「MCPって結局Anthropicのものでしょ?うちのプロダクトに組み込んで大丈夫なの?」
2025年後半、AIエージェント開発の現場でこの質問が急増した。Model Context Protocol(MCP)はAIエージェントとツールを接続する事実上の標準プロトコルになっていたが、一企業が管理する技術に依存するリスクを懸念する声は根強かった。
その答えが、2025年12月9日に出た。Anthropic、Block、OpenAIの3社が共同で設立したAgentic AI Foundation(AAIF)だ。Linux Foundation傘下の中立組織として、MCPを含むエージェントAIの基盤技術を業界全体でガバナンスする。2026年2月時点で参加企業は146社に到達し、AWS、Google、Microsoft、JPMorgan Chaseといった巨大企業が名を連ねる。
この記事では、AAIFとは何か、なぜ今このタイミングで設立されたのか、開発者として知っておくべきことをQ&A形式で整理する。
そもそもAgentic AI Foundation(AAIF)とは何か
AAIFは、Linux Foundation傘下に設立されたオープンソース財団だ。目的はシンプルで、エージェントAIの基盤技術をオープンかつ中立にガバナンスすることにある。
具体的には、以下の3つのプロジェクトを初期コントリビューションとして受け入れている。
| プロジェクト | 提供元 | 役割 | 採用規模 |
|---|---|---|---|
| Model Context Protocol(MCP) | Anthropic | AIモデルとツール・データの接続標準 | 9,700万インストール、10,000+サーバー |
| goose | Block | ローカルファーストAIエージェントフレームワーク | MCPベースの拡張可能ツール統合 |
| AGENTS.md | OpenAI | AIコーディングエージェント用プロジェクト固有ガイド規約 | 60,000+オープンソースプロジェクトが採用 |
ガバナンス構造はLinux Foundationの標準モデルに従い、ビジネス側のGoverning Boardと技術側のTechnical Steering Committee(TSC)が分離されている。2026年2月にはAWSのDavid Nalleyが理事長に就任した。
なぜ今、AAIFが必要だったのか
理由は3つある。
1. ベンダーロックインへの懸念
MCPは2024年11月にAnthropicが公開し、わずか1年で業界標準に成長した。Claude、Cursor、VS Code、ChatGPT、Gemini、GitHub Copilotが次々と対応。だが「Anthropicが仕様を一方的に変えたらどうなるのか」という懸念は常につきまとった。
Linux Foundationへの寄贈は、その懸念を構造的に解消する。MCPの仕様変更はTSCの合議で決まり、特定企業が独占的にコントロールすることはなくなった。
2. エージェントAIのフラグメンテーション
2025年後半、MCP以外にもA2Aプロトコル(Google)、ACP(OpenAI)、UCP(Uber)など複数のプロトコルが乱立し始めた。放置すれば、エージェント間の相互運用性が失われ、開発者はプロトコルごとに別々の実装を強いられる。AAIFは、少なくとも主要プレイヤーが「共通基盤はここで議論する」という合意点を作った。
3. セキュリティの深刻化
MCPの急速な普及は、セキュリティ上の問題も浮き彫りにした。2026年1〜2月だけで30件以上のCVEがMCP関連で報告されている。個別企業では対応しきれない規模の問題を、業界横断で取り組む必要があった。
146社が参加する理由 — メンバー構成を読み解く
AAIFのメンバー構成は、この財団が「AIベンダーだけの内輪の話」ではないことを示している。
Platinumメンバー(8社)
AWS、Anthropic、Block、Bloomberg、Cloudflare、Google、Microsoft、OpenAI。AI基盤を提供する側のトップ企業が揃い踏みだ。注目すべきは、普段は競合関係にあるAnthropicとOpenAIが同じ財団に名を連ねている点。共通インフラの標準化では協調するという姿勢の表れだろう。
Goldメンバーの広がり
Cisco、Datadog、Docker、IBM、JetBrains、Okta、Oracle、Salesforce、SAP、Shopify、Snowflakeに加え、2026年2月にはJPMorgan Chase、American Express、Hitachi、Huawei、ServiceNow、UiPathなどが参加。金融、製造、SaaS、セキュリティと幅広い。
要するに、AIエージェントを「作る側」だけでなく「使う側」の大企業も本気で標準化に参加している。これはAAIFの方向性を決定する上で大きい。エンタープライズの実務要件がプロトコル設計にフィードバックされることを意味するからだ。
MCPの現在地 — 9,700万インストールの裏側
MCPの成長スピードは異常だ。2024年11月のリリースから約16ヶ月で9,700万インストールを突破した。開発者インフラのプロトコルとしては、最初の5年で達成する規模を大幅に前倒ししている。
しかし、数字の裏には課題もある。
セキュリティの現実
セキュリティ研究企業Equixlyが公開した調査(2025年3月)では、テスト対象のMCPサーバー実装のうち22%にパストラバーサル脆弱性、43%にコマンドインジェクション脆弱性が見つかった。その後もCVE報告は増え続け、2026年1〜2月だけで30件以上が公開されている。
- Anthropic公式のGit MCPサーバーでさえ、任意パスへのリポジトリ作成やファイル上書きが可能なCVEが報告された(CVE-2025-68143〜68145、2026年1月公表)
特に深刻だったのはmcp-remoteパッケージの脆弱性(CVE-2025-6514、CVSS 9.6)だ。リモートMCPサーバーへの接続に広く使われていたこのパッケージに、任意コマンド実行の脆弱性が見つかった。
こうしたセキュリティ課題への組織的な対応も、AAIFに期待される重要な役割の一つだ。
開発者が今やるべきMCPセキュリティ対策
MCPサーバーを運用している開発者は、以下の基本対策を確認してほしい。
# MCP サーバーの入力バリデーション例(Python / FastMCP)
# 動作環境: Python 3.11+, fastmcp>=0.5.0
from fastmcp import FastMCP
from pathlib import Path
import re
mcp = FastMCP("secure-server")
ALLOWED_BASE = Path("/data/workspace").resolve()
@mcp.tool()
def read_file(filepath: str) -> str:
"""ファイル読み取り — パストラバーサル防止付き"""
# 1. パスを正規化して resolve
target = (ALLOWED_BASE / filepath).resolve()
# 2. ベースディレクトリ内に収まっているか検証
if not str(target).startswith(str(ALLOWED_BASE)):
raise ValueError(f"Access denied: path traversal detected")
# 3. ファイル拡張子のホワイトリスト
if target.suffix not in {".txt", ".md", ".json", ".csv"}:
raise ValueError(f"Access denied: unsupported file type {target.suffix}")
# 4. ファイルサイズ上限(10MB)
if target.stat().st_size > 10 * 1024 * 1024:
raise ValueError("File too large")
return target.read_text(encoding="utf-8")
# 注意: 本番環境で使用する前に、必ずテスト環境で動作確認してください。
ポイント:
resolve()でシンボリックリンクや..を解決してからベースパスとの比較を行う- 拡張子ホワイトリストで予期しないファイルアクセスを防止
- ファイルサイズ上限でDoS対策
- これだけで、報告されたMCP脆弱性の多くを防げる
よくある誤解を正す
誤解1:「AAIFに寄贈されたから、MCPの開発が遅くなる」
実際は逆だ。Anthropicは引き続きMCPの主要コントリビューターであり、開発速度は落ちていない。変わったのはガバナンスであって、開発のペースではない。Linux Foundation傘下のプロジェクト(Kubernetes、Node.jsなど)が企業寄贈後にむしろ開発が加速した事例は多い。
誤解2:「AAIFがあるから、A2AやACPは不要になる」
AAIFは現時点でMCP・goose・AGENTS.mdの3プロジェクトをホストしている。A2A(Google)やACP(OpenAI)は別の階層で機能するプロトコルだ。MCPは「エージェント↔ツール」の垂直接続、A2Aは「エージェント↔エージェント」の水平連携。役割が異なるので、共存する設計になっている。
AIエージェントのプロトコル構造についてより詳しく知りたい方は、A2Aプロトコルとは?MCPとの違いとマルチエージェント連携の新常識を参照してほしい。
誤解3:「個人開発者やスタートアップには関係ない」
むしろ逆。MCPがオープンガバナンスになったことで、特定企業の方針転換によって突然使えなくなるリスクが下がった。個人開発者がMCPサーバーを作って公開するエコシステムは、AAIFによって長期的に安定する。
開発者が今やるべき3つのこと
1. MCPサーバーのセキュリティ監査
自前でMCPサーバーを運用しているなら、入力バリデーション・認証・パス制限を今すぐ見直すこと。上記のコード例を参考に、最低限のパストラバーサル対策は入れよう。
2. AGENTS.mdの導入
自分のリポジトリにAGENTS.mdを追加しよう。Codex、Cursor、Devin、GitHub Copilotなど主要なAIコーディングエージェントが参照する。READMEの横に置くだけで、エージェントの挙動が格段に予測可能になる。
# AGENTS.md の基本構成例
## Project Overview
このプロジェクトはPython 3.11+のFastAPIアプリケーションです。
## Build & Test
- Install: `pip install -e ".[dev]"`
- Test: `pytest tests/ -v`
- Lint: `ruff check .`
## Coding Conventions
- 型ヒント必須(mypy strict mode)
- docstringはGoogle Style
- テストはpytest、モックはunittest.mock
## Security
- APIキーは環境変数経由(.envファイル参照)
- ユーザー入力は必ずPydanticでバリデーション
- SQLはSQLAlchemy ORM経由(生SQL禁止)
3. AAIFの動向をウォッチする
AAIFの公式サイト(aaif.io)とGitHubリポジトリをフォローしておくこと。MCPの仕様変更、セキュリティアドバイザリ、新プロジェクトの追加はここから発信される。エージェントAIを本番で使う開発者にとって、AAIFの動向は今後のインフラ選定に直結する。
まとめ
AAIFの設立は、エージェントAIが「実験フェーズ」から「本番インフラ」に移行したことを象徴する出来事だ。MCPが9,700万インストールを超え、AGENTS.mdが6万プロジェクトに採用された今、これらの技術はもはや一企業がコントロールすべき規模を超えている。
ただし、オープンガバナンスは万能薬ではない。セキュリティ課題は依然として深刻で、MCPサーバー実装の2割以上にパストラバーサル脆弱性、4割以上にコマンドインジェクション脆弱性が残るという現実は、標準化だけでは解決しない。開発者一人ひとりがセキュリティ意識を持って実装することが不可欠だ。
AIエージェントのセキュリティ対策については、DASFとは?AIエージェント35のリスクを定義した安全基盤も参考になるだろう。
参考・出典
- Linux Foundation Announces the Formation of the Agentic AI Foundation — Linux Foundation(参照日: 2026-03-31)
- OpenAI co-founds the Agentic AI Foundation under the Linux Foundation — OpenAI(参照日: 2026-03-31)
- Block, Anthropic, and OpenAI Launch the Agentic AI Foundation — Block(参照日: 2026-03-31)
- Agentic AI Foundation Welcomes 97 New Members — Linux Foundation(参照日: 2026-03-31)
- The Ultimate Guide to MCP Security Vulnerabilities — Aembit(参照日: 2026-03-31)
- MCP Security: The Protocol Nobody Secured Before Shipping — CloudTweaks(参照日: 2026-03-31)
AIエージェント導入や技術選定のご相談は、お問い合わせフォームからお気軽にどうぞ。
この記事はAIgent Lab編集部がお届けしました。
