本文へスキップ
Edition · Tokyo
codeagent 検索 ↗
設計・ワークフロー · 定期更新

MCPとSmolVM: AIエージェント実行基盤の役割分担

MCPが外部システム接続を標準化し、SmolVMが生成コードの実行を隔離する。AIエージェント基盤を接続レイヤーと実行レイヤーに分けて整理します。

codeagent.jp編集部 情報確認 約15分
Tags
情報確認
参考リンク
4件
更新性
定期更新
読了目安
約15分
更新管理

仕様・料金・提供範囲が変わりやすいテーマは、公開日・更新日・情報確認日を分けて管理します。 導入前には必ず記事末尾の一次情報と公式ドキュメントで最新状況を確認してください。

MCPとSmolVM: AIエージェント実行基盤の役割分担 の16:9共有用サマリー画像。 本番エージェント基盤は、MCPで外部接続を標準化しSmolVMで生成コード実行を隔離して責任分界を作る 1. MCPの役割: SaaS、DB、社内APIをツールとして標準化する、接続ごとにread/write/approveの権限を分ける、ログとスキーマを揃えて監査可能にする 2. SmolVM: 生成コード実行を軽量VM内に閉じ込める、ファイル/ネットワーク/時間制限で暴走を止める、実行結果だけをLLMへ返して環境汚染を避ける 3. 実運用: 開発、検証、本番でツール許可リストを分ける、失敗時のフォールバックと人間承認をワークフロー化する、SOC2/監査要件に合わせ実行証跡を保存する
MCPとSmolVM: AIエージェント実行基盤の役割分担 資料 26-11FY 2026.04.29 設計・ワークフロー
共有用画像を開く シェア 約15分 / mcp / agentic-ai

2026年4月、自律型AIエージェントは「デモ」から「本番ワークロードを担うインフラ」へと決定的に移行した。この移行を支えているのは、モデル自体の推論力の伸びだけではない。むしろ大きいのは、エージェントを外部システムに安全につなぐ標準プロトコルと、生成されたコードを安全に実行する隔離環境の整備だ。

前者の中心が、Anthropicが提案し、現在は Agentic AI Foundation(AAIF) が運営する Model Context Protocol(MCP)。後者の中心が、KVMベースのMicroVMを使ってエージェントの実行を完全に分離する SmolVM である。

本記事では、4月にニューヨークで開かれた MCP Dev Summit NYC で共有された最新動向を起点に、MCPの仕様進化、AWSによる本格統合、そしてSmolVMが提供するサンドボックスのデファクトスタンダード化を、図解込みで整理する。

1. なぜMCPが急速に標準化したのか: M×N問題の解消

MCPがこれほど短期間で業界標準になった理由は、エンタープライズ統合における慢性的な複雑性、いわゆる M×N問題 を構造的に解消した点にある。

M個のAIアプリをN個の社内データソースに繋ごうとすると、標準が無ければ M×N 個の独自統合が必要になる。各統合の維持コストとセキュリティリスクが掛け算で増えていく状態だ。MCPはここに「ハブ」を1枚挟み、統合を M+N に圧縮する。

Before: M × NAfter: M + N (MCP)App AApp BApp CDBSaaSFilesApp AApp BApp CMCPHubDBSaaSFiles
M×N の独自統合が、MCP導入で M+N の標準接続に圧縮される。左の蜘蛛の巣が、右では同じ口を共有するハブに置き換わっている。

クライアント・サーバー型に整理し直したことで、Claude DesktopやBedrockカスタムエージェントが「クライアント」、GitHub・Slack・社内DBに繋ぐコネクタが「サーバー」として、 Resources / Tools / Prompts という3つのプリミティブで標準化された。これがMCPの全体像である。

2. コンテキスト肥大化と動的ツールディスカバリ

標準化の道は平坦ではなかった。2025年を通じて最大の問題になったのが コンテキスト肥大化(Context Bloat) だ。

初期仕様は「ツール推論前に、サーバーが全ツールスキーマをLLMに静的に宣言する」前提で組まれていた。これは小規模なツールセットでは機能したが、エンタープライズではすぐに破綻する。最も極端な例として、GitHubの公式MCPサーバーはツール記述だけで4万トークン以上を消費していた。

40k+
GitHub MCPサーバーのツール記述
推論を始める前に消費されるトークン
M×N → M+N
統合パターンの圧縮
ハブ・アンド・スポーク化
v2025-11-25
現行プロトコル仕様
1周年記念リリース
MCPが直面した課題と現在の到達点。

これに対する答えが Dynamic Tool Discovery だ。サーバーは最初から全ツールを宣言せず、モデルが必要としたタイミングでのみフルスキーマを返す。単なる最適化ではなく、「自律エージェントのために静的・完全宣言なツールカタログを並べる」前提が成り立たないことを、プロトコルレベルで認めた転換点である。

3. 2025-11仕様: 非同期ワークフローとガバナンス

MCPがエンタープライズインフラへ飛躍する契機となったのが、プロトコル1周年で出た v2025-11-25 だ。同期リクエスト/レスポンスの限界を超えるためのSEP(Standardization Enhancement Proposals)が一気に取り込まれた。

従来のMCP
2025-11以降
実行モデル
同期リクエスト/レスポンス
Task-based(SEP-1686)で数分〜数時間のジョブを管理
推論ループ
クライアント側で完結
Sampling with Tools(SEP-1577)でサーバーが独自ループを実行
認可
サーバー単位の独自OAuth
Cross App Access(SEP-990)でIdPポリシーを継承
認証フロー
クライアント実装に依存
URL Mode Elicitation(SEP-1036)でブラウザ直接フロー
命名と通信
ばらつきの大きい運用
ツール名標準化、SSEポーリング切断対応
従来仕様と2025-11仕様の比較。プロトコルが「データ取得」から「オーケストレーション基盤」へ移行している。

特に意味が大きいのは Cross App Access だ。組織のIdPに一度サインインすれば、承認済みのMCPサーバー全体に同じポリシーが適用される。「個別MCPごとにOAuthを再設計する」というエンタープライズが嫌う運用が消える。

4. AAIF: 「エージェントのLinux Foundation」

MCPの技術的な進化を組織側から支えているのが Agentic AI Foundation(AAIF) だ。設立4ヶ月で参加組織は170。これはCNCF設立直後のペースの2倍以上である。

NYCサミットの開会では、Linux Foundation CEOのJim Zemlinが「Linux FoundationがLinuxの家、CNCFとKubernetesがクラウドのLinuxであるなら、AAIFとMCPはエージェントのLinuxだ」と位置付けた。同時にエグゼクティブ・ディレクターは、Googleで5年AIソリューション構築をリードしたMazin Gilbertへ交代。研究フェーズからデプロイメントフェーズへの移行を反映したリーダーシップだ。

170
AAIF参加組織
CNCF初期の2倍以上のペース
1,200
NYCサミット参加者
eBay/Audible/Guru等が登壇
3
フラッグシップOSS
MCP / Goose / AGENTS.md
2026年4月時点のAAIFエコシステム規模。

AAIFが束ねる3つのフラッグシップOSSは独立しつつ補完関係にある。

  • MCP(Anthropic寄贈): 標準通信プロトコル
  • Goose(Block寄贈): ローカルファーストの拡張可能エージェントフレームワーク
  • AGENTS.md(OpenAI寄贈): プロジェクト固有の指示・コンテキスト共通形式

中立ガバナンスでこれらを抱えることで、互換性のないサイロへの分岐が防がれている。

5. AWS Bedrock AgentCore: ステートフルMCPの本番投入

メガクラウド側でこの標準を最も本格的に取り込んでいるのがAWSだ。2026年4月、 Amazon Bedrock AgentCore Runtime がMCPサーバーのステートフル機能をネイティブサポートすると発表された。

これまでステートレスなMCP実装では、ワークフローの途中でユーザーに意図確認したり、LLMに動的にコンテンツ生成させたりできず、複雑なシナリオで詰まりやすかった。AgentCoreは仕様で定義された3つのクライアント機能を実装し、一方向のツール実行から 双方向の会話的実行 へ転換した。

  • Elicitation: ツール実行中に不足情報をユーザーへ問い合わせる
  • Sampling: サーバーがクライアント側LLMに生成を要求し、サーバー側でエージェントループを回す
  • Progress Notification: 長時間タスクの進捗をリアルタイムにストリーミングする

AgentCore上のステートフルMCPセッションは、それぞれ完全に隔離された MicroVM 上で動く。マルチユーザーのセッション間でデータが混ざらない。さらに AWS API MCP Server v1.0.0 も正式リリースされ、自然言語での指示を構文的に正しいCLIコマンドに変換し、CloudWatch統合でオブザーバビリティが確保されている。

6. 実行レイヤーの空白を埋めるSmolVM

MCPは「外部システムに安全にどう繋ぐか」を決めるが、 生成コードをどこで実行するか は規定しない。エージェントが書いたPythonやシェルをホストでそのまま走らせれば、ファイルシステム破壊、認証情報漏洩、サプライチェーン攻撃の入口になる。

ここで台頭しているのが、CelestoAIによる SmolVM だ。Linux環境ではFirecrackerと同等のKVMベースMicroVM、macOSではQEMU(Hypervisor.framework)を使い、ホストOSとの間に完全なハイパーバイザー境界を引く。内部的には libkrun VMM とカスタムカーネル libkrunfw を使い、ワークロードごとに独自カーネルを割り当てる。

コンテナサンドボックス
SmolVM (MicroVM)
分離境界
ホストOSのカーネルを共有
ハイパーバイザー境界+専用カーネル
攻撃表面
カーネルエクスプロイトに脆弱
ハードウェア仮想化レベルで遮断
起動速度
数百ミリ秒〜数秒
コールドスタート約572ミリ秒
ネットワーク制御
ネットワーク名前空間で実装
ドメインホワイトリスト(Egress制御)標準装備
ホスト書込
マウント設計に依存
デフォルト読み取り専用、明示的に書込許可
LLM生成コードの実行環境として求められる特性で比較。
SmolVMのライフサイクル速度(参考値)
コールドスタート 572ms
VM作成→起動完了
スナップショット復元 180ms
保存済みVM状態の即時再開
Teardown 95ms
使い捨て破棄
サブセカンドの起動が、エージェントの「毎ターン使い捨て」フローを成立させる。

エンタープライズ運用に効く周辺機能も揃っている。

  • Egress制御: api.openai.com を許可しつつ未知のドメインへの流出を遮断
  • 読み取り専用マウント: ホストのプロジェクトを覗かせるが、変更はVM内オーバーレイに留まる。書込許可は --writable-mounts で明示
  • .smolmachine: ワークロードと依存をOCIフォーマットで単一ファイル化。インストール手順なしでどこでも展開可能
  • スナップショット: マルチステップのフローで、エージェントの状態を保ったまま中断・復元できる
  • SSHエージェントフォワーディング: プライベートキーをVM内に置かずに git clone 等を実行
  • Smolfile(TOML): ベースイメージ、許可ドメイン、初期化スクリプトを宣言的に定義

ブラウザ操作型エージェント向けには、フルブラウザセッションを http://localhost:6080 でライブ監視できるGUI統合や、Debianベースの分離サンドボックス内でLinuxデスクトップアプリを操作させる OpenClaw との連携も提供されている。

7. MCP × SmolVM: 配管と実行環境の責任分界

ここまで見ると分かるとおり、MCPとSmolVMは競合関係ではなく、 完全に補完的なレイヤー だ。

  • MCPは「How(どう外部システムに触るか)」の通信プロトコル
  • SmolVMは「Where(どこでコードを実行するか)」のサンドボックスランタイム
AgentGoose / BedrockMCP GateResources / ToolsIAM / OAuth scopeExternal SystemsDB / S3 / SaaS / GitHubCloudTrail で監査SmolVM GateMicroVM / KVMEgress / 読取専用 / SnapshotGenerated CodePython / shell / browser毎ターン破棄可能取得結果
MCPはデータアクセスのゲート、SmolVMはコード実行のゲート。境界を分けることでサプライチェーン攻撃の被害を局所化できる。

実運用では次のように動く。エージェント(Goose/Bedrockカスタム実装)はMCPクライアントとしてツール呼び出しを行い、MCPサーバーがIAMやOAuthスコープに従って外部DB(DynamoDB/S3等)からコンテキストを取得する。エージェントが分析のためにPythonコードを生成した場合、それはホストではなくSmolVMのMicroVMに転送されて実行される。データアクセス権限(MCP/IAM管轄)とコード実行権限(SmolVM管轄)が分離されているため、片方が侵害されてももう一方の被害が局所化される。

8. 2026年以降のロードマップ

AAIFが公開しているロードマップは、 スケーラビリティエンタープライズ・ガバナンス に集中している。

  1. 2025-11
    v2025-11-25 リリース
    Task-based / Sampling with Tools / Cross App Access / URL Elicitation を統合
  2. 2026-04
    MCP Dev Summit NYC
    1,200名参加。Bedrock AgentCoreがステートフルMCPをネイティブ対応
  3. 2026-06
    ステートレス・トランスポートをデフォルトに
    Lambda等サーバーレス背後で水平スケール。Google/Hugging Face主導
  4. 2026年内
    Webhooks型イベント通知
    ポーリングと長時間SSEから、標準化されたコールバックへ
  5. 2026年内
    MCP Server Cards
    /.well-known でサーバーメタデータを公開し、接続前にレジストリで機能を把握
  6. 2026年内
    監査証跡の標準化
    CloudWatch等の既存パイプラインに直接フィード可能な構造化ログ
MCPプロトコルの主要マイルストーンと今後の予定。

ガバナンス面では、コアメンテナへの昇格を定義する Contributor Ladder や、特定ドメインのワーキンググループへの権限委譲モデルも導入される。プロジェクトを少数のキーパーソンへの依存から解放する設計だ。

結論

2026年は、自律型AIエージェントが「能力デモ」から「実用インフラ」へ移行した分岐点として記録されるだろう。MCPはM×Nの統合地獄をハブ・アンド・スポークに変え、AWSのような巨大プラットフォームが本気でステートフル統合を作り込む段階に入った。SmolVMは、コンテナでは塞ぎきれなかった「LLMが書いたコードをどこで動かすか」という空白を、ハイパーバイザー境界で埋めた。

ここから先、企業側に求められる判断はシンプルだ。独自グルーコードや場当たりのセキュリティパッチに人月を溶かし続けるのか、 MCP / AGENTS.md / Goose / SmolVM という標準セットを早期に組み込んで、エージェントの知能向上とビジネスワークフロー再設計に集中するのか。次世代AI駆動エンタープライズの競争優位は、この選択にかかっている。

Primary sources

一次情報・参考リンク

Share X ↗ はてブ ↗ Facebook ↗
About the author
codeagent.jp編集部

Claude Code / Codex / MCP を個人開発サイト運用と公開MCPサーバー開発で試し、一次情報・検証ログ・失敗例をもとに整理します。

About ↗ X ↗ GitHub ↗ RSS ↗

関連して読む