FlowTune Media

VercelがBetter Authを買収 — AIエージェントに「身分証」を与える時代が始まる

AIエージェントに認証情報をどう渡すか? 長寿命のAPIキーを環境変数に入れて祈る — それが現状の「ベストプラクティス」だった。

7月7日、Vercelがオープンソースの認証ライブラリBetter Authの買収を発表した。同時に公開されたのがAgent Auth — AIエージェント専用の、スコープ付き・失効可能なアイデンティティプロトコルだ。

Better Authとは

Better Authは週間470万以上のnpmダウンロードを誇る認証ライブラリだ。コントリビューター850人超、フレームワーク非依存、MITライセンス。Auth.jsの代替として急成長していた。

買収後もMITライセンスは維持され、オープンソースとして開発が続く。クローズド化のリスクが回避された点はまず評価できる。

Agent Auth — エージェントに「短命の身分証」を

従来、エージェントに外部サービスへのアクセスを許可するには、長寿命のAPIキーを渡すしかなかった。漏洩すれば全権限が奪われる。人間ならパスワードを変えればいいが、100体のエージェントが同じキーを使い回していたら、影響範囲の特定すら困難だ。

Agent Authは、エージェントごとにスコープを限定した一時的なアイデンティティを発行する。タスク完了で自動失効し、監査証跡が残る。人間のOAuthトークンと同じ考え方を、エージェントに適用した形だ。

Vercel Ship 2026の全体像で読む

この買収は「認証ライブラリを買っただけ」には見えない。6月のVercel Ship 2026で発表されたオープンソースのエージェントフレームワークeve、バックエンド統合のVercel Services、外部サービス接続のVercel Connectと合わせて見るべきだ。

eveでエージェントを構築し、Connectで外部サービスに接続し、ServicesでGo/Rails/FastAPIのバックエンドを統合する。Agent Authはこのスタックの認証レイヤーを埋めるピースになる。Vercelのデプロイの50%超がAIエージェント経由という現実を考えれば、認証基盤の強化は必然だった。

良い点

  • Better AuthがMITのまま残る。Vercelのリソースでメンテされることで品質向上が期待できる
  • Agent Authのコンセプトは正しい。エージェントが増えれば、人間と同じ粒度の権限管理が必要になる
  • eveがApache 2.0、Better AuthがMIT。エージェントスタックの主要コンポーネントがOSSで揃った

気になる点

  • Vercelのエコシステムへの依存度がさらに上がる。eve + Connect + Services + Agent Auth。垂直統合が進むほどロックインリスクは増す
  • Agent Authの本番向け機能がVercel限定になる可能性は否定できない。OSSの認証ライブラリと、プラットフォーム専用のエージェント認証は別物だ
  • 他のエージェントフレームワーク(LangChain、CrewAI等)からAgent Authを使えるかは不明

どう見るか

VercelがNext.jsでフロントエンドのデファクトを取り、v0でAIコーディングを取り、eveでエージェントフレームワークを取り、Agent Authで認証を取る。1つひとつは地味でも、積み上がった全体像はかなり野心的だ。

開発者としては、Agent Authの仕様がオープンスタンダードとして公開されるかどうかを注視したい。Vercel専用の閉じた仕組みか、MCPのようにエコシステム全体に広がるか。答え次第で、エージェント時代の認証の風景は変わる。

関連記事