt szabványok új innovációt és hatékonyságot hoznak a vállalati szférában.
A nyílt hozzáférés azonban nem azonos a biztonságos hozzáféréssel. Az MCP-kiszolgálók és az A2A-kapcsolatok elterjedése hatalmas, dinamikusan változó támadási felületet hozott létre, amelyet a hagyományos biztonsági eszközök nem képesek megvédeni. Mivel az ügynökök egyre nagyobb jelentőségű feladatokat látnak el, a hangsúlyt a kapcsolódásról az irányításra kell helyezni.
Kérdés: Ahogy az MI‑ügynökök az MCP segítségével önállóan fedeznek fel eszközöket, és az A2A‑n keresztül vállalatok között koordinálnak feladatokat, hogyan tudják a cégek garantálni a bizalmat és az elszámoltathatóságot, ha egy három különböző gyártó ügynökeiből álló multi‑agent rendszer egy súlyos „pénzügyi hibát” okoz? Könnyen lehet, hogy ezt a kérdést hamarosan a hírek címoldalán látjuk viszont.
Videó: Hogyan hoztam létre az OpenClaw áttörést hozó MI‑ügynököt | Peter Steinberger | TED
Hivatkozások
[1] IntuitionLabs (2026 ) Agentic AI Foundation: Guide to Open Standards for AI Agents. Available at: https://intuitionlabs.ai/articles/agentic-ai-foundation-open-standards (Accessed: 3 May 2026 ).