[paper] Google A2A 프로토콜 개선을 위한 제안: 다중 에이전트 시스템에서 민감한 데이터 보호
Abstract
A2A, a protocol for AI agent communication, offers a robust foundation for secure AI agent communication. However, it has several critical issues in handling sensitive data, such as payment details, identification documents, and personal information. This paper reviews the existing protocol, identifies its limitations, and proposes specific enhancements to improve security, privacy, and trust. It includes a concrete example to illustrate the problem and solution, research-backed rationales, and implementation considerations, drawing on prior studies to strengthen the arguments and proposed solutions. This proposal includes seven enhancements: short-lived tokens, customer authentication (SCA),
granular scopes, explicit consent, direct data transfer, multi-transaction approval, and payment standard compliance.
The vacation booking example illustrates how these enhancements reduce risks and enhance user experience.
개요
AI 에이전트 통신 프로토콜인 A2A는 안전한 AI 에이전트 통신을 위한 강력한 기반을 제공합니다.
그러나 결제 정보, 신원 확인 문서, 개인 정보와 같은 민감한 데이터를 처리하는 데 있어 몇 가지 중요한 문제가 있습니다.
본 논문은 기존 프로토콜을 검토하고, 그 한계점을 파악하며, 보안, 개인정보 보호 및 신뢰를 향상시키기 위한 구체적인 개선 방안을 제시합니다. 문제와 해결책을 보여주는 구체적인 사례, 연구 기반 근거, 구현 고려 사항을 포함하며, 기존 연구를 바탕으로 주장과 제안된 해결책을 강화합니다. 이 제안에는 단기 토큰, 고객 인증(SCA), 세분화된 범위, 명시적 동의, 직접 데이터 전송, 다중 거래 승인, 결제 표준 준수의 7가지 개선 사항이 포함됩니다. 휴가 예약 사례는 이러한 개선 사항이 어떻게 위험을 줄이고 사용자 경험을 향상시키는지 보여줍니다.
1. Introduction
The rapid appearance of Agentic AI autonomous systems that plan, delegate, and collaborate without human intervention has created an urgent need for robust, standardized communication protocols [12]. Google’s A2A (Agent-to-Agent) protocol [46] establishes such a foundation by defining a declarative, identity aware framework for discovering, authenticating, and exchanging tasks among heterogeneous agents. A2A’s core mechanism as shown at Figure 1, the AgentCard, provides machine readable metadata that enables seamless interoperability across organizational and technical boundaries. Complementing A2A, the Model Context Protocol (MCP) standardizes the integration of large language models (LLMs) with external data sources and tools, allowing agents to leverage these models for real-time contextual understanding during task execution. This integration enhances agents’ capabilities in complex scenarios, supporting use cases ranging from payment orchestration to business automation [24]
However, as multi-agent ecosystems scale in complexity, they also open new attack surfaces.
Recent threat analyses of both A2A and the related MCP reveal sophisticated vectors such as shadowing (where malicious tool descriptions subvert genuine workflows), tool poisoning, and naming attacks that exploit implicit trust in discovery mechanisms [27, 40]. Furthermore, broad surveys of AI agents underscore systemic risks-ranging from prompt injection to cross-agent privilege escalation-that can lead to data exfiltration or unauthorized task execution [18, 31, 41]. Similarly, “enterprise-grade” analyses of MCP implementations demonstrate that without rigorous, zero-trust controls, attackers may exploit unsecured tool endpoints or manipulate context payloads to bypass security checks [35].
1. 서론
인간의 개입 없이 계획, 위임 및 협업하는 Agentic AI 자율 시스템의 급속한 등장으로 강력하고 표준화된 통신 프로토콜에 대한 필요성이 절실히 대두되었습니다.
Google의 A2A(Agent-to-Agent) 프로토콜은 이기종 에이전트 간의 작업을 검색, 인증 및 교환하기 위한 선언적이고 신원 인식적인 프레임워크를 정의함으로써 이러한 기반을 구축합니다.
Figure 1에 표시된 A2A의 핵심 메커니즘인 AgentCard는 조직 및 기술적 경계를 넘나드는 원활한 상호 운용성을 지원하는 기계 판독 가능 메타데이터를 제공합니다.
A2A를 보완하는 모델 컨텍스트 프로토콜(MCP)은 대규모 언어 모델(LLM)과 외부 데이터 소스 및 도구의 통합을 표준화하여 에이전트가 작업 실행 중 실시간 상황 이해를 위해 이러한 모델을 활용할 수 있도록 합니다. 이러한 통합은 복잡한 시나리오에서 에이전트의 역량을 향상시켜 결제 오케스트레이션부터 비즈니스 자동화에 이르기까지 다양한 사용 사례를 지원합니다.
그러나, 다중 에이전트 생태계의 복잡성이 증가함에 따라 새로운 공격 영역도 생겨납니다. A2A와 관련 MCP에 대한 최근 위협 분석 결과, 섀도잉(악성 도구 설명이 실제 워크플로를 훼손하는 경우), 도구 포이즈닝, 그리고 암묵적 신뢰 기반 검색 메커니즘을 악용하는 네이밍 공격과 같은 정교한 공격 벡터가 드러났습니다.
또한, AI 에이전트에 대한 광범위한 조사 결과는 즉각적인 인젝션부터 에이전트 간 권한 상승에 이르기까지 데이터 유출이나 무단 작업 실행으로 이어질 수 있는 시스템적 위험을 강조합니다. 마찬가지로, MCP 구현에 대한 "엔터프라이즈급" 분석은 엄격한 제로 트러스트 제어가 없을 경우 공격자가 보안되지 않은 도구 엔드포인트를 악용하거나 컨텍스트 페이로드를 조작하여 보안 검사를 우회할 수 있음을 보여줍니다.
*그림 설명
A2A 프로토콜의 주요 컴포넌트
A2A(Agent-to-Agent) 프로토콜은 이기종 AI 에이전트 간의 상호 운용성과 보안성을 보장하는
표준화된 통신 프레임워크입니다.
A2A Client
- 역할: 타 에이전트에게 작업(Task)을 위임하고, 결과(Artifact)를 수신하는 주체입니다.
- 주요 기능:
- 동적 디스커버리(Dynamic Discovery): AgentCard를 조회하여 적합한 에이전트를 탐색합니다.
- JSON-RPC 기반 요청: 표준화된 원격 프로시저 호출 방식으로 작업 요청을 전송합니다.
- 세션 관리 및 인증: 인증 토큰, 세션 상태, 메시지 보안 관리
AgentCard
- 역할: 각 에이전트의 정체성과 기능, 인터페이스 명세를 담은 JSON 기반 메타데이터(디지털 신분증)입니다.
- 주요 기능:
- 에이전트 식별 정보(이름, 버전, 제공자 등) 및 엔드포인트(a2aEndpointUrl) 제공
- 지원 기능, 입력/출력 포맷, 인증 요구사항, 보안 정책 기술
- 함수 카탈로그: 호출 가능한 API 및 파라미터 스키마 명세
- 표준 위치(/.well-known/agent.json)에 배포되어 자동화된 디스커버리 지원
A2A Server
- 역할: 외부로부터 작업 요청을 받아 실제 에이전트 혹은 하위 모듈에 라우팅, 처리, 응답을 담당하는 백엔드 인터페이스입니다.
- 주요 기능:
- HTTPS/JSON-RPC 엔드포인트 제공(보안 통신)
- 인증·인가 정책 enforcement 및 세션 관리
- 비동기 워크플로우, 장기 실행 작업 관리(상태 추적, 중간 결과 제공)
- 장애 복구, 네트워크 오류 처리, AgentCard 제공
Message
- 역할: 에이전트 간 교환되는 모든 데이터의 기본 단위로, 구조화된 메시지 포맷을 가집니다.
- 주요 기능:
- 역할(Role) 및 파트(Parts) 필드 포함: 메시지 목적(질문, 응답, 알림 등)과 실제 데이터(텍스트, 파일, 오디오 등)를 분리
- 멀티모달 지원: 메시지 내 다양한 타입의 데이터(텍스트, 이미지, 오디오 등) 포함 가능
- JSON-RPC 표준에 기반한 메시지 구조화
Task
- 역할: 에이전트 간 수행되는 작업의 기본 단위로, 전체 워크플로우의 상태와 결과물을 관리합니다.
- 주요 기능:
- 고유 식별자(id), 세션 정보(sessionId), 메타데이터 등 포함
- 상태 관리: submitted(제출됨), working(진행 중), completed(완료), input-required(입력 필요), failed(실패), canceled(취소) 등 명확한 상태 전이 지원
- 작업 이력(history), 산출물(artifacts), 오류 및 상태 메시지 관리
- 장기 실행 작업에 대한 실시간 상태 업데이트 및 피드백 제공
Part
- 역할: 메시지 내 실제 데이터의 논리적 단위로, 다양한 타입의 콘텐츠를 세분화하여 포함합니다.
- 주요 기능:
- TextPart, FilePart, DataPart 등으로 분류
- 각 파트는 명확한 타입과 포맷 명세를 가지며, 메시지 내 다중 파트 동시 지원
- 에이전트 간 세밀한 컨텐츠 협상(Content Negotiation) 및 UI/UX 적응 지원
Artifact
- 역할: Task 수행 결과로 생성되는 구조화된 산출물(결과 파일, 리포트 등)입니다.
- 주요 기능:
- 파일, 리포트 등 다양한 형태의 결과물 지원
- 표준화된 구조로 결과를 전달해 후속 처리 및 자동화 용이
- 작업의 완결성과 이력 추적에 활용
추가 기술적 특징
- 보안: JWT, RSA, OAuth2 등 다양한 인증·인가 방식 지원. 모든 통신은 암호화(HTTPS)로 보호되며, 역할 기반 접근 제어(RBAC)와 세분화된 권한 정책 적용
- 확장성: 비동기 메시징, 장기 작업, 멀티모달 데이터, UI/UX 협상 등 엔터프라이즈 환경에 적합한 확장성 제공
- 표준화: HTTP, SSE, JSON-RPC 등 검증된 오픈 표준 기반으로, 이기종 시스템 간 통합과 상호 운용성 극대화
Taken together, these findings highlight a gap between protocol design and real-world resilience:
A2A and MCP provide the plumbing for agent interoperability, but they do not yet enforce the fine-grained confidentiality,
integrity, and consent guarantees required for sensitive data exchange.
In this paper we review six critical weaknesses in the handling of personal information, such as payment credentials,
user identity and sensitive documents, are identified. Building on proactive threat models and industry best practices,
we propose seven concrete enhancements ranging from short-lived, client bound tokens to explicit user consent fields
and direct data transfer processes to harden A2A communications against the most urgent threats of the day.
This proposal includes a concrete example to illustrate the problem and solution, research-backed rationales,
and implementation considerations, drawing on previous studies to strengthen the arguments and proposed solutions.
이러한 연구 결과를 종합해 보면, 프로토콜 설계와 실제 복원력 간의 격차가 드러납니다:
A2A와 MCP는 에이전트 상호운용성을 위한 기반을 제공하지만, 민감한 데이터 교환에 필요한 세밀한 기밀성, 무결성 및 동의 보장을 아직 구현하지 못하고 있습니다. 본 논문에서는 결제 자격 증명, 사용자 신원, 민감한 문서 등 개인 정보 처리에 있어 여섯 가지 중요한 취약점을 검토합니다. 선제적 위협 모델과 업계 모범 사례를 바탕으로, 단기 클라이언트 기반 토큰부터 명시적 사용자 동의 필드, 직접 데이터 전송 프로세스에 이르기까지 7가지 구체적인 개선 방안을 제시하여 오늘날 가장 시급한 위협으로부터 A2A 통신을 강화합니다. 본 제안서는 문제와 해결책을 보여주는 구체적인 사례, 연구 기반 근거, 구현 고려 사항을 포함하며, 기존 연구를 바탕으로 주장과 제안된 해결책을 강화합니다.
2. Overview of the A2A Protocol
Google’s A2A (Agent-to-Agent) protocol [46] builds upon widely adopted web standards HTTP, HTTPS, JSON-RPC, and Server-Sent Events (SSE) to provide an extensible, interoperable framework for autonomous agent communication. Agents establish mutual authentication via OAuth 2.0 [25] flows and JSON Web Tokens (JWTs) [29], while RSA key pairs are used for signature validation and secure key exchange. Specifically, OAuth 2.0, an industry-standard authorization framework, enables agents to securely delegate access to each other’s resources without sharing credentials, using standardized flows like the authorization code grant. Meanwhile, JWTs, compact and cryptographically signed tokens, facilitate the secure transmission of authentication claims between agents, ensuring both integrity and verification of access rights during interactions. Role-based access control (RBAC) is natively supported through user- and agent-scoped JWT claims, and fine-grained permissions map directly onto task and message schemas to enforce the principle of least privilege. By default, A2A messages carry only minimal metadata (e.g., action identifiers, input/output schemas, and consent fields), reducing sensitive data exposure when agents negotiate capabilities or invoke third-party services such as payment gateways or AI inference backends.
A2A’s flexibility underpins diverse real-world scenarios:
- Service Booking: Agents coordinate multi-step operations (e.g., flight, hotel, transportation) by passing structured requests containing specific payment tokens and availability parameters.
- Enterprise Task Management: Supply-chain or project-management agents exchange only the data needed to complete discrete tasks, minimizing shared context.
- Cross-Provider Collaboration: Agents from different platforms (e.g., Google, PayPal, Cohere) interoperate securely via standardized AgentCard discovery and encrypted channels.
Despite these strengths, A2A inherits an inherent trade-off between security and eff iciency: tightening authorization or adding cryptographic checks invariably increases latency and complexity, whereas relaxing controls risks unauthorized data flows [39]. Crucially, A2A currently lacks specialized safeguards for handling particularly sensitive payloads-such as payment credentials or identity documents-beyond generic token expiry. A similar concern is raised in “AI Agents Meet Blockchain” observes, decentralized agent ecosystems without centralized guardrails require robust consent, auditing, and privacy-preserving delegation mechanisms to maintain trust [31]. Without such controls, adversarial agents might exploit overly broad scopes or unmonitored message channels to exfiltrate or tamper with confidential information. The following sections will analyze these gaps in more detail and propose targeted enhancements to ensure that A2A can securely mediate sensitive data exchanges at scale.
2. A2A 프로토콜 개요
Google의 A2A(에이전트 간) 프로토콜은 널리 채택된 웹 표준인 HTTP, HTTPS, JSON-RPC 및 SSE(Server-Sent Events)를 기반으로 자율 에이전트 통신을 위한 확장 가능하고 상호 운용 가능한 프레임워크를 제공합니다.
에이전트는 OAuth 2.0 흐름과 JSON 웹 토큰(JWT)을 통해 상호 인증을 설정하고, RSA 키 쌍은 서명 검증 및 안전한 키 교환에 사용됩니다. 특히, 업계 표준 권한 부여 프레임워크인 OAuth 2.0은 인증 코드 부여와 같은 표준화된 흐름을 사용하여 에이전트가 자격 증명을 공유하지 않고도 서로의 리소스에 대한 액세스를 안전하게 위임할 수 있도록 합니다.
한편, 압축되고 암호화된 토큰인 JWT는 에이전트 간 인증 클레임의 안전한 전송을 용이하게 하여 상호 작용 중에 액세스 권한의 무결성과 검증을 모두 보장합니다.
역할 기반 접근 제어(RBAC)는 사용자 및 에이전트 범위 JWT 클레임을 통해 기본적으로 지원되며, 세분화된 권한은 작업 및 메시지 스키마에 직접 매핑되어 최소 권한 원칙을 적용합니다. 기본적으로 A2A 메시지는 최소한의 메타데이터(예: 작업 식별자, 입출력 스키마, 동의 필드)만 전달하므로 에이전트가 기능을 협상하거나 결제 게이트웨이 또는 AI 추론 백엔드와 같은 타사 서비스를 호출할 때 민감한 데이터 노출을 줄일 수 있습니다.
A2A의 유연성은 다양한 실제 시나리오를 지원합니다:
- 서비스 예약: 상담원은 특정 결제 토큰 및 이용 가능 여부 매개변수가 포함된 구조화된 요청을 전달하여 여러 단계의 작업(예: 항공편, 호텔, 교통수단)을 조정합니다.
- 엔터프라이즈 작업 관리: 공급망 또는 프로젝트 관리 상담원은 개별 작업을 완료하는 데 필요한 데이터만 교환하여 공유 컨텍스트를 최소화합니다.
- 공급업체 간 협업: Google, PayPal, Cohere 등 다양한 플랫폼의 상담원은 표준화된 AgentCard 검색 및 암호화된 채널을 통해 안전하게 상호 운용합니다.
이러한 장점에도 불구하고 A2A는 보안과 효율성 간의 본질적인 상충 관계를 가지고 있습니다. 권한 부여를 강화하거나 암호화 검사를 추가하면 지연 시간과 복잡성이 불가피하게 증가하는 반면, 통제를 완화하면 무단 데이터 흐름의 위험이 있습니다. 중요한 것은 A2A가 현재 일반 토큰 만료일 외에도 결제 자격 증명이나 신분증과 같은 특히 민감한 페이로드를 처리하기 위한 전문적인 안전 장치가 부족하다는 점입니다. "AI 에이전트와 블록체인의 만남"에서도 유사한 우려가 제기되고 있습니다. 이 보고서는 중앙 집중식 가드레일이 없는 분산 에이전트 생태계는 신뢰를 유지하기 위해 강력한 동의, 감사 및 개인 정보 보호 위임 메커니즘을 필요로 한다고 지적합니다. 이러한 통제가 없다면 적대적인 에이전트는 지나치게 광범위한 범위나 모니터링되지 않는 메시지 채널을 악용하여 기밀 정보를 유출하거나 변조할 수 있습니다. 다음 섹션에서는 이러한 격차를 더 자세히 분석하고 A2A가 대규모로 민감한 데이터 교환을 안전하게 중재할 수 있도록 하는 맞춤형 개선 방안을 제시합니다.
3. Identification of Issues in Handling Sensitive Data
민감 데이터 처리 문제 파악
Despite its benefits, A2A has some critical problems in the handling of sensitive data such as payment details, ID documents and personal data. The following six issues are based on real world experience, peer reviewed literature and documented CVE threats.
A2A는 여러 장점에도 불구하고 결제 정보, 신분증, 개인 정보와 같은 민감 데이터 처리에 있어 몇 가지 심각한 문제점을 안고 있습니다. 다음 여섯 가지 문제점은 실제 경험, 동료 검토 문헌, 그리고 문서화된 CVE 위협을 기반으로 합니다.
3.1 Absence of limitations on token lifetime
토큰 수명에 대한 제한 없음
Although A2A is based on OAuth 2.0, it does not enforce strict expiration durations (e.g. seconds or minutes) for tokens used in sensitive transactions. Without such restrictions, leaked tokens may remain valid for hours or even days, increasing the risk of unauthorized reuse. revocation. As demonstrated in ”AgNet” [23], long-lived tokens are a systemic weakness in distributed architectures, allowing for multiple accesses in the event of a compromise. For example, CVE-2025-1198 shows that revoked GitLab personal access tokens are still accepted by long-term ActiveConnection [10]. Another case described by CVE-2025-1801, where a low-privileged user obtained a JWT issued to a high-privileged user on account [11].
A2A는 OAuth 2.0을 기반으로 하지만 민감한 거래에 사용되는 토큰에 대해 엄격한 만료 기간(예: 초 또는 분)을 적용하지 않습니다. 이러한 제한이 없으면 유출된 토큰은 몇 시간 또는 며칠 동안 유효할 수 있으므로 무단 재사용 위험이 높아집니다. 해지. "AgNet"에서 입증된 바와 같이, 장기 토큰은 분산 아키텍처의 시스템적 취약점으로, 침해 발생 시 여러 번의 접근을 허용합니다.
예를 들어, CVE-2025-1198은 해지된 GitLab 개인 액세스 토큰이 장기 ActiveConnection에서 여전히 허용됨을 보여줍니다. CVE-2025-1801에서 설명된 또 다른 사례는 권한이 낮은 사용자가 권한이 높은 사용자에게 발급된 JWT를 계정에서 획득한 것입니다.
※CVE-2025-1198 https://nvd.nist.gov/vuln/detail/cve-2025-1198
※CVE-2025-1801 https://nvd.nist.gov/vuln/detail/CVE-2025-1801
※ OAuth 2.0란?
|
OAuth 2.0(Open Authorization 2.0, OAuth2)은 인증 및 권한 부여를 위한 개방형 표준 프로토콜입니다. 이 프로토콜은 사용자의 아이디와 비밀번호를 직접 제공하지 않고도, 제3자 애플리케이션(클라이언트)이 사용자를 대신해 보호된 리소스(예: 소셜 미디어 정보, 이메일 등)에 접근할 수 있도록 권한을 부여하는 방식을 제공합니다.
핵심 역할OAuth 2.0은 네 가지 주요 역할로 구성됩니다:
동작 원리 및 흐름OAuth 2.0의 대표적인 인증 과정(Authorization Code Grant)은 다음과 같습니다:
주요 개념
OAuth 2.0의 특징과 장점
대표적인 활용 예시
|
3.2 Lack of Strong Customer Authentication (SCA)
강력한 고객 인증(SCA)
The A2A protocol does not have built-in requirements for strong authentication,
such as two-factor or biometric authentication, for high-value transactions such as payments or identity switching.
Without these safeguards, adversaries may perform unauthorized acts on behalf of the user [22].
The Medibank breach of 2022, where attackers gained access to personal data of 9.7 million people
through the lack of multifactor authentication, illustrates the tangible consequences of [26].
CWE-306 [9] also classifies systems that do not authenticate users before performing critical functions as inherently vulnerable.
In addition, the AI Agents Meet the Blockchain project (aclm) [31] proposes Zero Knowledge Proof (ZKP) techniques for secure authentication in decentralized environments, but the A2A does not include such a mechanism.
A2A 프로토콜에는 결제 또는 신원 전환과 같은 고가 거래에 대한 강력한 인증(예: 2단계 인증 또는 생체 인증)에 대한 기본 요구 사항이 없습니다. 이러한 보호 장치가 없으면 공격자가 사용자를 대신하여 무단 행위를 수행할 수 있습니다[22].
2022년 Medibank 침해 사건에서 공격자는 다중 인증 부족을 통해 970만 명의 개인 데이터에 접근했으며, 이는 [26]의 실질적인 결과를 보여줍니다.
CWE-306[9]은 또한 중요한 기능을 수행하기 전에 사용자를 인증하지 않는 시스템을 본질적으로 취약한 것으로 분류합니다.
또한, AI Agents Meet the Blockchain 프로젝트(aclm)[31]는 분산 환경에서 안전한 인증을 위한 영지식증명(ZKP) 기술을 제안하지만, A2A에는 이러한 메커니즘이 포함되어 있지 않습니다.
※CWE-306: Missing Authentication for Critical Function https://cwe.mitre.org/data/definitions/306.html
3.3 Insufficiently Granular Token Scopes
불충분하게 세분화된 토큰 범위
Tokens in A2A do not define precise ranges for sensitive transactions, which introduces the risk of privilege escalation. For example, a token issued to initiate a payment may inadvertently grant access to unrelated data. The study on the multi-agent security tax [39] argues that coarse-grained authorization models increase the probability of data exposure. This concern is highlighted by vulnerability CVE-2023-4456 [3] on LokiStack. Similarly, CWE-1220 [7] documents the lack of granularity in access control policies leading to infringements of the principle of the minimum privilege.
A2A의 토큰은 민감한 거래에 대한 정확한 범위를 정의하지 않아 권한 상승 위험이 있습니다. 예를 들어, 결제를 시작하기 위해 발급된 토큰이 의도치 않게 관련 없는 데이터에 대한 액세스 권한을 부여할 수 있습니다. 다중 에이전트 보안 세금에 대한 연구[39]는 세분화된 권한 부여 모델이 데이터 노출 가능성을 높인다고 주장합니다. 이러한 우려는 LokiStack의 취약점 CVE-2023-4456[3]에서 두드러집니다. 마찬가지로 CWE-1220[7]은 액세스 제어 정책의 세분화 부족으로 인해 최소 권한 원칙 위반이 발생함을 설명합니다.
3.4 Lack of Transparency and User Consent
투명성 및 사용자 동의 부족
A2A lacks mechanisms that notify users about, or request consent for, the sharing of sensitive data with agents. “AI Agents Meet Blockchain” [31] emphasizes the importance of user transparency in decentralized agent-based environments. CVE-2024-44131 illustrates the consequences of bypassing such protections:
malicious applications were able to circumvent Apple’s Transparency, Consent, and Control (TCC) framework to access sensitive data without user approval [4]. CWE-200 [8] codifies this as unauthorized exposure of sensitive information.
A2A는 에이전트와 민감한 데이터를 공유하는 것에 대해 사용자에게 알리거나 동의를 요청하는 메커니즘이 부족합니다. "AI 에이전트와 블록체인의 만남"[31]은 분산형 에이전트 기반 환경에서 사용자 투명성의 중요성을 강조합니다. CVE-2024-44131은 이러한 보호 기능을 우회할 경우 발생할 수 있는 결과를 보여줍니다. 악성 애플리케이션은 Apple의 투명성, 동의 및 제어(TCC) 프레임워크를 우회하여 사용자 승인 없이 민감한 데이터에 액세스할 수 있었습니다[4]. CWE-200[8]은 이를 민감한 정보의 무단 노출로 규정합니다.
※ CVE-2024-44131 https://nvd.nist.gov/vuln/detail/CVE-2024-44131
3.5 Potential Excessive Exposure of Data to Agents
에이전트에 대한 과도한 데이터 노출 가능성
Agents in A2A ecosystems can access significantly more data than is necessary. “AI Agents Under Threat” [18] articulates how agent2agent data propagation can lead to unintended sharing of sensitive information. CVE-2023-41745 [2] and CVE-2022-45449 [1] document such exposures due to excessive privilege allocation or excessive data collection. Figure 2: Vacation Booking Process Using An AI Agent
A2A 생태계의 에이전트는 필요 이상으로 많은 데이터에 접근할 수 있습니다. "AI 에이전트 위협에 직면하다"(AI Agents Under Threat)[18]는 에이전트 간 데이터 전파가 어떻게 민감한 정보의 의도치 않은 공유로 이어질 수 있는지 설명합니다. CVE-2023-41745[2] 및 CVE-2022-45449[1]는 과도한 권한 할당 또는 과도한 데이터 수집으로 인한 이러한 노출을 설명합니다.
그림 2: AI 에이전트를 사용한 휴가 예약 프로세스
※ CVE-2023-41745 https://nvd.nist.gov/vuln/detail/cve-2023-41745
※ CVE-2022-45449 https://nvd.nist.gov/vuln/detail/cve-2022-45449
3.6 Risk of Data Disclosure to the Agent Itself
에이전트 자체에 대한 데이터 공개 위험
Moreover, the problem is not only that information is being disclosed to malicious actors, but that the very act of disclosing information to the agent itself is problematic, and that even well-meaning agents cannot be presumed to be safe from interference. Prompt injection attacks illustrate how malicious inputs can harvest classified information. “AI Agents Under Threat” [18] warns of this threat. CVE-2024-7042 [6] and CVE-202445989 [5] demonstrate how AI agents were exploited to perform unauthorized actions and exfiltrate sensitive data.
게다가, 문제는 정보가 악의적인 행위자에게 공개된다는 것뿐만 아니라, 에이전트 자체에 정보를 공개하는 행위 자체가 문제가 되며, 선의의 에이전트조차도 간섭으로부터 안전하다고 가정할 수 없다는 것입니다. 즉각적인 주입 공격은 악의적인 입력이 어떻게 기밀 정보를 수집할 수 있는지를 보여줍니다. "AI 에이전트 위협에 직면하다" [18]는 이러한 위협에 대해 경고합니다. CVE-2024-7042 [6] 및 CVE-202445989 [5]는 AI 에이전트가 어떻게 악용되어 무단 작업을 수행하고 민감한 데이터를 유출했는지 보여줍니다.
※ CVE-2024-7042 https://nvd.nist.gov/vuln/detail/cve-2024-7042
※ CVE-2024-45989 https://nvd.nist.gov/vuln/detail/CVE-2024-45989
3.7 Concrete Example: Vacation Booking
구체적 사례: 휴가 예약
Below is a usage scenario for the protocol without the proposed improvements. As ref lected in Figure 2
아래는 제안된 개선 사항이 적용되지 않은 프로토콜의 사용 시나리오입니다. 그림 2에 반영된 바와 같습니다.
- The user requests an AI agent to book a vacation, including flights, hotel, and taxi, using his calendar, personal information and payment details.
사용자는 AI 에이전트에게 자신의 캘린더, 개인 정보 및 결제 정보를 사용하여 항공편, 호텔, 택시 등의 휴가 예약을
요청합니다. 에이전트는 시간 또는 일 단위로 유효한 결제 토큰을 예약 에이전트와 공유합니다.
- The agent shares a payment token with the booking agent, valid for hours or days.
에이전트는 시간 또는 일 단위로 유효한 결제 토큰을 예약 에이전트와 공유합니다.
- The agent accesses the user’s full calendar, including irrelevant personal details (e.g., medical appointments), and payment details.
에이전트는 관련 없는 개인 정보(예: 진료 예약) 및 결제 정보를 포함하여 사용자의 전체 캘린더에 접근합니다.
Concern: The token could be used for additional payments, accidentally or intentionally, and calendar access exposes private information without explicit consent.
우려 사항: 토큰은 실수로 또는 의도적으로 추가 결제에 사용될 수 있으며, 캘린더에 접근하면 명시적인 동의 없이 개인 정보가 노출될 수 있습니다.
4. Proposed Enhancements to the Protocol
프로토콜 개선 제안
To address the identified issues, we propose seven enhancements to the A2A protocol, integrating research-backed solutions and aligning with advanced standards:
확인된 문제를 해결하기 위해, 연구 기반 솔루션을 통합하고 고급 표준에 부합하는 A2A 프로토콜의 7가지 개선 사항을 제안합니다.
1. Short-Lived Tokens for Sensitive Operations
민감한 작업을 위한 단기 토큰
Description: Mandate that tokens for sensitive operations, such as payments or ID transfers, have very short lifetimes (30 seconds to 5 minutes). Tokens expire after a single use or predefined time, requiring re-authentication for further actions.
설명: 결제 또는 ID 전송과 같은 민감한 작업을 위한 토큰의 유효 기간이 매우 짧도록 요구합니다(30초~5분). 토큰은 단일 사용 또는 사전 정의된 시간 후에 만료되며, 추가 작업을 위해서는 재인증이 필요합니다.
Rationale: As demonstrated in “AgNet” [23], short-lived tokens reduce the risk of unauthorized or repeated access. In our case, a payment token expiring quickly limits the window for leaks. “AI Agents Meet Blockchain” [31] supports this by noting that encryption and temporary records in blockchain systems enhance privacy, and our proposed tokens align with this principle.
근거: "AgNet"[23]에서 입증된 바와 같이, 단기 토큰은 무단 접근 또는 반복 접근 위험을 줄여줍니다. 본 연구에서는 결제 토큰의 빠른 만료로 인해 유출 가능성이 줄어듭니다. "AI Agents Meet Blockchain"[31]은 블록체인 시스템의 암호화 및 임시 기록이 개인 정보 보호에 도움이 된다는 점을 지적하며, 본 연구에서 제안하는 토큰이 이러한 원칙에 부합한다고 주장합니다.
2. Strong Customer Authentication (SCA) for Sensitive Transactions
민감한 거래를 위한 강력한 고객 인증(SCA)
Description: Implement a mechanism requiring SCA, such as SMS codes, biometric verification, or bank login, for every sensitive transaction. This can be integrated into the task flow, ensuring user authentication before actions.
설명: 모든 민감한 거래에 대해 SMS 코드, 생체 인증, 은행 로그인 등 SCA를 요구하는 메커니즘을 구현합니다. 이는 작업 흐름에 통합되어 작업 전에 사용자 인증을 보장합니다.
Rationale: “AI Agents Meet Blockchain” [31] highlights that ZKPs enable secure authentication without exposing data, and in our case, SCA based on ZKPs or similar techniques ensures only verified users authorize sensitive actions. This aligns with PSD2 requirements for payment transactions, ensuring regulatory compliance.
근거: "AI 에이전트와 블록체인의 만남"[31]은 ZKP(영지식 증명)가 데이터 노출 없이 안전한 인증을 가능하게 하며, 본 연구에서는 ZKP 또는 유사 기술을 기반으로 하는 SCA를 통해 검증된 사용자만 민감한 작업을 승인하도록 보장합니다. 이는 결제 거래에 대한 PSD2 요구 사항을 준수하여 규정 준수를 보장합니다.
3. More Granular Token Scopes
더욱 세분화된 토큰 범위
Description: Extend OAuth 2.0 scopes to define precise permissions, such as “payment of $1000 to Hotel X on Date Y” or “access to calendar availability only.” This prevents token use for unauthorized actions.
설명: OAuth 2.0 범위를 확장하여 "Y일자에 호텔 X에 1,000달러 지불" 또는 "일정 이용 가능 여부에만 접근"과 같이 정확한 권한을 정의합니다. 이를 통해 무단 작업에 토큰이 사용되는 것을 방지할 수 있습니다.
Rationale: “Multi-Agent Security Tax” [39] notes that high granularity in permissions reduces unnecessary data exposure. In our case, precise scopes ensure agents access only required data, aligning with GDPR’s Minimum Necessary Disclosure principle.
근거: "다중 에이전트 보안 세금"[39]은 권한의 세분성을 높이면 불필요한 데이터 노출을 줄일 수 있다고 지적합니다. 본 사례에서는 정확한 범위를 통해 에이전트가 필요한 데이터에만 접근하도록 보장하며, 이는 GDPR의 최소 필요 정보 공개 원칙에 부합합니다.
4. Explicit User Consent Mechanism
명시적 사용자 동의 메커니즘
Description: Add a “consent” field to message or task structures, requiring agents to obtain explicit user approval before sharing sensitive data, specifying data type, purpose, and recipient.
설명: 메시지 또는 작업 구조에 "동의" 필드를 추가하여 에이전트가 민감한 데이터를 공유하기 전에 데이터 유형, 목적 및 수신자를 명시하여 명시적인 사용자 승인을 받도록 요구합니다.
Rationale: “AI Agents Meet Blockchain” [31] emphasizes transparency as critical for trust in decentralized systems. In our case, explicit consent enhances user trust and ensures GDPR compliance, reducing the risk of unapproved data sharing.
근거: "AI 에이전트와 블록체인의 만남"[31]은 분산형 시스템의 신뢰에 투명성이 매우 중요함을 강조합니다. 본 사례에서 명시적 동의는 사용자 신뢰를 강화하고 GDPR 준수를 보장하며, 승인되지 않은 데이터 공유 위험을 줄입니다.
5. Direct Data Transfer
직접 데이터 전송
Description: Enable direct transfer of sensitive data between the user and service provider, bypassing intermediary agents. For example, in payments, the agent redirects the user to the bank for direct transfer, with user verification.
설명: 중개 에이전트를 거치지 않고 사용자와 서비스 제공자 간에 민감한 데이터를 직접 전송할 수 있도록 합니다. 예를 들어, 결제 시 에이전트는 사용자를 은행으로 리디렉션하여 직접 전송하고 사용자 인증을 거칩니다.
Rationale: Inspired by “Multi-Agent Security Tax” [39]’s “active vaccines” to prevent malicious data spread, direct transfers avoid exposing data to intermediaries. “AI Agents Under Threat” [18] supports this by emphasizing the need to limit data propagation, and in our case, direct transfers prevent the exposure of sensitive data to the agent and reduce the risks of leakage.
근거: 악성 데이터 확산을 방지하기 위한 "Multi-Agent Security Tax"[39]의 "활성 백신"에서 영감을 받아, 직접 전송은 중개자에게 데이터가 노출되는 것을 방지합니다. "AI Agents Under Threat"[18]는 데이터 확산 제한의 필요성을 강조하며 이를 뒷받침합니다. 본 연구에서는 직접 전송을 통해 에이전트에게 민감한 데이터가 노출되는 것을 방지하고 유출 위험을 줄입니다.
6. Support for Multi-Transaction Approval
다중 거래 승인 지원
Description: Allow a single user approval for a series of related transactions (e.g. f light, hotel, taxi payments), with tokens restricted to that series, short-lived, and SCA-verified.
설명: 단일 사용자가 일련의 관련 거래(예: 교통비, 호텔, 택시 요금 결제)에 대해 승인을 허용하며, 토큰은 해당 거래에만 적용되고, 단기 유효하며, SCA 인증을 받습니다.
Rationale: This balances security and convenience, as recommended in “MultiAgent Security Tax” [39] for efficiency-security trade-offs. In our case, it reduces repeated authentications while maintaining strict token restrictions. Additionally, this solution addresses the well-documented issue of ”consent fatigue,” where users, overwhelmed by frequent approval requests, may approve actions without proper scrutiny, increasing security risks. As highlighted in the Palo Alto Networks article [50] repeated requests can lead to user desensitization, potentially resulting in the approval of critical actions like write operations without adequate attention—a phenomenon similar to MFA fatigue. By consolidating approvals for related transactions, our solution minimizes the frequency of requests, thereby reducing the risk of exploitation by malicious actors while enhancing the user experience.
근거: 이는 "MultiAgent Security Tax"[39]에서 효율성과 보안 간의 상충 관계에 대해 권장하는 바와 같이 보안과 편의성의 균형을 이룹니다. 본 사례에서는 엄격한 토큰 제한을 유지하면서 반복적인 인증을 줄입니다. 또한, 이 솔루션은 빈번한 승인 요청에 압도된 사용자가 적절한 검토 없이 작업을 승인하여 보안 위험을 증가시킬 수 있는 "동의 피로"라는 잘 알려진 문제를 해결합니다. Palo Alto Networks 문서[50]에서 강조된 바와 같이, 반복적인 요청은 사용자 무감각으로 이어질 수 있으며, 쓰기 작업과 같은 중요한 작업이 충분한 주의 없이 승인될 수 있습니다. 이는 MFA 피로와 유사한 현상입니다. 관련 거래에 대한 승인을 통합함으로써, 당사 솔루션은 요청 빈도를 최소화하여 악의적인 행위자의 악용 위험을 줄이는 동시에 사용자 경험을 향상시킵니다.
7. Compliance with Payment Standards
결제 표준 준수
Description: Ensure the protocol supports standards like PSD2, requiring SCA for certain transactions, by defining interfaces for payment agents that incorporate these requirements.
설명: 특정 거래에 대해 SCA를 요구하는 PSD2와 같은 표준을 프로토콜이 지원하도록 보장하고, 이러한 요구 사항을 포함하는 결제 에이전트 인터페이스를 정의합니다.
Rationale: Compliance with regulations is critical for adoption, as noted in “AI Agents Meet Blockchain” [31]. Our proposal ensures A2A aligns with regulatory requirements, enhancing its reliability.
근거: "AI 에이전트와 블록체인의 만남" [31]에서 언급된 바와 같이, 규정 준수는 도입에 매우 중요합니다. 본 제안은 A2A가 규제 요건을 준수하도록 보장하여 신뢰성을 향상시킵니다.
4.1 Application to the Example
예시 적용
Protocol Usage Scenario After The Proposed Improvements:
제안된 개선 사항 적용 후 프로토콜 사용 시나리오:
- The user requests the AI agent to book a vacation, including flights, hotel, and taxi.
사용자는 AI 에이전트에게 항공편, 호텔, 택시를 포함한 휴가 예약을 요청합니다. - The agent requests permission to access calendar availability only, displaying: “I will share availability dates with the booking agent. Approve?” The user approves.
에이전트는 캘린더 예약 가능 여부에만 접근할 수 있는 권한을 요청하며, "예약 에이전트와 예약 가능 날짜를 공유하겠습니다. 승인하시겠습니까?"라는 메시지를 표시합니다. 사용자가 승인합니다. - The agent finds a suitable booking and requests payment approval: “I will process $1000 for Hotel X, $500 for Flight Y, and $50 for Taxi Z. Approve?” The user approves
에이전트는 적합한 예약을 찾아 결제 승인을 요청합니다. "호텔 X에 1,000달러, 항공편 Y에 500달러, 택시 Z에 50달러를 처리하겠습니다. 승인하시겠습니까?" 사용자가 승인합니다. - The agent requests a 5-minute token from the user’s bank, scoped to “payment for vacation X on Date Y.”
에이전트는 사용자 은행에 "Y일 휴가 X 결제"라는 범위의 5분 토큰을 요청합니다. - The bank issues a 5-minute token for the approved transaction series.
은행은 승인된 거래 시리즈에 대해 5분 토큰을 발급합니다. - The agent shares the token with the booking agent.
에이전트는 예약 에이전트와 토큰을 공유합니다. - The booking agent requests the bank to process payments using the token.
예약 에이전트는 은행에 토큰을 사용하여 결제를 처리해 달라고 요청합니다. - The bank prompts the user to verify the action via SMS code or biometric authentication.
은행은 사용자에게 SMS 코드 또는 생체 인증을 통해 작업을 확인하도록 요청합니다. - The user approves, and payments are processed.
사용자가 승인하고 결제가 처리됩니다. - The token expires, preventing reuse.
토큰이 만료되어 재사용이 불가능합니다.
Advantages: 장점
- Short-Lived Token: Prevents reuse or unauthorized access.
단기 토큰: 재사용 또는 무단 접근을 방지합니다. - SCA: Ensures user approval for each payment.
SCA: 각 결제에 대한 사용자 승인을 보장합니다. - Precise Scope: Token restricted to approved transactions.
정확한 범위: 토큰은 승인된 거래로 제한됩니다. - Explicit Consent: The user is informed and approves the sharing of data.
명시적 동의: 사용자는 데이터 공유에 대한 정보를 받고 이를 승인합니다. - Minimal Access: The agent accesses only availability, not the full calendar.
최소 접근 권한: 담당자는 전체 일정이 아닌 예약 가능 여부에만 접근할 수 있습니다. - Direct Transfer: In order to protect sensitive information from agents, payment is sent straight from the bank to the booking agent.
직접 이체: 담당자의 민감한 정보를 보호하기 위해 은행에서 예약 담당자에게 직접 결제 금액을 이체합니다.
4.2 Research Base Rationale for This Proposal
이 제안의 연구 기반 근거
This proposal is based on previous research and enhances A2A’s security, privacy, and efficiency:
이 제안은 이전 연구를 기반으로 하며 A2A의 보안, 개인정보 보호 및 효율성을 향상시킵니다.
- Enhanced Security: Short-lived tokens and SCA reduce leak risks, as recommended in [18, 31, 23].
강화된 보안: [18, 31, 23]에서 권장하는 바와 같이 단기 토큰과 SCA는 유출 위험을 줄입니다. - Regulatory Compliance: SCA and PSD2 support ensure compliance, as emphasized in [31].
규제 준수: [31]에서 강조한 바와 같이 SCA 및 PSD2 지원은 규정 준수를 보장합니다. - Transparency and Trust: Explicit consent increases user trust, per [31].
투명성 및 신뢰: [31]에 따라 명시적 동의는 사용자 신뢰를 높입니다. - Flexibility and Efficiency: Multi-transaction approval balances security and convenience, as suggested in [39].
유연성 및 효율성: [39]에서 제안한 바와 같이 다중 트랜잭션 승인은 보안과 편의성의 균형을 유지합니다. - Common Standarts: The enhancements integrate with OAuth 2.0 and PSD2, as proposed in [23].
공통 표준: [23]에서 제안한 바와 같이 이 개선 사항은 OAuth 2.0 및 PSD2와 통합됩니다. - Exposure Prevention: Direct transfers minimize leak risks, according to [18, 39].
노출 방지: [18, 39]에 따라 직접 전송은 유출 위험을 최소화합니다.
5. Evidence-Based Support for Proposed Enhancements
제안된 개선 사항에 대한 증거 기반 뒷받침
In order to confirm the technical rationale behind the proposed improvements to the Google A2A Protocol, this section provides a literature review of each of them. Each section focuses on one proposed improvement and summarises previous literature reviews showing that the improvements are not only technically motivated but also based on established research in areas such as authentication protocols, cryptography, distributed identity systems and access control. Together, these references provide empirical and architectural support for the adoption of the proposed measures.
이 섹션에서는 Google A2A 프로토콜 개선안의 기술적 근거를 확인하기 위해 각 개선안에 대한 문헌 검토를 제공합니다. 각 섹션에서는 제안된 개선안 중 하나를 중점적으로 다루고, 이러한 개선안이 기술적 동기뿐만 아니라 인증 프로토콜, 암호화, 분산 신원 시스템, 접근 제어 등의 분야에서 확립된 연구를 기반으로 한다는 것을 보여주는 기존 문헌 검토를 요약합니다. 이러한 참고 자료는 제안된 조치의 채택을 위한 경험적 및 구조적 근거를 제공합니다.
5.1 Use of Short-Lived Access Tokens
단기 액세스 토큰 사용
One of the core enhancements we proposed to improve the security of Google’s A2A protocol is the mandatory
use of short-lived access tokens.
This design decision substantially reduces the window of opportunity for replay attacks and limits the utility of any compromised credential. Multiple studies affirm this principle.
Teng (2023) introduced ActionID, a machine-to-machine authentication protocol that issues tokens tightly scoped 8in both action and time.
The author notes that “the short-lived token limits the time window for action execution,”
thereby reducing the effectiveness of credential theft [47].
Similarly, Ohwo et al. (2024) proposed a blockchain-based smart home access system in which “short-lived tokens [are] used to mitigate risks like replay attacks and user profiling” [37].
These tokens expire rapidly, neutralizing any intercepted credentials. Narajala et al. (2025) extended this logic to GenAI multi-agent systems, proposing a just-in-time registry that dynamically provisions tokens only for the duration of a tool invocation.
This architecture, they argue, “minimizes the attack surface associated with persistent credentials by dynamically provisioning short-lived access tokens only when needed” [34]. Finally, Xiao et al. (2024) addressed the same vulnerability in the IoT domain, where resource-constrained devices are especially susceptible to token compromise. They developed MCU-Token, which binds a short-lived, hardware-derived token to each request, thereby making every token instance single-use and resistant to replay [48]. Together, these findings offer both conceptual and empirical support for implementing short-lived tokens in the A2A protocol as a fundamental safeguard against credential replay and session hijacking.
Google A2A 프로토콜의 보안을 강화하기 위해 제안한 핵심 개선 사항 중 하나는 단기 액세스 토큰의 필수 사용입니다.
이러한 설계 결정은 재전송 공격의 기회 창을 크게 줄이고 손상된 자격 증명의 유용성을 제한합니다.
여러 연구에서 이 원칙이 확인되었습니다.
Teng(2023)은 동작과 시간 모두에서 엄격한 범위가 지정된 토큰을 발급하는 M2M 인증 프로토콜인 ActionID를 도입했습니다.
저자는 "단기 토큰은 동작 실행 시간을 제한한다"고 지적하며, 따라서 자격 증명 도용의 효과를 감소시킨다고 합니다[47].
마찬가지로 Ohwo 외(2024)는 "단기 토큰을 사용하여 재전송 공격 및 사용자 프로파일링과 같은 위험을 완화"하는 블록체인 기반 스마트 홈 액세스 시스템을 제안했습니다[37]. 이러한 토큰은 빠르게 만료되어 가로채기된 자격 증명을 무효화합니다.
Narajala 외 (2025)는 이 논리를 GenAI 다중 에이전트 시스템으로 확장하여 도구 호출 기간 동안만 토큰을 동적으로 프로비저닝하는 적시(just-in-time) 레지스트리를 제안했습니다.
이 아키텍처는 "필요할 때만 단기 액세스 토큰을 동적으로 프로비저닝하여 영구 자격 증명과 관련된 공격 표면을 최소화한다"고 주장합니다[34].
마지막으로 Xiao et al.(2024)은 리소스가 제한된 장치가 토큰 손상에 특히 취약한 IoT 도메인에서 동일한 취약점을 해결했습니다. 그들은 각 요청에 단기 하드웨어 파생 토큰을 바인딩하여 모든 토큰 인스턴스를 일회용으로 만들고 재생에 저항하는 MCU-Token을 개발했습니다[48].
이러한 연구 결과는 자격 증명 재생 및 세션 하이재킹에 대한 근본적인 보호 장치로서 A2A 프로토콜에서 단기 토큰을 구현하는 데 대한 개념적 및 경험적 지원을 모두 제공합니다.
5.2 StrongCustomerAuthentication (SCA) for Sensitive Transactions
민감한 거래를 위한 강력한 고객 인증(SCA)
Implementing Strong Customer Authentication (SCA) for sensitive operations in the A2A protocol, such as payments and identity verification, significantly improves protection against impersonation and unauthorized transactions.
Recent research underscores the feasibility and necessity of using modern, privacy-preserving SCA mechanisms
such as zero-knowledge proofs (ZKPs), biometrics, and multi-factor authentication (MFA).
For example, Neera et al. propose a mobile payment protocol that leverages ZKPs and identity-based signatures
to verify user identity without revealing sensitive data while ensuring compliance with financial regulations such as PSD2 [36].
Their scheme guarantees cryptographically enforced SCA while maintaining user privacy, demonstrating that SCA can be both secure and regulatory compliant.
Ahmad et al. present BAuth-ZKP, a blockchain-based MFA framework using smart contracts and ZKPs to authenticate users in smart city environments [13].
This design proves the viability of decentralized, privacy-respecting SCA mechanisms, directly applicable
to agent-mediated A2A architectures.
On the biometric front, Gernot and Rosenberger introduce a technique for generating one-time biometric templates, mitigating the risk of replay attacks by ensuring biometric credentials are valid only once [20].
This reinforces the ’inherence’ factor of SCA in a technically sound manner.
Finally, Lyastani et al. empirically demonstrate that while 2FA dramatically improves account security, inconsistent or poorly designed SCA flows reduce adoption [21].
Thus, their findings support designing usable, transparent SCA processes for sensitive actions in A2A.
Collectively, these studies provide strong empirical and architectural justification for integrating SCA into the A2A protocol, ensuring that sensitive transactions are approved only by verified users under secure and user-friendly conditions.
A2A 프로토콜에서 결제 및 신원 확인과 같은 민감한 작업에 강력한 고객 인증(SCA)을 구현하면 사칭 및 무단 거래에 대한 보호가 크게 향상됩니다.
최근 연구는 영지식 증명(ZKP), 생체 인식, 다중 요소 인증(MFA)과 같은 최신 개인 정보 보호 SCA 메커니즘 사용의 실현 가능성과 필요성을 강조합니다.
예를 들어, Neera 등은 ZKP와 신원 기반 서명을 활용하여 민감한 데이터를 노출하지 않고 사용자 신원을 확인하는 동시에 PSD2[36]와 같은 금융 규정을 준수하는 모바일 결제 프로토콜을 제안합니다.
이러한 방식은 사용자 개인 정보를 유지하면서 암호화된 방식으로 SCA를 보장하여 SCA가 안전하고 규정을 준수할 수 있음을 보여줍니다.
Ahmad 등은 스마트 계약과 ZKP를 사용하여 스마트 시티 환경에서 사용자를 인증하는 블록체인 기반 MFA 프레임워크인 BAuth-ZKP를 제시합니다[13].
이 설계는 에이전트 매개 A2A 아키텍처에 직접 적용할 수 있는 분산형, 개인정보 보호 SCA 메커니즘의 실행 가능성을 입증합니다.
생체 인식 측면에서 Gernot과 Rosenberger는 생체 인식 자격 증명이 한 번만 유효하도록 보장함으로써 재전송 공격 위험을 완화하는 일회용 생체 인식 템플릿 생성 기술을 소개합니다[20].
이는 기술적으로 타당한 방식으로 SCA의 '내재성' 요소를 강화합니다.
마지막으로, Lyastani 등은 2FA가 계정 보안을 획기적으로 향상시키지만, 일관되지 않거나 잘못 설계된 SCA 흐름은 도입률을 저하시킨다는 것을 경험적으로 입증했습니다[21].
따라서 이들의 연구 결과는 A2A에서 민감한 작업에 대해 사용 가능하고 투명한 SCA 프로세스를 설계하는 것을 뒷받침합니다.
이러한 연구들은 종합적으로 SCA를 A2A 프로토콜에 통합하여 민감한 거래가 안전하고 사용자 친화적인 조건에서 검증된 사용자에 의해서만 승인되도록 보장하는 강력한 경험적 및 구조적 정당성을 제공합니다.
5.3 More Granular Token Scopes
더욱 세분화된 토큰 범위
Enforcing fine-grained token scopes in the A2A protocol is essential for upholding the principle of least privilege and minimizing the exposure of sensitive resources during 9agent-to-agent transactions. The risks of overly broad permissions in bearer tokens are well-documented in recent research. Cao et al. propose a stateful, least-privilege authorization model that allows client-side applications to dynamically constrain the scope of OAuth tokens using WebAssembly-based privilege attenuation policies [17]. Their system empowers developers to explicitly encode minimal access rights per session, enabling secure delegation without overprovisioning. This aligns directly with the A2A context, where agents must act within strict permission boundaries to avoid inadvertent data access. Complementarily, South et al. extend OAuth 2.0 and OpenID Connect for authenticated agent delegation, introducing agent-specific credentials with precise, auditable scope limitations [45]. Their framework demonstrates how user intent can be translated into tightly scoped permissions, ensuring that AI agents operate only within authorized domains. These works collectively support the need for scope-constrained access tokens as a foundational safeguard in agent-mediated architectures. Dimova et al. further substantiate this by showing that 18.5% of OAuth deployments on the web request unnecessary scopes, violating the GDPR’s minimum necessary data principle [19]. Kaltenb¨ ock et al. reinforce this position by embedding scope-aware policies within a Zero Trust single sign-on framework, emphasizing explicit scope definitions to limit token capabilities at authentication time [30]. Altogether, the literature affirms that finegrained token scopes are not only technically viable but also indispensable for ensuring data minimization, secure delegation, and regulatory compliance in distributed, AI-driven authentication systems.
A2A 프로토콜에서 세분화된 토큰 범위를 적용하는 것은 최소 권한 원칙을 준수하고 에이전트 간 트랜잭션 중 민감한 리소스의 노출을 최소화하는 데 필수적입니다.
베어러 토큰의 권한이 지나치게 광범위할 경우 발생할 수 있는 위험은 최근 연구에서 잘 입증되었습니다.
Cao 등은 클라이언트 측 애플리케이션이 WebAssembly 기반 권한 감쇠 정책을 사용하여 OAuth 토큰의 범위를 동적으로 제한할 수 있도록 하는 상태 저장 최소 권한 권한 부여 모델을 제안했습니다[17].
이 시스템은 개발자가 세션당 최소 액세스 권한을 명시적으로 인코딩할 수 있도록 하여 과도한 프로비저닝 없이 안전하게 위임할 수 있도록 합니다.
이는 에이전트가 의도치 않은 데이터 접근을 방지하기 위해 엄격한 권한 경계 내에서 작동해야 하는 A2A 환경과 직접적으로 일치합니다.
또한, South 등은 인증된 에이전트 위임을 위해 OAuth 2.0 및 OpenID Connect를 확장하여 정확하고 감사 가능한 범위 제한을 가진 에이전트별 자격 증명을 도입했습니다[45].
이 프레임워크는 사용자 의도가 엄격하게 범위가 제한된 권한으로 변환되어 AI 에이전트가 승인된 도메인 내에서만 작동하도록 하는 방법을 보여줍니다.
이러한 연구들은 에이전트 매개 아키텍처의 기본 안전 장치로서 범위가 제한된 액세스 토큰의 필요성을 전반적으로 뒷받침합니다.
Dimova 외 연구진은 웹에서 OAuth 배포의 18.5%가 불필요한 범위를 요청하여 GDPR의 최소 필요 데이터 원칙을 위반한다는 사실을 보여줌으로써 이를 더욱 뒷받침합니다[19].
Kaltenb¨ ock 외 연구진은 제로 트러스트 싱글 사인온 프레임워크 내에 범위 인식 정책을 내장하고, 인증 시 토큰 기능을 제한하기 위해 명시적인 범위 정의를 강조함으로써 이러한 입장을 강화합니다[30].
전반적으로, 이 문헌들은 세분화된 토큰 범위가 기술적으로 실행 가능할 뿐만 아니라 분산형 AI 기반 인증 시스템에서 데이터 최소화, 안전한 위임 및 규정 준수를 보장하는 데 필수적임을 확인합니다.
5.4 Explicit User Consent Mechanism
명시적 사용자 동의 메커니즘
Embedding an explicit user consent mechanism within the A2A protocol is critical for aligning with privacy regulations such as GDPR and for building user trust in agentmediated systems. Recent research emphasizes that consent must be freely given, informed, specific, and revocable throughout the data lifecycle. Merlec et al. propose a blockchain-based dynamic consent management system, where users can grant, audit, or withdraw their consent via smart contracts stored on a tamper-proof ledger [33]. This architecture guarantees accountability, traceability, and user autonomy in data-sharing environments. Complementarily, Khalid et al. formalize the security and privacy requirements of such systems, proposing the integration of zero-knowledge proofs and cryptographic primitives to ensure that consent is provable, minimal, and compliant by design [32]. Their work outlines how systems can enforce consent boundaries while maintaining confidentiality. In a multi-agent context, Xu et al. demonstrate that autonomous privacy agents can enforce user-defined consent policies, making decisions that reflect GDPR principles such as data minimization and informed processing [49]. These agents act only within verified constraints, providing technical assurance that consent decisions are respected. Finally, Pathmabandu et al. introduce a consent management engine that enables granular, real-time visibility into data collection within IoT systems [38]. Their engine offers digital nudging and fine-grained control, reinforcing the user’s right to control their personal data. Collectively, these studies support the integration of explicit, technically enforceable consent mechanisms into A2A-style protocols, ensuring that sensitive data is shared only with informed user approval, and that such actions remain transparent and auditable.
A2A 프로토콜에 명시적 사용자 동의 메커니즘을 내장하는 것은 GDPR과 같은 개인정보 보호 규정을 준수하고 에이전트 매개 시스템에서 사용자 신뢰를 구축하는 데 매우 중요합니다.
최근 연구는 동의가 데이터 수명 주기 전반에 걸쳐 자유롭게 제공되고, 정보에 기반하며, 구체적이고, 철회 가능해야 함을 강조합니다.
Merlec 외 연구진은 사용자가 변조 방지 원장에 저장된 스마트 계약을 통해 동의를 부여, 감사 또는 철회할 수 있는 블록체인 기반 동적 동의 관리 시스템을 제안합니다[33].
이 아키텍처는 데이터 공유 환경에서 책임성, 추적성 및 사용자 자율성을 보장합니다.
또한, Khalid 외 연구진은 이러한 시스템의 보안 및 개인정보 보호 요구 사항을 공식화하여, 동의가 설계 단계에서 증명 가능하고,
최소화되며, 규정을 준수하도록 보장하기 위해 영지식 증명과 암호화 기본 요소를 통합할 것을 제안합니다[32].
이들의 연구는 시스템이 기밀성을 유지하면서 동의 경계를 강화하는 방법을 설명합니다.
다중 에이전트 환경에서 Xu 외 연구진은 자율형 개인정보 보호 에이전트가 사용자 정의 동의 정책을 시행하여 데이터 최소화 및 정보 처리와 같은 GDPR 원칙을 반영하는 결정을 내릴 수 있음을 보여줍니다[49].
이러한 에이전트는 검증된 제약 조건 내에서만 작동하여 동의 결정이 존중된다는 기술적 보장을 제공합니다.
마지막으로, Pathmabandu 등은 IoT 시스템 내 데이터 수집에 대한 세부적이고 실시간 가시성을 제공하는 동의 관리 엔진을 소개합니다[38]. 이 엔진은 디지털 넛징과 세밀한 제어 기능을 제공하여 사용자의 개인 데이터 제어 권리를 강화합니다.
이러한 연구들은 명시적이고 기술적으로 시행 가능한 동의 메커니즘을 A2A 방식 프로토콜에 통합하여 민감한 데이터가 정보에 기반한 사용자 승인을 통해서만 공유되고, 이러한 조치가 투명하고 감사 가능하도록 보장하는 것을 뒷받침합니다.
5.5 Direct Data Transfer
직접 데이터 전송
In the evolving landscape of multi-agent systems, ensuring the security of sensitive data during interactions between users and service providers is paramount. Traditional multiagent architectures often involve intermediaries that can pose significant security risks, such as data leakage or unauthorized access. To address these concerns, the proposed enhancement advocates for direct data transfer, where sensitive information is exchanged directly between the user and the service provider, bypassing intermediary agents. This approach is supported by recent research in multi-agent security. Firstly, [39] introduces the concept of ”active vaccines” to prevent the spread of malicious prompts in multiagent systems, underscoring the need to minimize intermediary involvement to reduce systemic vulnerabilities. Similarly, [18] highlights the unpredictability of multi-step user inputs and the complexity of internal executions in AI agents, emphasizing the necessity of limiting data propagation to trusted entities. Furthermore, [42] discusses the open challenges in securing systems of interacting AI agents, particularly the threats arising from free-form interactions and network effects that can amplify security breaches, which direct data transfer mitigates by reducing intermediaries. Lastly, [45] presents a framework for authenticated delegation and authorized AI agents, which can be extended to support direct data transfer by ensuring secure, intermediary-free communication channels. On the basis of these studies, it can be concluded that direct transmission of data increases the security of multi-agent systems by reducing reliance on intermediaries and thus minimising the risks of data exposure and unauthorised access. This improvement is essential for applications involving sensitive data such as payments and personal data, where security and privacy are paramount.
급변하는 다중 에이전트 시스템 환경에서 사용자와 서비스 제공자 간의 상호작용 중 민감한 데이터의 보안을 보장하는 것은 매우 중요합니다.
기존의 다중 에이전트 아키텍처는 데이터 유출이나 무단 접근과 같은 심각한 보안 위험을 초래할 수 있는 중개자를 포함하는 경우가 많습니다.
이러한 문제를 해결하기 위해 제안된 개선안은 중개 에이전트를 거치지 않고 사용자와 서비스 제공자 간에 민감한 정보가 직접 교환되는 직접 데이터 전송을 권장합니다.
이러한 접근 방식은 다중 에이전트 보안에 대한 최근 연구에서도 뒷받침됩니다.
먼저, [39]는 다중 에이전트 시스템에서 악성 메시지 확산을 방지하기 위한 "능동 백신" 개념을 소개하며,
시스템 취약성을 줄이기 위해 중개자 개입을 최소화해야 할 필요성을 강조합니다.
마찬가지로, [18]은 AI 에이전트에서 다단계 사용자 입력의 예측 불가능성과 내부 실행의 복잡성을 강조하며,
신뢰할 수 있는 개체로의 데이터 전파를 제한해야 할 필요성을 강조합니다.
또한 [42]는 상호작용하는 AI 에이전트의 시스템 보안에 있어서의 개방적인 과제, 특히 자유형 상호작용과 보안 침해를 증폭시킬 수 있는 네트워크 효과로 인한 위협에 대해 논의하는데, 직접 데이터 전송은 중개자를 줄임으로써 이러한 과제를 완화합니다.
마지막으로 [45]는 인증된 위임 및 권한이 있는 AI 에이전트를 위한 프레임워크를 제시하는데, 이는 중개자 없는 안전한 통신 채널을 보장함으로써 직접 데이터 전송을 지원하도록 확장될 수 있습니다.
이러한 연구를 바탕으로, 직접 데이터 전송은 중개자에 대한 의존도를 줄이고 데이터 노출 및 무단 액세스 위험을 최소화함으로써 다중 에이전트 시스템의 보안을 강화한다는 결론을 내릴 수 있습니다.
이러한 개선은 보안과 개인 정보 보호가 가장 중요한 결제 및 개인 정보와 같은 민감한 데이터가 관련된 애플리케이션에 필수적입니다.
5.6 Support for Multi-Transaction Approval
다중 거래 승인 지원
In the area of multi-agent systems and financial technology, securing financial transactions while preserving user comfort is a key challenge, especially for sensitive data such as payment details. The proposed enhancement, ’Multi-Transaction Approval,´ allows for a single authorization for a series of transactions using limited-time tokens validated by strong customer authentication. This approach balances security and usability by reducing the need for multiple authentication while maintaining strict security measures, thus increasing the effectiveness of multi-step workflow in agent-based systems. Recent research on the security of financial technology supports this improvement. For instance, [15] underscore the pivotal role of multi-factor authentication (MFA) in securing mobile f inancial transactions, advocating its use to mitigate fraud risks, which aligns with the SCA requirements of the proposed enhancement. Similarly, [44] provide a systematic review of MFA in digital payment systems, noting that grouping transactions under a single secure authentication session is feasible with robust mechanisms, supporting the enhancement’s design. Furthermore, [28] propose a framework integrating MFA with machine learning to secure online financial transactions, adaptable to multi-transaction approval by ensuring SCA verification for each transaction in a series and employing anomaly detection to enhance security. Additionally, [14] develop an MFA algorithm for mobile money applications, combining multiple authentication factors to secure transactions, which can be extended to support a single approval for multiple transactions as proposed. In conclusion, the “Multi-Transaction Approval” enhancement is robustly supported by current research in financial technology security, emphasizing advanced MFA techniques and fraud detection methods. By implementing this enhancement, the 11A2A protocol can offer a secure and user-friendly approach to managing multiple related transactions, reducing user friction while adhering to high security standards.
다중 에이전트 시스템 및 금융 기술 분야에서 사용자 편의성을 유지하면서 금융 거래를 보호하는 것은 중요한 과제이며,
특히 결제 정보와 같은 민감한 데이터의 경우 더욱 그렇습니다.
제안된 개선 사항인 '다중 거래 승인'은 강력한 고객 인증을 통해 검증된 제한 시간 토큰을 사용하여 일련의 거래에 대한 단일 승인을 허용합니다.
이 접근 방식은 엄격한 보안 조치를 유지하면서 다중 인증의 필요성을 줄임으로써 보안과 사용성의 균형을 이루며, 에이전트 기반 시스템에서 다단계 워크플로의 효율성을 높입니다.
금융 기술 보안에 대한 최근 연구는 이러한 개선 사항을 뒷받침합니다.
예를 들어, [15]는 모바일 금융 거래 보안에 있어 다중 요소 인증(MFA)의 중추적인 역할을 강조하며,
사기 위험 완화를 위해 다중 요소 인증(MFA)을 활용할 것을 권장하는데, 이는 제안된 개선 사항의 SCA 요구 사항과 일치합니다.
마찬가지로, [44]는 디지털 결제 시스템에서 MFA에 대한 체계적인 검토를 제공하며, 강력한 메커니즘을 통해 단일 보안 인증 세션으로 거래를 그룹화할 수 있음을 지적하며, 이는 개선 사항의 설계를 뒷받침합니다.
또한 [28]은 MFA와 머신 러닝을 통합하여 온라인 금융 거래를 보호하는 프레임워크를 제안하며,
이는 일련의 각 거래에 대해 SCA 검증을 보장하고 이상 탐지를 사용하여 보안을 강화함으로써 다중 거래 승인에 적응할 수 있습니다.
또한 [14]는 모바일 머니 애플리케이션을 위한 MFA 알고리즘을 개발하여 여러 인증 요소를 결합하여 거래를 보호하며,
제안된 대로 여러 거래에 대한 단일 승인을 지원하도록 확장할 수 있습니다.
결론적으로 "다중 거래 승인" 향상은 고급 MFA 기술과 사기 탐지 방법을 강조하는 금융 기술 보안 분야의 최신 연구에 의해 강력하게 뒷받침됩니다.이 향상을 구현함으로써 11A2A 프로토콜은 높은 보안 표준을 준수하면서 사용자 마찰을 줄여 여러 관련 거래를 관리하는 안전하고 사용자 친화적인 접근 방식을 제공할 수 있습니다.
5.7 Compliance with Payment Standards
결제 표준 준수
In the area of multi-agent systems and financial technology, compliance with regulatory standards such as PSD2 is essential to ensure the safe and secure processing of transactions. The proposed enhancement, “Compliance with Payment Standards”, integrates these requirements into Google’s A2A protocol by defining interfaces for payment agents that include strong customer authentication and other regulatory requirements. This approach increases the credibility and readiness of the Protocol for implementation in the real world by reputable entities. Recent research supports the feasibility of such improvements. For instance, [31] highlight how blockchain technology can ensure compliance through tamper-proof documentation, aligning with PSD2’s demands for transparency and security in financial transactions [31]. Similarly, [16] demonstrate that artificial intelligence can bolster regulatory compliance in the financial sector by leveraging machine learning to monitor and prevent breaches, a principle applicable to multi-agent systems to enforce PSD2 standards. Lastly, [43] address the broader compliance landscape for AI systems, focusing on the EU’s AI Act and data set compliance, which reinforces the importance of embedding regulatory adherence into AI-driven systems, including those involving multi-agent interactions [43]. By integrating these insights, the enhancement positions the A2A protocol as a robust framework for secure, compliant financial transactions in multi-agent environments.
다중 에이전트 시스템 및 금융 기술 분야에서 PSD2와 같은 규제 표준 준수는 안전하고 보안적인 거래 처리를 보장하는 데 필수적입니다.
제안된 개선 사항인 "결제 표준 준수"는 강력한 고객 인증 및 기타 규제 요건을 포함하는 결제 에이전트 인터페이스를 정의함으로써 이러한 요건을 Google의 A2A 프로토콜에 통합합니다.
이러한 접근 방식은 평판이 좋은 기관이 실제 환경에서 프로토콜을 구현할 수 있도록 프로토콜의 신뢰성과 준비성을 높입니다.
최근 연구는 이러한 개선 사항의 실현 가능성을 뒷받침합니다.
예를 들어, [31]은 블록체인 기술이 변조 방지 문서를 통해 규정 준수를 보장할 수 있는 방법을 강조하며, 이는 금융 거래의 투명성과 보안에 대한 PSD2의 요구 사항[31]에 부합합니다.
마찬가지로, [16]은 인공지능이 머신러닝을 활용하여 위반을 모니터링하고 방지함으로써 금융 부문의 규제 준수를 강화할 수 있음을 보여줍니다.
이는 다중 에이전트 시스템에 PSD2 표준을 적용하는 데 적용되는 원칙입니다.
마지막으로, [43]은 EU의 AI법 및 데이터 세트 규정 준수에 초점을 맞춰 AI 시스템에 대한 광범위한 규정 준수 환경을 다루며,
이는 다중 에이전트 상호 작용을 포함하는 시스템을 포함하여 AI 기반 시스템에 규정 준수를 내장하는 것의 중요성을 강조합니다.
[43] 이러한 통찰력을 통합함으로써 이 개선 사항은 A2A 프로토콜을 다중 에이전트 환경에서 안전하고 규정을 준수하는 금융 거래를 위한 강력한 프레임워크로 자리매김합니다.
6. Implementation Considerations
구현 고려 사항
Implementing the proposal requires technical and organizational steps:
제안을 구현하려면 다음과 같은 기술적 및 조직적 단계가 필요합니다.
- Token Management: Define processes for issuing, verifying, and revoking shortlived tokens, as recommended in [23].
토큰 관리: [23]에서 권장하는 대로 단기 토큰의 발급, 검증 및 취소 프로세스를 정의합니다. - Authentication Flows: Develop SCA flows, including two-factor or biometric options, per PSD2 requirements.
인증 흐름: PSD2 요구 사항에 따라 2단계 인증 또는 생체 인식 옵션을 포함한 SCA 흐름을 개발합니다. - Protocol Extensions: Add message types or task states for sensitive data handling and consent requirements.
프로토콜 확장: 민감한 데이터 처리 및 동의 요구 사항에 대한 메시지 유형 또는 작업 상태를 추가합니다. - Documentation and Guidelines: Provide detailed documentation on sensitive data handling, per [39].
문서 및 지침: [39]에 따라 민감한 데이터 처리에 대한 자세한 문서를 제공합니다. - Compatibility Testing: Test enhancements with partners like PayPal and Cohere to ensure interoperability, as suggested in [39].
호환성 테스트: [39]에서 제안하는 대로 PayPal 및 Cohere와 같은 파트너와 함께 개선 사항을 테스트하여 상호 운용성을 보장합니다.
7. Conclusion
결론
Google’s A2A protocol offers a robust foundation for secure agent communication but requires enhancements to handle sensitive data effectively. As evidenced in “AI Agents Under Threat” [18], “AI Agents Meet Blockchain” [31], “Multi-Agent Security Tax” [39], and “AgNet” [23], security and privacy challenges in multi-agent systems demand 12solutions balancing robust protection with efficiency. This proposal introduces seven enhancements: short-lived tokens, SCA, granular scopes, explicit consent, direct data transfer, multitransaction approval, and payment standard compliance to improve security, privacy, and trust. The vacation booking example illustrates how these enhancements reduce risks and enhance user experience. We recommend Google implement this proposal to strengthen A2A’s position as a leading standard for agent communication.
Google의 A2A 프로토콜은 안전한 에이전트 통신을 위한 강력한 기반을 제공하지만, 민감한 데이터를 효과적으로 처리하기 위해서는 개선이 필요합니다. "AI Agents Under Threat"[18], "AI Agents Meet Blockchain"[31], "Multi-Agent Security Tax"[39], "AgNet"[23]에서 입증된 바와 같이, 다중 에이전트 시스템의 보안 및 개인정보 보호 문제는 강력한 보호와 효율성의 균형을 이루는 12가지 솔루션을 요구합니다. 이 제안은 보안, 개인정보 보호 및 신뢰를 향상시키기 위해 단기 토큰, SCA, 세분화된 범위, 명시적 동의, 직접 데이터 전송, 다중 거래 승인 및 결제 표준 준수의 7가지 개선 사항을 도입합니다. 휴가 예약 사례는 이러한 개선 사항이 위험을 줄이고 사용자 경험을 향상시키는 방법을 보여줍니다. Google은 A2A를 에이전트 통신의 선도적인 표준으로 강화하기 위해 이 제안을 구현할 것을 권장합니다.
References
[1] Cve-2022-45449: Over-privileged access control in acronis cyber protect. https: //http://www.cve.org/CVERecord?id=CVE-2022-45449, 2022. Accessed: 2025-05-06.
[2] Cve-2023-41745: Excessive system data collection in acronis agent. https://www. cve.org/CVERecord?id=CVE-2023-41745, 2023. Accessed: 2025-05-06.
[3] Cve-2023-4456: Lokistack token cache scope vulnerability. https://www.cve.org/ CVERecord?id=CVE-2023-4456, 2023. Accessed: 2025-05-06.
[4] Cve-2024-44131: Tcc bypass vulnerability in macos/ios fileprovider. https://www. cve.org/CVERecord?id=CVE-2024-44131, 2024. Accessed: 2025-05-06.
[5] Cve-2024-45989: Prompt injection exposing chat data in monica ai. https://www. cve.org/CVERecord?id=CVE-2024-45989, 2024. Accessed: 2025-05-06.
[6] Cve-2024-7042: Langchain prompt injection in graphcypherqachain. https://www. cve.org/CVERecord?id=CVE-2024-7042, 2024. Accessed: 2025-05-06.
[7] Cwe-1220: Insufficient granularity of access control.
https://cwe.mitre.org/ data/definitions/1220.html, 2024. Accessed: 2025-05-06.
[8] Cwe-200: Exposure of sensitive information to an unauthorized actor.
https:// cwe.mitre.org/data/definitions/200.html, 2024. Accessed: 2025-05-06.
[9] Cwe-306: Missing authentication for critical function.
https://cwe.mitre.org/ data/definitions/306.html, 2024. Accessed: 2025-05-06.
[10] Cve-2025-1198: Gitlab personal access token revocation bypass via actioncable. https://www.cve.org/CVERecord?id=CVE-2025-1198, 2025. Accessed: 2025-0506.
[11] Cve-2025-1801: Jwt exposure via race condition in ansible gateway. https://www. cve.org/CVERecord?id=CVE-2025-1801, 2025. Accessed: 2025-05-06.
[12] Deepak Bhaskar Acharya, Karthigeyan Kuppan, and B Divya. Agentic ai: Autonomous intelligence for complex goals–a comprehensive survey. IEEE Access, 2025.
[13] Md. Onais Ahmad, S. Ali, R. Chauhan, R. Sharma, M. Khari, R. G. Crespo, and F. De la Prieta. Bauth-zkp — a blockchain-based multi-factor authentication mechanism for securing smart cities. Sensors, 23(5):2757, 2023.
[14] S. Alotaibi and A. Albesher. A secure and efficient multi-factor authentication algorithm for mobile money applications. Future Internet, 13(12):299, 2021. 13
[15] S. Alotaibi and A. Albesher. Role of authentication factors in fin-tech mobile transaction security. Journal of Big Data, 10(1):1–25, 2023.
[16] A. Balakrishnan. Leveraging artificial intelligence for enhancing regulatory compliance in the financial sector. 2024. Abstract ID: 4842699.
[17] Leo Cao, Luoxi Meng, Deian Stefan, and Earlence Fernandes. Stateful least privilege authorization for the cloud. In Proceedings of the 33rd USENIX Security Symposium, 2024.
[18] Zehang Deng, Yongjian Guo, Changzhou Han, Wanlun Ma, Junwu Xiong, Sheng Wen, and Yang Xiang. Ai agents under threat: A survey of key security challenges and future pathways. ACM Computing Surveys, 57(7):1–36, 2025.
[19] Yana Dimova, Tom Van Goethem, and Wouter Joosen. Everybody’s looking for ssomething: A large-scale evaluation on the privacy of oauth authentication on the web. Proceedings on Privacy Enhancing Technologies (PoPETs), 2023(4):413–432, 2023.
[20] Tanguy Gernot and Christophe Rosenberger. Robust biometric scheme against replay attacks using one-time biometric templates. Computers & Security, 137:103586, 2024.
[21] Sanam Ghorbani Lyastani, Michael Backes, and Sven Bugiel. A systematic study of the consistency of two-factor authentication user journeys on top-ranked websites. In Network and Distributed System Security Symposium (NDSS), 2023.
[22] Chander Mohan Gupta and Devesh Kumar. Identity theft: a small step towards big f inancial crimes. Journal of Financial Crime, 27(3):897–910, 2020.
[23] Manoj Gupta and Vikram Acharya. Agnet: A novel ai agent network architecture. Available at SSRN 5108385, 2024.
[24] Idan Habler, Ken Huang, Prashant Kulkarni, and Vineeth Sai Narajala. Building a secure agentic ai application: Leveraging google’s a2a protocol. arXiv preprint arXiv:2504.16902v2, 2025.
[25] Dick Hardt. The OAuth 2.0 Authorization Framework. RFC 6749, October 2012.
[26] HIPAA Journal. Multifactor authentication could have prevented 9.7 million record medibank data breach. https://www.hipaajournal.com/ multifactor-authentication-could-have-prevented-9-7-million-record-medibank-data-breach/ 2022. Accessed: 2025-05-06.
[27] Xinyi Hou, Yanjie Zhao, Shenao Wang, and Haoyu Wang. Model context protocol (mcp): Landscape, security threats, and future research directions. Proceedings of the 2025 ACM Workshop on Artificial Intelligence and Security, 2025.
[28] M. T. Islam and S. L. Nita. Secure internet financial transactions: A framework integrating multi-factor authentication and machine learning. Journal of Financial Technology, 5(1):10, 2024. 14
[29] Michael B. Jones, John Bradley, and Nat Sakimura. JSON Web Token (JWT). RFC 7519, May 2015.
[30] Daniel Kaltenb¨ock, Ilir Murturi, and Schahram Dustdar. A zero trust single sign-on framework with attribute-based access control. In Proceedings of the 26th International Conference on Cyberworlds (CBI), 2024.
[31] Md Monjurul Karim, Dong Hoang Van, Sangeen Khan, Qiang Qu, and Yaroslav Kholodov. Ai agents meet blockchain: A survey on secure and scalable collaboration for multi-agents. Future Internet, 17(2):57, 2025.
[32] Muhammad Irfan Khalid, Mansoor Ahmed, and Jungsuk Kim. Enhancing data protection in dynamic consent management systems: Formalizing privacy and security definitions with differential privacy, decentralization, and zero-knowledge proofs. Sensors, 23(17):7604, 2023.
[33] Mpyana Mwamba Merlec, Youn Kyu Lee, Seng-Phil Hong, and Hoh Peter In. A smart contract-based dynamic consent management system for personal data usage under gdpr. Sensors, 21(23):7994, 2021.
[34] R. et al. Narajala. Securing genai multi-agent systems against tool squatting: A zero trust registry-based approach. arXiv preprint arXiv:2504.19951, 2025.
[35] Vineeth Sai Narajala and Idan Habler. Enterprise-grade security for the model context protocol (mcp): Frameworks and mitigation strategies. arXiv preprint arXiv:2504.08623, 2025.
[36] Jeyamohan Neera, Xiaomin Chen, Nauman Aslam, and Biju Issac. A trustworthy and untraceable centralised payment protocol for mobile payment. ACM Transactions on Privacy and Security, 28(2), 2025.
[37] O. et al. Ohwo. Hybrid privacy-preserving access control mechanism using blockchain and attribute-based access control for smart home. In IEEE SmartBlock4Africa 2024, 2024.
[38] Chehara Pathmabandu, John Grundy, Mohan B. Chhetri, and Zubair Baig. Privacy for iot: Informed consent management in smart buildings. Future Generation Computer Systems, 145:367–383, 2023.
[39] Pierre Peign´ e, Mikolaj Kniejski, Filip Sondej, Matthieu David, Jason HoelscherObermaier, Christian Schroeder de Witt, and Esben Kran. Multi-agent security tax: Trading off security and collaboration capabilities in multi-agent systems. In Proceedings of the AAAI Conference on Artificial Intelligence, volume 39, pages 27573–27581, 2025.
[40] Christian Posta. Deep dive: Mcp and a2a attack vectors for ai agents. https://www. solo.io/blog/deep-dive-mcp-and-a2a-attack-vectors-for-ai-agents, 2025. Accessed: 2025-05-12.
[41] Partha Pratim Ray. A survey on model context protocol: Architecture, state-of-theart, challenges and future directions. Authorea Preprints, 2025. 15
[42] Christian Schroeder de Witt et al. Open challenges in multi-agent security: Towards secure systems of interacting ai agents. 2025.
[43] J. Sch¨ oning. Compliance of ai systems, 2025.
[44] J. Smith and K. Johnson. A systematic review of multi-factor authentication in digital payment systems: Nist standards alignment and industry implementation analysis. Computers & Security, 140:103721, 2025.
[45] Tobin South, Samuele Marro, Thomas Hardjono, Robert Mahari, Cedric Deslandes Whitney, Dazza Greenwood, Alan Chan, and Alex Pentland. Authenticated delegation and authorized ai agents. arXiv preprint arXiv:2501.09674, 2025.
[46] Rao Surapaneni. Announcing the agent2agent protocol (a2a), Apr 2025.
[47] W. L. Teng. Actions speak louder than passwords: Dynamic identity for machineto-machine communication. In Proceedings of the 18th International Conference on Availability, Reliability and Security (ARES), 2023.
[48] H. et al. Xiao. From hardware fingerprint to access token: Enhancing the authentication on iot devices. arXiv preprint arXiv:2403.15271, 2024.
[49] Mengwei Xu, Louise A. Dennis, and Mustafa A. Mustafa. Safeguard privacy for minimal data collection with trustworthy autonomous agents. In Proceedings of the 23rd International Conference on Autonomous Agents and Multiagent Systems (AAMAS), pages 1966–1974, 2024.
[50] xzou. Mcp security exposed: What you need to know now, Apr 2025.