VercelがBetter Authを買収 — AIエージェントに「身分証」を与える時代が始まる
AIエージェントに認証情報をどう渡すか? 長寿命のAPIキーを環境変数に入れて祈る — それが現状の「ベストプラクティス」だった。
7月7日、Vercelがオープンソースの認証ライブラリBetter Authの買収を発表した。同時に公開されたのがAgent Auth — AIエージェント専用の、スコープ付き・失効可能なアイデンティティプロトコルだ。
Better Authとは
Better Authは週間470万以上のnpmダウンロードを誇る認証ライブラリだ。コントリビューター850人超、フレームワーク非依存、MITライセンス。Auth.jsの代替として急成長していた。
買収後もMITライセンスは維持され、オープンソースとして開発が続く。クローズド化のリスクが回避された点はまず評価できる。
Agent Auth — エージェントに「短命の身分証」を
従来、エージェントに外部サービスへのアクセスを許可するには、長寿命のAPIキーを渡すしかなかった。漏洩すれば全権限が奪われる。人間ならパスワードを変えればいいが、100体のエージェントが同じキーを使い回していたら、影響範囲の特定すら困難だ。
Agent Authは、エージェントごとにスコープを限定した一時的なアイデンティティを発行する。タスク完了で自動失効し、監査証跡が残る。人間のOAuthトークンと同じ考え方を、エージェントに適用した形だ。
Vercel Ship 2026の全体像で読む
この買収は「認証ライブラリを買っただけ」には見えない。6月のVercel Ship 2026で発表されたオープンソースのエージェントフレームワークeve、バックエンド統合のVercel Services、外部サービス接続のVercel Connectと合わせて見るべきだ。
eveでエージェントを構築し、Connectで外部サービスに接続し、ServicesでGo/Rails/FastAPIのバックエンドを統合する。Agent Authはこのスタックの認証レイヤーを埋めるピースになる。Vercelのデプロイの50%超がAIエージェント経由という現実を考えれば、認証基盤の強化は必然だった。
良い点
- Better AuthがMITのまま残る。Vercelのリソースでメンテされることで品質向上が期待できる
- Agent Authのコンセプトは正しい。エージェントが増えれば、人間と同じ粒度の権限管理が必要になる
- eveがApache 2.0、Better AuthがMIT。エージェントスタックの主要コンポーネントがOSSで揃った
気になる点
- Vercelのエコシステムへの依存度がさらに上がる。eve + Connect + Services + Agent Auth。垂直統合が進むほどロックインリスクは増す
- Agent Authの本番向け機能がVercel限定になる可能性は否定できない。OSSの認証ライブラリと、プラットフォーム専用のエージェント認証は別物だ
- 他のエージェントフレームワーク(LangChain、CrewAI等)からAgent Authを使えるかは不明
どう見るか
VercelがNext.jsでフロントエンドのデファクトを取り、v0でAIコーディングを取り、eveでエージェントフレームワークを取り、Agent Authで認証を取る。1つひとつは地味でも、積み上がった全体像はかなり野心的だ。
開発者としては、Agent Authの仕様がオープンスタンダードとして公開されるかどうかを注視したい。Vercel専用の閉じた仕組みか、MCPのようにエコシステム全体に広がるか。答え次第で、エージェント時代の認証の風景は変わる。
関連記事
XがMCPサーバーを公式提供 — Claude DesktopからXを直接操作する時代へ
X(旧Twitter)が公式ホスト型MCPサーバーを公開。Claude DesktopやCursorからポスト検索・トレンド取得・記事投稿が可能に。
RAGパイプラインの構築が面倒すぎる問題を、Mistralが1つのOSSで解決しにきた
Mistral Search ToolkitはRAGの取り込み・検索・評価を統合するOSSフレームワーク。LangChainとの違いと使い所を解説
エラーメッセージは人間のためのものだった — Vercel Zeroが問い直す「AIの言語」
Vercel LabsがAIエージェント専用のシステムプログラミング言語「Zero」を公開。コンパイラがJSONでエラーを出力し、エージェントが自力で修復する設計思想を解説。