[paper] Building A Secure Agentic AI Application Leveraging Google’s A2A Protocol
Abstract
As Agentic AI systems evolve from basic workflows to complex multi-agent collaboration, robust protocols such as Google’s Agent2Agent (A2A) become essential enablers. To foster secure adoption and ensure the reliability of these complex interactions, understanding the secure implementation of A2A is essential. This paper addresses this goal by providing a comprehensive security analysis centered on the A2A protocol. We examine its fundamental elements and operational dynamics, situating it within the framework of agent communication development. Utilizing the MAESTRO framework, specifically designed for AI risks, we apply proactive threat modeling to assess potential security issues in A2A deployments, focusing on aspects such as Agent Card management, task execution integrity, and authentication methodologies. Based on these insights, we recommend practical secure development methodologies and architectural best practices designed to build resilient and effective A2A systems. Our analysis also explores how the synergy between A2A and the Model Context Protocol (MCP) can further enhance secure interoperability. This paper equips developers and architects with the knowledge and practical guidance needed to confidently leverage the A2A protocol for building robust and secure next-generation agentic applications.
*Index Terms: Agentic AI, Google Agent2Agent, Agent-toAgent Communication, A2A Protocol, Security,
Threat Modeling, MAESTRO, MCP, Interoperability, Secure Development
개요
Agentic AI 시스템이 기본 워크플로에서 복잡한 다중 에이전트 협업으로 발전함에 따라 Google의 Agent2Agent(A2A)와 같은 강력한 프로토콜이 필수적인 지원 요소가 되었습니다. 안전한 도입을 촉진하고 이러한 복잡한 상호작용의 안정성을 보장하려면 A2A의 안전한 구현을 이해하는 것이 필수적입니다.
본 논문에서는 A2A 프로토콜을 중심으로 포괄적인 보안 분석을 제공하여 이 목표를 해결합니다. 우리는 에이전트 커뮤니케이션 개발의 틀 안에서 이를 위치시켜 기본 요소와 운영 역학을 살펴본다. AI 위험에 대비해 특별히 설계된 MAESTRO 프레임워크를 활용하여 사전 위협 모델링을 적용하여 A2A 배포에서 잠재적인 보안 문제를 평가합니다. 이때 에이전트 카드 관리, 작업 실행 무결성, 인증 방법론과 같은 측면에 중점을 둡니다. 이러한 통찰력을 바탕으로, 우리는 탄력적이고 효과적인 A2A 시스템을 구축하도록 설계된 실용적인 보안 개발 방법론과 아키텍처 모범 사례를 추천합니다.
또한, 우리의 분석에서는 A2A와 MCP(모델 컨텍스트 프로토콜) 간의 시너지 효과가 어떻게 안전한 상호 운용성을 더욱 향상시킬 수 있는지 살펴봅니다. 이 논문은 개발자와 설계자에게 A2A 프로토콜을 활용하여 견고하고 안전한 차세대 에이전트 애플리케이션을 구축하는 데 필요한 지식과 실질적인 지침을 제공합니다.
*색인 용어: Agentic AI, Google Agent2Agent, 에이전트 간 통신, A2A 프로토콜, 보안, 위협 모델링, MAESTRO, MCP, 상호 운용성, 안전한 개발
I. INTRODUCTION
The emergence of intelligent, autonomous agents marks a pivotal shift in how AI systems are developed, deployed, and scaled. As these agents increasingly interact across organizational and technological boundaries, the need for secure, interoperable communication becomes critical. This paper begins by exploring the foundation of this transformation: the rise of Agentic AI and the protocols that enable it.
1These authors contributed equally to this work.
2This work is not related to the author’s position at Intuit
3This work is not related to the author’s position at DistributedApp.ai
4This work is not related to the author’s position at Amazon Web Services
5This work is not related to the author’s position at Google
I. 서론
지능적이고 자율적인 에이전트의 등장은 AI 시스템의 개발, 배포 및 확장 방식에 있어 중대한 변화를 의미합니다. 이러한 에이전트들이 조직 및 기술적 경계를 넘나들며 점점 더 상호 작용함에 따라 안전하고 상호 운용 가능한 통신의 필요성이 더욱 중요해지고 있습니다. 본 논문은 이러한 변화의 기반, 즉 에이전트 AI의 부상과 이를 가능하게 하는 프로토콜을 탐구하는 것으로 시작합니다.
1. 이 저자들은 본 연구에 동등한 기여를 했습니다.
2. 본 연구는 Intuit에서의 저자의 직책과 관련이 없습니다.
3. 본 연구는 DistributedApp.ai에서의 저자의 직책과 관련이 없습니다.
4. 본 연구는 Amazon Web Services에서의 저자의 직책과 관련이 없습니다.
5. 본 연구는 Google에서의 저자의 직책과 관련이 없습니다.
A. The Rise of Agentic AI and the Need for Secure Interoperability
As artificial intelligence systems evolve from isolated, task-specific models to dynamic, multi-agent ecosystems, we are witnessing the emergence of Agentic AI—intelligent agents capable of autonomous decision-making, tool use, and collaboration with other agents and humans. These agents do not merely respond to prompts; they initiate actions, delegate subtasks, coordinate with peers, and adapt to new goals in real time. From AI research assistants that plan literature reviews to supply chain agents negotiating logistics across organizations, agentic AI is rapidly becoming the backbone of next-generation intelligent applications. However, as these agents interact and compose workflows across organizational, geographical, and trust boundaries, the need for secure, standardized interoperability becomes paramount. Without a shared protocol for identity, authentication, task exchange, and auditability, agent interactions are prone to fragmentation, redundancy, and most critically—security vulnerabilities. Threats such as impersonation, data exfiltration, task tampering, and unauthorized privilege escalation can quickly arise in loosely governed agent ecosystems. To address this, secure interoperability protocols like Google’s Agent-toAgent (A2A) specification offer a promising foundation. A2A provides a declarative, identity-aware framework for enabling structured, secure communication between agents—whether human-authored or AI-powered. Such protocols enable agents to share descriptive information about their capabilities, which is essential for facilitating effective interaction, discovery, and interoperability. This exchanged information, especially when received from potentially untrusted peers, must be handled with care and rigorously validated to prevent manipulation techniques like prompt injections. Realizing the full potential of agentic AI will depend not only on such protocol standards, but on robust implementations, rigorous threat modeling, and continuous security adaptation. To aid developers in building
secure systems, we also offer a repository containing secure A2A coding examples 1 .
This paper explores the security architecture of A2A, identifies critical risks through the MAESTRO threat modeling lens [1], [2] and proposes mitigation strategies and implementation best practices to ensure that agentic systems remain not just intelligent—but trustworthy by design.
A. 에이전트 AI의 부상과 안전한 상호운용성의 필요성
인공지능 시스템이 고립된 작업별 모델에서 역동적인 다중 에이전트 생태계로 진화함에 따라, 자율적인 의사 결정, 도구 사용, 다른 에이전트 및 인간과의 협업이 가능한 지능형 에이전트인 에이전트 AI의 등장을 목격하고 있습니다. 이러한 에이전트는 단순히 지시에 응답하는 것이 아니라, 실시간으로 작업을 시작하고, 하위 작업을 위임하고, 동료와 협력하고, 새로운 목표에 적응합니다. 문헌 검토를 계획하는 AI 연구 보조원부터 조직 간 물류를 협상하는 공급망 에이전트에 이르기까지, 에이전트 AI는 차세대 지능형 애플리케이션의 중추로 빠르게 자리 잡고 있습니다. 그러나 이러한 에이전트가 조직, 지역 및 신뢰 경계를 넘어 상호 작용하고 워크플로를 구성함에 따라, 안전하고 표준화된 상호운용성의 필요성이 매우 중요해지고 있습니다.
신원, 인증, 작업 교환 및 감사 기능을 위한 공유 프로토콜이 없으면 에이전트 상호 작용이 단편화, 중복성, 그리고 가장 중요한 보안 취약성에 취약해집니다. 사칭, 데이터 유출, 작업 변조, 무단 권한 상승과 같은 위협은 느슨하게 관리되는 에이전트 생태계에서 빠르게 발생할 수 있습니다. 이를 해결하기 위해 Google의 에이전트 간(A2A) 사양과 같은 안전한 상호 운용성 프로토콜이 유망한 기반을 제공합니다. A2A는 사람이 작성했든 AI 기반이든 에이전트 간의 체계적이고 안전한 통신을 지원하는 선언적 신원 인식 프레임워크를 제공합니다. 이러한 프로토콜을 통해 에이전트는 자신의 기능에 대한 설명 정보를 공유할 수 있으며, 이는 효과적인 상호 작용, 검색 및 상호 운용성을 촉진하는 데 필수적입니다. 특히 신뢰할 수 없는 피어로부터 수신된 이러한 교환 정보는 즉시 주입과 같은 조작 기법을 방지하기 위해 신중하게 처리하고 엄격하게 검증해야 합니다. 에이전트 AI의 잠재력을 최대한 실현하려면 이러한 프로토콜 표준뿐만 아니라 강력한 구현, 엄격한 위협 모델링, 그리고 지속적인 보안 적응이 필수적입니다. 개발자의 보안 시스템 구축을 지원하기 위해 안전한 A2A 코딩 예제가 포함된 저장소도 제공합니다.
본 논문에서는 A2A의 보안 아키텍처를 살펴보고, MAESTRO 위협 모델링 관점을 통해 중요한 위험을 식별합니다.
[1], [2] 그리고 에이전트 시스템이 단순히 지능적인 수준을 넘어 설계상 신뢰성을 유지할 수 있도록 완화 전략과 구현 모범 사례를 제시합니다.
B. Google A2A: A Foundational Protocol and its Context
The Agent-to-Agent (A2A) protocol, introduced by Google, represents a significant step forward in enabling structured, secure, and interoperable communication between autonomous agents. Designed with composability and trust in mind, A2A allows agents to discover each other via standardized AgentCards, authenticate using modern cryptographic protocols, and exchange tasks in a declarative, auditable manner. Its architecture reflects the growing demand for modular AI systems that can scale across organizations, tools, and domains—while remaining adaptable to both human and machinedriven workflows. A2A’s emergence is timely, as the AI ecosystem increasingly shifts toward open-ended, agent-driven applications in areas like research, enterprise automation, cybersecurity, and scientific collaboration. Positioned at the intersection of protocol engineering and AI orchestration, A2A provides the plumbing needed to build reliable, multiagent ecosystems—where interoperability and security are not afterthoughts, but built-in foundations.
B. Google A2A: 기반 프로토콜 및 그 맥락
Google에서 도입한 에이전트 간(A2A) 프로토콜은 자율 에이전트 간의 구조적이고 안전하며 상호 운용 가능한 통신을 가능하게 하는 중요한 진전을 나타냅니다. 구성 가능성과 신뢰성을 염두에 두고 설계된 A2A는 에이전트가 표준화된 AgentCard를 통해 서로를 발견하고, 최신 암호화 프로토콜을 사용하여 인증하고, 선언적이고 감사 가능한 방식으로 작업을 교환할 수 있도록 합니다. A2A의 아키텍처는 조직, 도구 및 도메인 전반에 걸쳐 확장 가능한 동시에 인간과 기계 중심 워크플로우 모두에 적응할 수 있는 모듈식 AI 시스템에 대한 증가하는 수요를 반영합니다. AI 생태계가 연구, 기업 자동화, 사이버 보안 및 과학 협업과 같은 분야에서 개방형 에이전트 기반 애플리케이션으로 점차 전환되고 있는 상황에서 A2A의 등장은 시의적절합니다. 프로토콜 엔지니어링과 AI 오케스트레이션의 교차점에 위치한 A2A는 상호 운용성과 보안이 사후 고려 사항이 아닌, 기본으로 내장된 안정적인 멀티에이전트 생태계를 구축하는 데 필요한 토대를 제공합니다.
C. Paper Objectives: Analyzing A2A, Proposing Enhancements, and Guiding Secure Implementation
This paper sets out to examine the Agent-to-Agent (A2A) protocol in both its theoretical design and practical deployment, with the overarching goal of enabling secure and trustworthy agentic AI systems. First, we analyze the A2A protocol through the lens of the MAESTRO threat modeling framework, identifying a comprehensive set of risks that emerge in multiagent environments—including spoofing, task replay, privilege escalation, and prompt injection. Building on this analysis, we propose targeted security enhancements to strengthen the protocol and its implementations, ranging from cryptographic controls and schema enforcement to secure session handling and fine-grained authorization. Finally, the paper outlines a set of implementation best practices for building hardened A2A servers and clients, offering guidance on secure communication, authentication workflows, logging, and abuse prevention. By bridging the gap between protocol specification and real-world deployment, this paper aims to equip developers, researchers, and architects with actionable insights for designing secure-bydefault agentic ecosystems.
C. 논문 목표: A2A 분석, 개선 사항 제안 및 안전한 구현 안내
본 논문은 안전하고 신뢰할 수 있는 에이전트 AI 시스템을 구축한다는 궁극적인 목표를 가지고, 이론적 설계 및 실제 구축 측면에서 에이전트 간(A2A) 프로토콜을 검토합니다. 먼저, MAESTRO 위협 모델링 프레임워크를 활용하여 A2A 프로토콜을 분석하고, 스푸핑, 작업 재전송, 권한 상승, 즉시 주입 등 다중 에이전트 환경에서 발생하는 포괄적인 위험을 파악합니다. 이 분석을 바탕으로, 암호화 제어 및 스키마 적용부터 안전한 세션 처리 및 세분화된 권한 부여에 이르기까지 프로토콜 및 구현을 강화하기 위한 보안 강화 방안을 제안합니다. 마지막으로, 강화된 A2A 서버 및 클라이언트 구축을 위한 일련의 구현 모범 사례를 제시하고, 안전한 통신, 인증 워크플로, 로깅 및 남용 방지에 대한 지침을 제공합니다. 본 논문은 프로토콜 사양과 실제 배포 간의 격차를 해소함으로써 개발자, 연구자, 설계자에게 보안이 기본으로 설정된 에이전트 생태계를 설계하는 데 필요한 실행 가능한 통찰력을 제공하는 것을 목표로 합니다.