OpenAI が新しい Apps SDK を発表してから 2 か月も経たないうちに、業界は AI エージェントがインタラクティブ インターフェイスを表示する方法の標準化に向けて動き始めています。
Anthropic、OpenAI、および Model Context Protocol (MCP) オープンソース コミュニティは共同で、テキストベースのチャットボットをフルスタック アプリケーション ランタイムに変換する MCP の新しい拡張機能である「SEP-1865」を提案しました。
普遍的な標準を定義することで、この提案は、グラフやフォームなどのウィジェットをレンダリングするために、開発者が AI プラットフォームごとに個別のインターフェイスを構築しなければならない、エコシステムが断片化するのを防ぐことを目的としています。
この取り組みでは、必須のセキュリティ サンドボックスも導入され、初期のエージェントを悩ませていた重大なセキュリティの脆弱性に直接対処します。
データ パイプから「エージェント アプリ ランタイム」へ
元々はデータ ソースを接続するためのバックエンド ユーティリティとして設計されたモデル コンテキスト プロトコル (MCP) は、根本的なアーキテクチャの変更を受けています。
「SEP-1865“、提案では、専用の ui://URI スキームが導入され、サーバーがデータ ペイロードとともにビジュアル インターフェイスを定義できるようになります。公式提案文書では新しいスキーマが定義されています。
「UI テンプレートは、ツールのメタデータで参照される、ui://URI スキームを持つリソースです。」
「このアプローチにより、ホストはツールの実行前にテンプレートをプリフェッチしてレビューできるようになり、パフォーマンスとセキュリティの両方が向上します。また、静的なプレゼンテーション (テンプレート) を動的データ (ツールの結果) から分離し、より適切なキャッシュが可能になります。」
この変更により、事実上、プロトコルが配信メカニズムに変わります。単純なテキストベースの JSON 交換を超えたフルスタック アプリケーション。ユーザーは生データを解析する必要がなくなりました。代わりに、エージェントは対話型の棒グラフ、承認フォーム、または複雑なダッシュボードをチャット ウィンドウ内で直接レンダリングできます。
内部では、システムは postMessage を介して既存の MCP JSON-RPC ベース プロトコルに依存し、特定のブラウザ実装に結び付けられるのではなく、トランスポートに依存しないことが保証されます。
アーキテクチャ的に、システムは静的なプレゼンテーション テンプレートを動的データから分離しており、これはキャッシュ パフォーマンスの向上と遅延の削減を目的とした設計上の選択です。
コアメンテナーが指摘したように、この進化は「MCP Apps Extension がエージェント アプリ ランタイム、つまり AI モデル、ユーザー、アプリケーション間の新しいインタラクションの基盤のように見え始めていることを意味します。」
「有害なエージェント」のサンドボックス化
2025 年半ばに相次ぐ脆弱性報告を受けて、セキュリティがこのアーキテクチャの全面見直しの主な原動力となっています。
バックスラッシュ セキュリティ レポートの調査では、以前、0.0.0.0 にバインドされている MCP サーバーがローカル ネットワークを攻撃者に公開する欠陥「NeighborJack」が明らかになりました。
バックスラッシュは、「ネットワークの露出が過剰な権限に達すると、完璧なアクセスが得られる」と警告しています。
MCP セキュリティに対する認識をさらに複雑にしたのは、GitHub の MCP サーバーで発見された「有害なエージェント フロー」であり、エージェントがだまされてプライベート リポジトリに侵入する可能性がありました。新しい仕様は、これらの通信リスクに直接対処します。
「カスタム メッセージ プロトコルを発明する代わりに、UI コンポーネントは postMessage 上で既存の MCP JSON-RPC 基本プロトコルを使用してホストと通信します。」
「初期の拡張仕様は、サンドボックス化された iframe でレンダリングされた text/html コンテンツのみをサポートします。」
これらのリスクを軽減するために、新しい標準では、すべての UI コンテンツがサンドボックス化された iframe 内でレンダリングされることを義務付け、厳密に制限されています。エージェントがホスト DOM にアクセスできるようになります。
「事前宣言」モデルの適用により、ホスト アプリケーション (Claude Desktop や VS Code など) は、ユーザーに表示される前に UI テンプレートをレビューして承認できるようになります。
アナリストの Simon Willison は以前、そのリスクについて次のように説明しました。AI エージェントがプライベート データにアクセスし、悪意のある指示にさらされ、情報を窃取できる場合、データ アクセスと実行機能の組み合わせにより「即時注入の致命的な三連単」が生まれることに注目しています。
壁に囲まれた庭園に対する統一戦線
この提案にはタイミングが重要であり、特に OpenAI の役割に関して、AI 開発者エコシステムの重要な再調整を示唆しています。
10 月、OpenAI は独自の Apps SDK を発表し、市場を ChatGPT と他のモデルの互換性のない「壁に囲まれた庭園」に分割する恐れがありました。
SEP-1865 を支持することで、OpenAI は事実上、普遍的な標準をサポートする方向に舵を切り、開発者が構築する必要があるのは確実にするだけです
この提案では、MCP-UI プロジェクトの成果を大いに活用し、コンセプトの実現可能性を証明したメンテナーの Ido Salomon と Liad Yosef の功績を認めています。
この統合がなければ、業界はすべてのモデルプロバイダーがオーダーメイドのフロントエンド統合を必要とするシナリオに直面しました。このコラボレーションの緊急性を強調し、メンテナーは「標準化の欠如はエコシステムの断片化という現実のリスクを生み出します。これを私たちは積極的に防止するために取り組んでいます。」
MCP を単なるバックエンド コネクタとしてだけでなく、データとインタラクションの両方のためのユニバーサル ポートである「AI 用 USB-C」として位置づけることにより、この変化は重要です。 IDC は、2028 年までにアクティブな AI エージェントが 13 億人になると予測しており、Zed や潜在的に VS Code を含む主要ホストがこの標準を採用し、次世代のエージェント アプリケーションのデフォルト ランタイムとしての地位を確立すると予想されています。
