Февраль 2026 года. Инженеры Morgan Stanley разворачивают агентную систему для внутреннего финансового ресёрча. Рядом — команда Salesforce настраивает Agentforce для клиентского сервиса. Оба проекта упираются в один вопрос: какой протокол выбрать как основу архитектуры? MCP от Anthropic с 97 миллионами ежемесячных загрузок SDK — или A2A от Google с поддержкой уже более 100 корпораций?
Это не абстрактный выбор стандарта. Это решение, которое определит, насколько легко компания сможет масштабировать агентную инфраструктуру в следующие два-три года. И именно здесь мнения CTO и архитекторов расходятся всерьёз.
Контекст: почему вопрос встал именно сейчас
До конца 2024 года агентные системы строились на самописных интеграциях. Каждый инструмент — свой коннектор, каждая связка агентов — своя логика оркестровки. С ростом числа агентов сложность росла квадратично: 10 агентов требовали до 45 парных интеграций. По оценке BCG, это стало главным тормозом масштабирования в корпоративных ИИ-проектах.
В ноябре 2024 года Anthropic выпустил MCP (Model Context Protocol — протокол контекста модели) — стандарт для подключения ИИ-агентов к внешним инструментам, данным и API. В апреле 2025 года Google ответил A2A (Agent-to-Agent Protocol — протокол межагентного взаимодействия) — стандартом для координации между самими агентами. В декабре 2025 года оба протокола переданы под управление Linux Foundation в рамках Agentic AI Foundation (AAIF), которую основали Anthropic, Google, OpenAI, Microsoft, AWS и Block.
Теоретически — дополняющие слои одного стека. На практике — у каждого CTO есть ограниченный ресурс внедрения, и выбор точки входа определяет всю последующую архитектуру.
MCP: 97 млн загрузок SDK в месяц (Python + TypeScript) по состоянию на февраль 2026. Поддержан Anthropic, OpenAI, Google, Microsoft, Amazon.
A2A: более 100 корпоративных партнёров к февралю 2026, включая Salesforce, SAP, PayPal, ServiceNow. IBM перенёс свой независимый протокол ACP в A2A в конце 2025 года.
По прогнозу Gartner, к концу 2026 года 40% корпоративных приложений будут иметь встроенных ИИ-агентов — против менее 5% в 2025 году.
Рынок ИИ-агентов: $5,9 млрд в 2024 году → прогноз $105,6 млрд к 2034 году.
Позиция A: начинайте с MCP — стек, который уже работает
«MCP — это руки агента. Без рук агент беспомощен. A2A — это коллеги агента. Но сначала нужно дать агенту возможность что-то делать.»— инженерное эссе DEV Community, март 2026
Сторонники этой позиции указывают на три практических аргумента. Первый — экосистема. MCP уже сегодня имеет тысячи готовых серверов: для файловых систем, баз данных, API GitHub, Slack, Google Drive. Команда разработчиков может за день подключить агента к реальной инфраструктуре компании. У A2A пока нет сравнимого каталога готовых реализаций.
Второй аргумент — зрелость спецификации. MCP прошёл год реальных корпоративных внедрений. Morgan Stanley, Bloomberg и Block уже используют его в продакшне. В марте 2025 года спецификация получила стандартизированную авторизацию через OAuth 2.1 с обязательным PKCE. A2A, при всей enterprise-риторике Google, остаётся более молодым стандартом с открытыми вопросами по аутентификации и разрешению конфликтов при делегировании задач.
Третий аргумент — точка сложности. Большинству компаний сегодня нужен один хорошо интегрированный агент, а не оркестр из десятков автономных систем. Добавлять слой A2A поверх незрелой MCP-инфраструктуры — значит решать задачу следующего порядка сложности раньше, чем решена задача текущего.
Готовая экосистема: тысячи серверов, поддержка всех крупных провайдеров, активное сообщество — MCP можно внедрить за дни, а не недели.
Проверенная безопасность: OAuth 2.1 с PKCE стандартизирован в марте 2025, реальные корпоративные деплои прошли аудиты безопасности.
Правильная последовательность: сначала дайте агенту инструменты, потом стройте оркестровку. Инвертировать порядок — значит строить на нестабильном фундаменте.
Позиция B: A2A — это инфраструктурный выбор, а не надстройка
«Компании, которые сегодня выбирают только MCP, строят точечные интеграции там, где нужна сетевая инфраструктура. Через год они столкнутся с теми же проблемами масштабирования, которые должны были решить.»— Rob Skillington, основатель и CTO, партнёр по A2A
Оппоненты настаивают: разграничение «сначала MCP, потом A2A» — это иллюзия последовательности там, где есть архитектурная развилка. Типичная средняя корпорация в 2026 году одновременно использует Salesforce Agentforce (нативный A2A), Microsoft Copilot Studio (MCP плюс проприетарные протоколы) и Google Vertex AI Agent (нативный A2A). Без A2A эти системы не смогут координировать задачи между собой — никакое количество MCP-серверов эту проблему не решит.
Второй аргумент этой стороны — природа задачи. MCP решает вертикальную интеграцию: агент получает доступ к инструментам ниже себя. A2A решает горизонтальную координацию: агенты, работающие на одном уровне, делегируют задачи друг другу и синхронизируют состояние. Это разные слои стека, и утверждение, что один заменяет другой, технически некорректно. Типичный пример из IBM: агент склада использует MCP для запроса базы данных товаров, а при обнаружении дефицита через A2A уведомляет агента закупок, который связывается с агентами поставщиков.
Наконец — вопрос управляемости. A2A определяет стандартизированные «карточки агентов» (agent cards) с явными возможностями, версиями и точками доступа. В мультиагентной корпоративной среде это делает систему аудируемой и управляемой. MCP-архитектура без надстройки A2A превращается в непрозрачный граф зависимостей — кто какому агенту дал какие права и зачем.
Корпоративная реальность: Salesforce, SAP, Google Vertex нативно поддерживают A2A. Игнорировать это — строить интеграции вручную там, где уже есть стандарт.
Разные слои, не альтернативы: MCP — вертикаль (агент → инструменты). A2A — горизонталь (агент ↔ агент). Строить только один слой — значит строить половину инфраструктуры.
Управляемость с первого дня: agent cards дают аудируемость и контроль прав, которые невозможно retrofitted в MCP-архитектуру без значительного рефакторинга.
Реальный риск: безопасность MCP под огнём
Дискуссию об архитектурном выборе осложняет практический вопрос, который обе стороны предпочитают обходить стороной: MCP несёт серьёзные проблемы безопасности, которые влияют на любую стратегию внедрения.
По данным аналитиков Adversa AI за март 2026 года, MCP стал самой быстрорастущей поверхностью атаки в ИИ-системах: 30 новых CVE за 60 дней, 38% из более чем 500 просканированных серверов полностью лишены аутентификации. Среди задокументированных инцидентов — утечка данных через официальный MCP-сервер GitHub (злонамеренный issue позволил вытащить содержимое приватных репозиториев) и уязвимость в mcp-remote с более чем 437 тысячами загрузок, открывшая удалённое выполнение кода на машине разработчика.
Атаки через MCP делятся на три типа. Внедрение в промпт (prompt injection) — скрытые инструкции в данных, которые агент обрабатывает, могут перенаправить его действия. Отравление инструментов (tool poisoning) — описание инструмента содержит скрытые команды, которые агент выполняет без ведома пользователя. Перехват токенов — MCP-сервер хранит OAuth-токены для нескольких сервисов, и его компрометация даёт атакующему доступ ко всему подключённому периметру.
A2A спроектирован с явным фокусом на аутентификацию с первого дня: поддержка всех методов OAuth 2.0 и интеграция с существующими корпоративными системами идентификации встроена в спецификацию. Это один из аргументов, который сторонники A2A-first используют с растущей уверенностью.
Редакционный комментарий: не кто прав, а при каких условиях
Редакция Eclibra намеренно воздерживается от вердикта. Правота каждой из сторон зависит от конкретного контекста компании — и именно эти условия стоит оценить перед принятием архитектурного решения.
Сторонники MCP-first окажутся правы, если ваша задача — быстро вывести в продакшн одного или двух агентов с доступом к корпоративным данным, ваша команда небольшая, а горизонт планирования — 6–12 месяцев. В этом случае зрелость экосистемы и скорость внедрения важнее архитектурной элегантности.
Сторонники A2A-first окажутся правы, если вы строите мультивендорную корпоративную платформу, где агенты Salesforce, Google и внутренние системы должны координировать задачи друг с другом. Здесь игнорирование A2A создаёт технический долг, который придётся отдавать в самый неподходящий момент — в процессе масштабирования.
Наиболее точный ответ дала сама индустрия, передав оба протокола в Linux Foundation: вопрос не «MCP или A2A», а «MCP для инструментов и A2A для агентов». Настоящая развилка — с чего начать, и это уже вопрос зрелости вашей команды и сроков проекта.
Прогноз Eclibra
Утверждение: К концу 2027 года не менее 60% новых корпоративных агентных архитектур будут использовать оба протокола одновременно — MCP для инструментального слоя и A2A для межагентной координации. Горизонт: конец 2027 года.
Вероятность по оценке редакции: 68%
| ЗА | ПРОТИВ | |
|---|---|---|
| Аргументы | Оба протокола под единым управлением AAIF; нейтральность Linux Foundation снижает вендорный риск. Уже сегодня крупные деплои (Morgan Stanley, Bloomberg) используют MCP, а A2A поддержан 100+ корпорациями. Gartner прогнозирует рост агентных систем с 5% до 40% приложений к 2026 году — без стандарта масштабирование невозможно. | Фрагментация возможна: Microsoft продолжает продвигать проприетарные протоколы в Copilot Studio. Безопасность MCP под вопросом — 38% серверов без аутентификации тормозят корпоративное принятие. Стартапы могут выбрать один протокол из соображений операционной простоты. |
| Критерии | Прогноз подтверждён, если к концу 2027 года ведущие корпоративные платформы (Salesforce, SAP, ServiceNow) официально задокументируют совместное использование MCP+A2A в производственных деплоях. | Прогноз опровергнут, если к середине 2027 года один из протоколов консолидирует более 80% рынка или Microsoft выпустит несовместимый стандарт с массовым принятием. |
Динамика загрузок MCP SDK vs появление первых крупных A2A SDK в npm/PyPI — индикатор реального инженерного выбора.
Количество CVE в MCP-экосистеме: если темп (30 за 60 дней) не замедлится к Q3 2026, корпоративное принятие затормозит.
Позиция Microsoft: Copilot Studio сегодня использует MCP плюс проприетарные протоколы. Официальная поддержка A2A станет сигналом полной консолидации стека.
Слияния и поглощения: консолидация фреймворков (LangChain, AutoGen, CrewAI) вокруг одного из протоколов укажет на победителя в инженерном сообществе.
Сценарии развития
🟢 Оптимистичный сценарий (35%)
AAIF выпускает единую документацию по совместному использованию MCP+A2A с эталонными реализациями. Microsoft объявляет нативную поддержку A2A в Copilot Studio. Сообщество безопасности закрывает критические уязвимости MCP через обязательную сертификацию серверов. Последствия: CTO получают чёткий, стандартизированный путь внедрения без вендорного lock-in. Рынок инструментов агентной оркестровки консолидируется вокруг двух слоёв стека, ускоряя корпоративное принятие.
🟡 Базовый сценарий (45%)
Оба протокола зреют параллельно, но без полной стандартизации. Крупные предприятия внедряют оба, стартапы выбирают MCP как точку входа. Проблемы безопасности MCP частично решены, но остаются предметом специализированного управления рисками. Последствия: Рынок разделён: компании с зрелыми ИТ-командами работают в двухпротокольном стеке, остальные застревают на MCP-only архитектурах, накапливая технический долг к 2028 году.
🔴 Пессимистичный сценарий (20%)
Серьёзный взлом через MCP-уязвимость с публичным резонансом тормозит корпоративное принятие. Microsoft выпускает несовместимый проприетарный стандарт с агрессивным bundling в Azure. Фрагментация экосистемы делает стандартизацию практически бессмысленной на горизонте 2026–2027 годов. Последствия: CTO возвращаются к кастомным интеграциям или полностью отдают архитектуру вендору облачной платформы, жертвуя независимостью ради предсказуемости.
Источники
DEV Community — MCP vs A2A: полное руководство по протоколам агентов 2026
Технический разбор архитектуры, примеры кода и паттерны внедрения для MCP и A2A. Март 2026.
Adversa AI — Топ ресурсов по безопасности MCP, март 2026
Обзор критических уязвимостей MCP: 30 CVE за 60 дней, статистика незащищённых серверов, векторы атак.
Google Developers Blog — Анонс протокола Agent2Agent (A2A)
Официальное описание A2A от Google с перечнем партнёров и позиционированием относительно MCP.
Hung-Yi Chen — Протокольные войны ИИ-агентов 2026: MCP vs A2A vs WebMCP
Анализ конкурентной динамики трёх протоколов, роли Linux Foundation и корпоративных governance-рисков.
AuthZed — Хронология взломов через MCP
Первая консолидированная хронология инцидентов безопасности, связанных с MCP: от GitHub до Asana.
