AI Agent Protokolleri Rehberi: MCP, A2A, UCP, AP2, A2UI ve AG-UI

Neden 6 Protokol?

2025’in sonlarında AI agent’lar tekil araçlar olarak çalışıyordu. Her entegrasyon custom glue code gerektiriyordu. 2026’da durum değişti: Google, Anthropic, CopilotKit ve Linux Foundation’ın katkılarıyla 6 açık protokol, agent ekosisteminin farklı katmanlarını standartlaştırıyor¹.

Bu protokollerin her biri farklı bir soruyu cevaplıyor:

Protokol	Soru	Geliştiren
MCP	Agent hangi araçlara ve verilere erişebilir?	Anthropic
A2A	Agent’lar birbirini nasıl bulur ve görev nasıl delege eder?	Google (Linux Foundation)
UCP	Ticaret akışı (keşif, sepet, checkout) nasıl standartlaşır?	Google + Shopify, Walmart, Etsy
AP2	Agent adına ödeme nasıl güvenli şekilde yetkilendirilir?	Google + Mastercard, PayPal, Adyen
A2UI	Agent kullanıcıya ne gösterir?	Google
AG-UI	Agent ile frontend nasıl gerçek zamanlı iletişir?	CopilotKit

Protokoller bir stack olarak çalışıyor, ama modüler: ihtiyacın olduğu katmanı kullanırsın, hepsini birden kullanmak zorunda değilsin.

MCP: Agent’ın Dış Dünyayla Bağlantısı

Model Context Protocol (MCP), Anthropic tarafından geliştirilen ve agent’ların araçlara, verilere ve dış kaynaklara standart bir şekilde erişmesini sağlayan protokol². 6 protokol arasında en olgun olanı.

MCP’nin çözdüğü problem basit: her API, veritabanı ve araç için custom entegrasyon yazmak yerine, tek bir standart üzerinden bağlanmak. MCP server’lar araç ve veri sağlar, MCP client’lar (Claude Code, Cursor, vb.) bu server’lara bağlanır.

Client (Claude Code) ──MCP──> Server (PostgreSQL)
                     ──MCP──> Server (GitHub)
                     ──MCP──> Server (Sentry)

Günlük iş akışımda 8+ MCP server aktif kullanıyorum: dnomia-knowledge (FTS5 + sqlite-vec hybrid search), Neon (PostgreSQL), Cloudflare, GitHub ve daha fazlası. Context engineering ekosistemi yazısında MCP’nin dört katmanlı context mimarisindeki yerini, Pre-injection vs MCP yazısında ise MCP tool loop’unun pre-injection stratejisiyle karşılaştırmasını detaylandırıyorum.

Temel kavramlar

• Tools: Agent’ın çağırabileceği fonksiyonlar (veritabanı sorgusu, dosya yazma, API çağrısı)
• Resources: Agent’ın okuyabileceği veriler (dosyalar, şemalar, konfigürasyonlar)
• Prompts: Önceden tanımlanmış prompt template’leri

MCP’nin güçlü yanı: agent agnostik olması. Aynı MCP server, Claude Code, Cursor veya başka herhangi bir MCP-uyumlu client ile çalışır.

A2A: Agent’lar Arası İletişim

Agent2Agent (A2A), Google tarafından başlatılıp Linux Foundation’a devredilen açık protokol³. Agent’ların birbirini keşfetmesini, yetenek paylaşmasını ve görev delegasyonunu standartlaştırıyor.

MCP agent’ın araçlarla konuşmasını sağlarken, A2A agent’ların birbirleriyle konuşmasını sağlıyor. Temel fark bu.

Nasıl çalışıyor?

1. Agent Card: Her agent, yeteneklerini /.well-known/agent-card.json dosyasında yayınlıyor. JSON formatında: “ben şunları yapabilirim, şu input’ları kabul ederim, şu output’ları üretirim.”

2. Task lifecycle: İletişim görev odaklı. Bir client agent, remote agent’a görev gönderir. Görev submitted > working > completed döngüsünden geçer.

3. Transport: HTTPS üzerinde JSON-RPC 2.0. v0.3’ten itibaren gRPC desteği de eklendi.

4. Security: OpenAPI spesifikasyonuyla uyumlu. API key, OAuth 2.0, OpenID Connect destekli.

{
  "name": "invoice-agent",
  "description": "Fatura oluşturma ve yönetim agent'ı",
  "capabilities": ["create_invoice", "send_reminder"],
  "endpoint": "https://api.example.com/a2a",
  "security": [{ "oauth2": { "flows": { "clientCredentials": {} } } }]
}

Pratik perspektif

Henüz A2A’yı production’da kullanmıyorum. Ancak Decision Gate v2 yazısındaki multi-model tribunal yapısı, A2A’nın çözdüğü problemin custom bir implementasyonu: birden fazla AI’ın aynı görevi bağımsız değerlendirmesi ve sonuçların birleştirilmesi. A2A bu tür senaryoları standartlaştırıyor.

UCP: Standart Ticaret Akışı

Universal Commerce Protocol (UCP), Google’ın Shopify, Etsy, Wayfair, Target ve Walmart ile birlikte geliştirdiği açık protokol⁴. AI agent’ların alışveriş yolculuğunun tamamında (keşif, sepet, checkout, satış sonrası) çalışabilmesini standartlaştırıyor.

Temel yetenekler (Mart 2026)

Yetenek	Ne yapıyor
Cart	Agent tek seferde birden fazla ürünü sepete ekleyebilir
Catalog	Gerçek zamanlı fiyat, stok ve varyant bilgisi çekme
Identity Linking	Loyalty/üyelik avantajlarının otomatik uygulanması
Native Checkout	Google Search AI Mode ve Gemini üzerinden doğrudan satın alma

UCP, e-ticaretin “site-centric” modelinden “agent-centric” modele geçişinin altyapısı. Bu geçişin conversion tracking, attribution ve remarketing üzerindeki etkilerini UCP: Agentic Commerce ve E-Ticaret Ekosistemi yazısında detaylı inceliyorum.

Dikkat edilmesi gereken nokta

UCP açık standart olarak sunuluyor, ama pratik avantaj Google ekosisteminde yoğunlaşıyor: Search AI Mode + Gemini + Google Pay + Merchant Center. E-ticaret sahipleri için en büyük risk: müşteri yolculuğunun büyük kısmının Google yüzeylerinde gerçekleşmesi.

AP2: Kriptografik Ödeme Yetkilendirme

Agent Payments Protocol (AP2), Google’ın 60’tan fazla kuruluşla (Mastercard, PayPal, Adyen, American Express, Coinbase) birlikte geliştirdiği açık protokol⁵. AI agent’ların kullanıcı adına güvenli ödeme yapabilmesini sağlıyor.

AP2’nin çözdüğü problem: mevcut ödeme altyapıları “insan-present” senaryolar için tasarlandı. Agent’lar “human-not-present” senaryolarda ödeme yapacak. Bu, tamamen yeni bir güvenlik ve yetkilendirme katmanı gerektiriyor.

3 Mandate Tipi

AP2, kriptografik olarak imzalanmış Mandate (yetki belgesi) sistemi kullanıyor:

1. Intent Mandate: Agent’ın hangi koşullarda satın alma yapabileceğini tanımlar. “Human-not-present” senaryolar için. Örnek: “Ayda en fazla $50’a kadar ofis malzemesi alabilir.”

2. Cart Mandate: Kullanıcının belirli bir sepeti açıkça onaylaması. “Human-present” senaryolar için. Kullanıcının kriptografik imzası, inkar edilemez kanıt sağlıyor.

3. Payment Mandate: Ödeme ağı ve kartı veren kuruluşla paylaşılan belge. Agent müdahalesini ve kullanıcı varlığını/yokluğunu sinyalize ediyor.

Mandate’ler minimum ECDSA P-256 anahtarlarıyla imzalanıyor. A2A ve MCP’nin uzantısı olarak tasarlandı.

Neden önemli?

Agent commerce büyüdükçe, “agent benim bilgim dışında $5.000’lık alışveriş yaptı” senaryoları kaçınılmaz. AP2, bu senaryoları kriptografik kanıtla önlüyor: agent’ın neyi ne kadar satın alabileceği, kullanıcının imzasıyla sınırlandırılmış.

A2UI: Agent’ın Ne Göstereceği

Agent-to-User Interface (A2UI), Google tarafından geliştirilen deklaratif UI protokolü⁶. AI agent’ların zengin, interaktif kullanıcı arayüzleri üretmesini sağlıyor. Web, mobil ve masaüstünde native render.

18 Primitive

A2UI, 18 güvenli component primitive’inden oluşuyor. Agent bu primitive’leri compose ederek tamamen farklı arayüzler üretebiliyor:

• Layout: Row, Column, Card, Divider
• Input: TextField, CheckBox, DateTimeInput, Select
• Display: Text, Image, Table, Chart
• Action: Button, Link

Aynı 18 primitive’den: envanter kontrol listesi, sipariş formu veya tedarikçi karşılaştırma tablosu oluşturulabiliyor. Arbitrary code execution yok, sadece deklaratif blueprint.

Native-first yaklaşım

A2UI, opaque bir payload’ı sandbox’ta render etmek yerine, native component blueprint’i gönderiyor. Host uygulamanın style’ını ve accessibility özelliklerini miras alıyor. Bu, agent UI’ının uygulamanın geri kalanıyla tutarlı görünmesini sağlıyor.

Şu an v0.8 (Public Preview). Apache 2.0 lisanslı.

AG-UI: Agent ile Frontend Nasıl Konuşur

AG-UI (Agent-User Interaction Protocol), CopilotKit tarafından geliştirilen açık, hafif, event-tabanlı protokol⁷. Agent backend’inin frontend’le gerçek zamanlı iletişimini standartlaştırıyor.

A2UI “ne gösterilecek” sorusuna cevap verirken, AG-UI “nasıl iletilecek” sorusuna cevap veriyor.

Nasıl çalışıyor?

AG-UI, standart HTTP üzerinden tek bir JSON event akışı (SSE) gönderiyor. Event tipleri:

• Messages: Chat mesajları (text, tool call sonuçları)
• Tool calls: Frontend veya backend tool çağrıları
• State patches: Agent ve uygulama state’inin bi-directional senkronizasyonu
• Lifecycle signals: Başlangıç, bitiş, hata sinyalleri

Agent Backend ──SSE stream──> Frontend
              <──state sync──

Oracle, Google ve CopilotKit ortaklığı

2026’da Oracle, Google ve CopilotKit ortak bir entegrasyon yayınladı⁸: A2UI ile tanımlanan UI, AG-UI ile frontend’e iletiliyor, Oracle’ın Agent Spec’i ile agent tanımlanıyor. “Define once, render anywhere” yaklaşımı.

Protokoller Nasıl Birlikte Çalışıyor?

6 protokolü bir stack olarak düşünmek faydalı:

┌─────────────────────────────────────┐
│  A2UI + AG-UI  (Kullanıcı katmanı)  │  Agent ne gösterir, nasıl iletir
├─────────────────────────────────────┤
│  A2A           (Agent katmanı)      │  Agent'lar arası keşif ve delegasyon
├─────────────────────────────────────┤
│  UCP + AP2     (Ticaret katmanı)    │  Alışveriş akışı ve ödeme güvenliği
├─────────────────────────────────────┤
│  MCP           (Araç katmanı)       │  Veri ve araç erişimi
└─────────────────────────────────────┘

Pratik senaryo: Bir B2B satın alma agent’ı, MCP ile tedarikçi veritabanına bağlanır. A2A ile fiyat teklifi agent’ına görev delege eder. UCP ile sipariş akışını yönetir. AP2 ile ödemeyi yetkilendirir. A2UI ile kullanıcıya onay arayüzü sunar. AG-UI ile bu arayüzü gerçek zamanlı streaming ile iletir.

Her protokol bağımsız da çalışabilir. “Add protocols as you need them” prensibi geçerli: MCP ile başla, ihtiyaç oldukça diğerlerini ekle¹.

Pratik Değerlendirme: Solo Geliştirici Perspektifi

Protokol	Olgunluk	Benim kullanımım	Değerlendirme
MCP	Production-ready	8+ server aktif	Vazgeçilmez. Her gün kullanıyorum
A2A	v0.3 (stabil)	Kullanmıyorum	Multi-agent senaryolarda gerekecek
UCP	Erken aşama	Takip ediyorum	E-ticaret yapanlar için kritik
AP2	Spesifikasyon aşaması	Takip ediyorum	Commerce yapmayanlar için henüz erken
A2UI	v0.8 (preview)	Kullanmıyorum	Dashboard/rapor UI’ı için potansiyel
AG-UI	Aktif geliştirme	Kullanmıyorum	Frontend agent etkileşimi için gelecek vaat ediyor

MCP dışında hiçbirini henüz production’da kullanmıyorum. Ama protokollerin varlığı önemli: custom glue code yazmak yerine, standart bir katman üzerinden entegrasyon yapabilmek, solo geliştirici için büyük bir avantaj. AI destekli codebase audit yazısında MCP’nin audit sürecini “kuru dosya taraması”ndan “canlı sistem analizi”ne nasıl dönüştürdüğünü anlatıyorum.

Açık Sorular

Bu protokoller henüz olgunlaşma aşamasında. Cevaplanması gereken sorular:

1. Güvenlik yüzeyi: 6 protokolün her biri yeni bir saldırı vektörü. OWASP’ın “Top 10 for Agentic Applications 2026” listesi bu riskleri tanımlıyor ama pratik savunma rehberleri henüz yetersiz.

2. Vendor lock-in: UCP ve AP2’nin Google ekosistemindeki avantajı, açık standart olmanın ötesinde bir bağımlılık yaratabilir mi?

3. Interoperability gerçekliği: 6 protokolün birlikte çalışması teoride güzel. Pratikte kaç farklı implementasyon, kaç uyumsuzluk çıkacak?

4. Governance: MCP Anthropic’in, A2A Linux Foundation’ın, UCP/AP2 Google ağırlıklı, AG-UI CopilotKit’in. Bu dağıtık yönetim uzun vadede tutarlılık sağlayabilecek mi?

Bu soruları zaman cevaplayacak. Şimdilik en pragmatik yaklaşım: MCP ile sağlam bir temel kur, diğerlerini ihtiyaç oldukça ekle, gözlemle.

Footnotes

1. Developer’s Guide to AI Agent Protocols ↩ ↩²
2. Model Context Protocol ↩
3. Agent2Agent Protocol (A2A) ↩
4. UCP Updates ↩
5. Announcing Agent Payments Protocol (AP2) ↩
6. Introducing A2UI ↩
7. AG-UI: Agent-User Interaction Protocol ↩
8. Oracle adopts AG-UI protocol for Agent Spec ↩

Önemli Noktalar

• 01 MCP agent'ın dış dünyayla (veritabanı, API, dosya sistemi) konuşmasını sağlar. Anthropic tarafından geliştirildi, en olgun protokol.
• 02 A2A agent'ların birbirini keşfetmesini ve görev delegasyonunu standartlaştırır. /.well-known/agent-card.json ile capability discovery.
• 03 UCP e-ticaret akışını (keşif, sepet, checkout) agent'lar için standartlaştırır. Google, Shopify, Walmart ortaklığı.
• 04 AP2 ödeme yetkilendirmesini kriptografik mandate'lerle güvence altına alır. Intent, Cart ve Payment olmak üzere 3 mandate tipi.
• 05 A2UI ve AG-UI tamamlayıcı: A2UI ne render edileceğini tanımlar (18 primitive), AG-UI nasıl iletileceğini (SSE streaming, typed events).

Sık Sorulan Sorular (FAQ)

+ MCP ile A2A arasındaki fark nedir?

MCP, agent'ın araçlara ve verilere erişimini standartlaştırır (agent-to-tool). A2A ise agent'ların birbirleriyle iletişimini standartlaştırır (agent-to-agent). MCP 'ne yapabiliyorum' sorusuna, A2A 'kimle çalışabilirim' sorusuna cevap verir.

+ A2UI ile AG-UI arasındaki fark nedir?

A2UI deklaratif bir UI spesifikasyonu: agent'ın ne render edilmesi gerektiğini 18 primitive ile tanımlaması. AG-UI ise transport katmanı: bu UI bilgisinin SSE streaming ve typed event'lerle frontend'e nasıl iletileceği. A2UI 'ne', AG-UI 'nasıl' sorusuna cevap verir.

+ Bu protokollerin hepsini kullanmak zorunda mıyım?

Hayır. 'Add protocols as you need them' prensibi geçerli. MCP ile başla, agent'lar arası iletişim gerekiyorsa A2A ekle, ticaret yapıyorsan UCP/AP2 ekle. Protokoller modüler ve bağımsız çalışabilir.

+ AP2 neden gerekli, mevcut ödeme altyapıları yeterli değil mi?

Mevcut ödeme sistemleri insan-present senaryolar için tasarlandı. AI agent'lar 'human-not-present' senaryolarda ödeme yapacak. AP2, kriptografik mandate'lerle kullanıcının niyetini kanıtlanabilir şekilde belgeliyor ve agent'ın yetkisini sınırlıyor.