この連載でも何度か名前を引き合いに出しているオライリー・メディアのマイク・ルキダスが、重要ないし興味深いテクノロジーやビジネスのトレンドをリストアップするRadar Trendsシリーズは、ワタシも毎月必ずチェックしています。

ルキダスはこの連載を5年ばかり続けており、2020年はCOVID-19がトップの話題になることが多かったですが、2021年以降は現在まで、トップの話題は一度の例外もなく人工知能（AI）だったりします。その後にプログラミング、サイバーセキュリティ、ソーシャルメディア、メタバース、Web3、バーチャル・リアリティ、ロボット、量子コンピューティングといったトピックが続くわけですが、その不動のトップぶりに、2020年代はAIドリブンなのだなと今更実感させられます。

先月5月のRadar Trendsの前口上で、ルキダスは以下のように書いています。

AnthropicのModel Context Protocol（MCP）は、モデルがツールを使ってやり取りを行う方法を標準化するもので、知的エージェントの構築をずっと容易にしたことで注目を集めている。GoogleのAgent2Agent（A2A）は、セキュリティ、エージェントの能力を記述するエージェントカードなど、元のMCPの仕様に入っていない機能を追加している。A2AとMCPは競合するのか、それとも補完的なのか？ A2Aは、Agenticアプリケーションの発展途上にあるプロトコルスタックにレイヤを一つ加えるのだろうか？ 同様にClaude Codeは、カットアンドペーストやコメント補完（GitHub）モデルを超える次のステップとなるエージェント駆動コーディング（agentic coding）の旗手となっている。現在、Claude CodeはOpenAIのターミナルベースのCodexやGoogleのFirebase Studio IDEと競合している。それでAnthropicはどう得をするのだろうか？ これらのツールは、Anthropicこそ打倒すべきAIベンダーであることを示唆している。

引用の後半に書かれるように、今はOpenAI、Google、そしてAnthropicなど主要AIベンダが激しく競い合っています。逆にそういう状況だからこそ、引用の前半で引き合いに出される、大規模言語モデル（LLM）などのAIモデルと外部ツール／システム／データソースとの連携を標準化する規格であるMCPについて、OpenAIやGoogleといったAnthropicの競合も採用を表明したのが印象的なのです。

5月号に続いて、最新のRadar Trends6月号でもMCPに関する話題がいくつもピックアップされていますが、なんといっても、マイクロソフトがWindowsでMCPをネイティブサポートすると発表したのがもっとも大きなニュースに違いありません。

これを受けて小林啓倫氏が、「これがWeb 4.0？　Microsoftが提唱する「Open Agentic Web」を解説　今までのWebサイトは“司書のいない図書館”」を書いていますが、「Open Agentic Web」や「NLWeb」といったコンセプトから、AIエージェント時代の本格化とエージェントに最適化されたウェブ構築への強い意思を感じます。そして、これらのコンセプトを実現するために、MCP（やA2A）といったオープンな規格が必要になるわけです。

小林氏は（疑問符とともにではありますが）「Web 4.0」というフレーズを使っており、個人的にはこの手の「Web X.0」のキャッチフレーズを見ただけで警戒してしまうのですが、ことこれに関してそう書きたくなる気持ちは理解できます。

例えば、やはりこの連載で何度も名前を出しているベテランブロガーのアニール・ダッシュも、マイクロソフトの発表を受けて「MCPはWeb 2.0の2.0の到来だ」とぶちあげています。そう、Web 2.0の2.0で、Web 4.0になるわけです（笑）。

ダッシュは、MCPの仕様が中途半端で、ほとんど漠然としたアイデアに過ぎず、今の時代にふさわしい仕様のハルシネーションとまで書きますが、MCPが現に機能しており、オープンなのがなにより重要であると強弁します。

彼がWeb 2.0という言葉を引き合いに出しているのは、何よりオープンなウェブを重視するからです。ワタシ自身、かつて（やはりダッシュの文章を引き合いにしながら）Web 2.0について振り返ったことがありますが、ダッシュは今回の文章でも、今ではFacebookがWeb 2.0の代表選手のように扱われるが、Facebookはクローズドでプロプライエタリでユーザーに敵対的なサービスでWeb 2.0を殺した側であり、Web 2.0は何より開発者とユーザーをつなげるオープンなAPIや標準が肝だったと強調しています。

Web 2.0コミュニティで共有されていた価値観は、オープンデータとオープンプロトコルを中心にツール、テクノロジー、プラットフォームを構築し、開発者がこれらのシステムと一貫した相互運用できるツールを有して、ユーザーがデータをコントロールするのを期待するものだった。

ダッシュは、オープンな規格であるMCPの登場と採用の広がりに、オープンデータと相互運用可能なテクノロジーという、開発者やユーザーに力を与えたウェブ2.0の夢の再興を見るわけです。MCPが万能薬でないことを認めながらも、それがウェブを本来のアーキテクチャに戻す後押しをする可能性に期待せずにはいられないようです。

やはりベテランジャーナリストのジョン・ウデルも、MCPのJSON-RPCベースのシンプルさは、RSSの自動検出やOpenSearchのように、急速に普及して開発者に強い力を提供するのを期待させるとして、「MCPはAI時代のRSSだ」と書いています。シンプルなクライアント／サーバー型のプロトコルで、開発者やユーザーに提供する価値が見えやすいところがWeb3との違いでしょうか（とか書くと刺されそうですが）。

MCPの公式サイトには「MCPはAIアプリケーションのUSB-Cポートのようなものだと考えてほしい。USB-Cがデバイスを様々な周辺機器やアクセサリーに接続する標準化された方法を提供するように、MCPはAIモデルを様々なデータソースやツールに接続する標準化された方法を提供する」とありますが、それを可能にするのはオープンなプロトコルです。ワタシなどMCPは、「BlueskyやThreadsに受け継がれたネット原住民の叡智」で取り上げたマイク・マズニックの「プラットフォームでなくプロトコルを」の実践に思えます。

このようにMCPには、かつてウェブに夢を見た（ワタシを含む）年寄りを惹きつけるわけですが、もちろん懸念もあります。そのあたりについては、アディ・オスマニによる全4回のMCP解説文章の3回目で「現在のMCP界隈における限界と課題」としてまとめられていますが、もっとも大きいのは（MCPの作りのシンプルさの裏面と言える）セキュリティの問題でしょう。

これについては、GMO Flatt Security株式会社の公式ブログの「MCPにおけるセキュリティ考慮事項と実装における観点（前編、後編）」によくまとめられていますが、AIとセキュリティの両方について語れる専門家といえばこの人というべき、Exabeamの最高AI・プロダクト責任者であり、OWASPでの活動も知られるスティーブ・ウィルソンも、オープンアクセスのために構築されたインターネットは元々セキュリティは考慮されていなかった問題がMCPにもあり、セキュリティはすべて後付けであること。そして今こそセキュリティエージェントを構築してAIの開発プロセスに組み込む好機であると指摘しています。

WindowsのMCP採用を発表したマイクロソフトも同じ認識のようで、マイクロソフトのエンタープライズとOSセキュリティ部門のVPであるデヴィッド・ウェストンは、MCPがもたらす以下の7つの新たな脅威ベクトルを認定しています。

1. UIやドキュメントに埋め込まれた悪意のあるコンテンツがエージェントの指示を上書きし、データ流出やマルウェアのインストールなど意図しないアクションを引き起こすクロスプロンプト・インジェクション（XPIA）
2. 一貫した認証基準がない（OAuthはオプションで、アドホックなアプローチばかり）
3. 未審査だったり低品質のMCPサーバーが危険な機能を公開したり、特権の昇格に使用されたりするツールの汚染
4. 封じ込めが欠如しており、侵害されたエージェントがユーザーセッションやシステム全体に影響を及ぼしかねない
5. 多くのサーバは最低限のセキュリティレビューしかやらずにスピード重視で開発されるため、脆弱性のリスクが高まる
6. MCPサーバーの公開レジストリがマルウェアや悪用の媒介となるMCPサプライチェーンのリスク
7. MCPサーバーの入力検証が不適切のため、任意のコマンドを実行されるコマンド・インジェクション

マイクロソフトは上記の問題への対応として、プロキシを介した通信、中央集権的なサーバーレジストリを提案しており、MCPという規格のシンプルさの維持やマイクロソフトによるプロトコルの囲い込みの観点で一抹の不安も感じます。またこの不安は、そもそものマイクロソフトの発表に含まれる「司書のいない図書館」といった表現にも感じることだったりします。

マイクロソフトのサティア・ナデラCEOが言う、我々は新たなプラットフォーム・シフトの中間段階におり、その先にエージェント型のウェブ（Agentic Web）があるというのは、おそらくその通りなのでしょう。しかし、「司書のいない図書館」のような今のウェブが、NLWeb（自然言語ウェブ）により、サイトの根本的な作り直しなしで「司書のいる図書館」のようなウェブになるというのには、WindowsプラットフォームでのMCPの囲い込みを伴うのではと、ワタシは少し懐疑的だったりします。

ともあれ、ウェブがこれから本格的にAIじかけになるのは間違いないでしょう。

しかし、それはかつてのWeb 2.0のAI時代における復活、にはならないとワタシは考えます。既に「オープンなウェブ」は、かつてのようなウェブでは急速になくなりつつあるからです。

これについてはワタシも「暗い森になるウェブ」という言葉で表現したことがありますが、安価で高速に無限に近い量のコンテンツを生成できる生成AIが、オープンなウェブに情報のゴミの海をもたらす一方で、GoogleがAI Mode（AI検索）に一層注力することで、「Googleからウェブサイトへのトラフィックがゼロになる日」が現実のものとなり、AI企業にデータを食わせるだけの現状に意味を見出せなくなり、価値ある情報の多くがペイウォールの向こう側に移っている現状があります。エージェント型ウェブやら、Web 4.0やらが実現しようにも、そのとき「オープンなウェブ」には、豊かなコンテンツはもはや残っていないかもしれません。

このウェブへの根本的な不安は、MCPに競合も諸手を挙げて賛同するのは、それがOpenAPIよりはるかに仕様が小さいからに過ぎない、あるいは、MCPはGraphQLと同じハイプの兆候があり、既に死亡フラグが立っている、といったMCPへの懐疑論よりもワタシにはずっと深刻に思えるのです。