何が起きたか
Googleの Chrome 開発者チームは2026年6月9日に「WebMCPのエージェントセキュリティの考慮事項」を公開し、ブラウザベースのAIエージェントに対する2つの主要な攻撃ベクトルを指摘した:(1)悪意あるマニフェスト — エージェントをハイジャックするよう設計された名前、パラメータ、または説明に隠された指示を含むツール定義、および(2)汚染された出力 — 信頼されたツールが注入された指示を含むサードパーティコンテンツを返す。ガイダンスは、決定論的なガードレール(トークン制限、untrustedContentHint 確認、クロスオリジン制限、状態変更アクションのユーザー確認)と確率論的なガードレール(デリミタまたは Base64 エンコーディングによるスポットライト、プロンプトインジェクション分類器、意図の整合性とデータ最小化のためのクリティックモデル)に分割された多層防御フレームワークを提供する。WebMCPツールセキュリティに関する補完ページでは、オリジンスコープのツール公開のための具体的な文字予算の推奨事項とAPIパターンを提供する。
なぜ重要か
WebMCPはChrome 149でオリジントライアル中であり、安定版に移行する予定である。このセキュリティが導入する脅威表面 — ツールメタデータを介してハイジャックされる可能性のある認証されたブラウザセッションエージェント — は新しく、既存のプロンプトインジェクション防御ではカバーされていない。このガイダンスは、ブラウザエージェント固有の動的なツール表面リスクに特に対応する唯一の公開されたプライマリソースフレームワークであり、WebMCP対応製品を構築または展開する際に開発者が直ちに採用すべき実践的な実装ベースラインを表している。
必要な対応
GoogleのWebMCPセキュリティガイダンスを、WebMCPを使用するブラウザ組み込みエージェントまたはChrome拡張機能を構築しているチームに配布する。4つの決定論的なガードレール(トークン制限、untrustedContentHint、クロスオリジン制限、状態変更確認)を、WebMCPベースのエージェントが本番環境に展開される前の最小デプロイメントチェックリストとして義務付ける。