APIはエージェント型AIのゲートキーパーです

API は構造化された仲介者です。 API を呼び出すと、アクターがリソースを見つけ、アクセスが制御され、承認が検証される実行スペースが作成されます。 API は柔軟性があり、露出を減らしながら、同時にビジネスで承認されたさまざまなアクションに対応します。 柔軟性の欠点は、相互運用性を妨げる標準が欠如していることです。 したがって、 Model Context Protocol (MCP)、 Open Agentic Schema Framework (OASF)、 LangChain Agent Protocol 、 Agent2Agent Protocol (A2A) などの新しい標準は、正しい方向への一歩です。 これらは、思慮深い API 設計と、エージェント エコシステム内の主要な外部インターフェースとしての API の利用を促進します。 エージェントが自主的な作業計画を達成するために使用するサービス、ツール、およびデータのエコシステム。

今日のビジネスapplicationsはAPI を介して機能を公開しますが、API だけでは機能しません。 ゲートウェイは、ユーザー アクセス、承認、サービス検出などの API 間機能を統合します。 ファイアウォールはポートをフィルタリングし、ルーティング ルールをサポートし、不正なプロトコル要求から保護します。 承認プロキシは、承認コード フローやポリシー検索などの高度な ID 制御を実装します。 API はビジネスapplicationsへの入り口です。 インフラストラクチャ サービスは、API へのリクエストの適切な検証を合理化し、強化し、有効にします。

ある AI エージェントに特定のアクションに対する権限がない場合は、権限を持つ別のエージェントと連携できます。 これにより、アクセス境界に違反することなくワークフローを続行できます。 たとえば、ショッピング アシスタントは、機密データベースから直接割引コードを取得するのではなく、フルフィルメント エージェントに割引コードを要求する場合があります。 API は、職務の分離を維持しながらこの相互作用を容易にします。 エージェントは人間のユーザーまたはロールに代わって行動できるため、これは現在ではうまく機能します。 

ユーザーとロールは、現在の ID およびポリシー システムによって容易にサポートされる静的な権限スキームを表します。 将来的には、エージェント自体が最終的に独自のアイデンティティ（または複数のアイデンティティ）を所有するようになることが考えられ、さまざまな状況でのリソースへのアクセスを管理するための強力なガードレールの必要性が増すことになります。 最終的には、実行時にリクエスタ、ターゲット リソース、およびアクションを検証する動的なゼロ トラスト セキュリティ対策が、静的で事前定義された検証に取って代わることになります。