何が起きたか
Google の Chrome 開発者チームは 2026 年 6 月 9 日に「WebMCP の Agent セキュリティに関する考慮事項」を公開し、ブラウザベースの AI エージェントに対する 2 つの主要な攻撃ベクトルを指摘しました:(1) 悪意のあるマニフェスト — エージェントをハイジャックするために、名前、パラメーター、または説明に隠された指示が含まれるツール定義、および (2) 汚染された出力 — 信頼できるツールが、注入された指示を含む第三者コンテンツを返す場合。このガイダンスは、決定論的ガードレール(トークン制限、untrustedContentHint の確認、クロスオリジン制限、状態変更アクションのユーザー確認)と確率論的ガードレール(デリミタまたは Base64 エンコーディングによるスポットライト、プロンプト インジェクション分類器、意図の整合性とデータ最小化のためのクリティックモデル)に分けられた、多層防御フレームワークを提供しています。WebMCP ツール セキュリティに関する付随ページでは、オリジンスコープ付きツール公開のための具体的な文字バジェット推奨事項と API パターンを提供しています。
なぜ重要か
WebMCP は現在 Chrome 149 のオリジン トライアル中であり、安定版への移行予定です。これが導入するセキュリティ脅威面 — ツールメタデータを経由してハイジャックされる可能性がある認証済みブラウザセッション エージェント — は新しく、既存のプロンプト インジェクション防御ではカバーされていません。このガイダンスは、ブラウザ エージェントに固有の動的ツール表面リスクに特に対応する、唯一の公開されたプライマリソース フレームワークであり、WebMCP 対応製品を構築またはデプロイする際に開発者が直ちに採用すべき実用的な実装ベースラインを提供しています。
必要な対応
WebMCP を使用するブラウザ組み込みエージェントまたは Chrome 拡張機能を構築しているチームに Google の WebMCP セキュリティガイダンスを配布してください。4 つの決定論的ガードレール(トークン制限、untrustedContentHint、クロスオリジン制限、状態変更確認)を、WebMCP ベースのエージェントが本番環境に配信される前の最小デプロイチェックリストとして必須化してください。