Vercel Agent:本番環境に近い場所で活動できるエージェント
Vercel は、プロダクション環境で自律的に障害調査や修正提案を行う「Vercel Agent」を発表し、従来の過剰な権限に依存しない新しいセキュリティモデルを導入した。
キーポイント
自律的なプロダクション対応能力
アラート発生時に即座にログやメトリクスを調査し、根本原因を特定して修正案を提示するだけでなく、承認後は自動でロールバックや PR 作成を実行できる。
新しい権限管理モデルの導入
エージェントがユーザーの完全な権限を継承する従来のリスクに対し、独自のアイデンティティを持つことで、誰が・何を・どこで実行するかを厳密に制御する仕組みを採用した。
多様なタスクの実行機能
プルリクエストのレビュー、コスト増の原因特定、ビルド失敗の修正、リリース前の安全性確認など、開発者が指示を出せば実行し、結果を承認待ちで提示する。
セキュリティとリスク管理
デフォルトは読み取り専用であり、変更を加えるには明示的な許可が必要で、ユーザーの権限に依存しない独立したアイデンティティを持つことで blast radius(被害範囲)を最小化する。
計画ベースの権限管理 (Plan-to-Permission)
Vercel Agent はデフォルトで読み取り専用であり、変更を行うには具体的なプランを提案し承認を得ることで一時的な権限を取得します。これにより、最小権限の原則が設計に組み込まれ、承認された範囲外での動作を防ぎます。
サンドボックスによるコード検証
生成されたコードは本番環境ではなく、プロジェクトの実態を模した Firecracker マイクロVM(Vercel Sandbox)内で実行・検証されます。これにより、テストやリンターに合格しない変更が本番システムや PR として提出されることを防ぎます。
独立したアイデンティティと追跡可能性
エージェントはユーザーとは異なる「vercel-agent」という独自の主体として動作し、すべての行動が誰の依頼で誰が承認し、エージェントが実行したかを記録します。これにより、人間の操作とエージェントの操作を明確に区別し、不審な行為を追跡可能にします。
影響分析・編集コメントを表示
影響分析
この発表は、AI エージェントが単なる情報提供ツールから、実際のインフラ変更を実行する「アクティブなオペレーター」へと進化することを示す重要な転換点です。特に、エージェントの権限をユーザーの権限に依存させない独自のアイデンティティモデルを確立した点は、生産環境での AI 実装におけるセキュリティ懸念に対する画期的な解決策となり得ます。
編集コメント
従来の AI ツールが「指示待ち」に留まっていたのに対し、Vercel Agent は承認プロセスを挟みつつも自律的に行動できる点で、DevOps の未来像を示唆しています。特に権限管理の仕組みは、実運用における信頼性の鍵となる重要な要素です。
本日、Vercel Agent の機能を拡張します。当初はアラートのトリアージやプルリクエストのレビューから始まりましたが、今ではダッシュボード内に拠点を構え、本番環境の調査、プロジェクトに関する質問への回答、承認後のアクション実行が可能になりました。
Vercel Agent はアプリをデプロイし実行するプラットフォームに組み込まれているため、本番環境で何らかの変化が生じた際、最初の対応者となります。ユーザーがラップトップを開く前に、ログ、メトリクス、デプロイを自律的に調査し、根本原因を特定して修正策を提案します。
Vercel Agent は独自のアイデンティティの下で動作し、デフォルトは読み取り専用です。Vercel Dashboard、GitHub、CLI を通じてアクセスできます。
Vercel Agent があなたに提供するもの
私たちは数ヶ月にわたり、本番環境のデプロイで Vercel Agent を運用してきました。典型的な調査プロセスは以下の通りです。
夜 11 時に不良なデプロイがリリースされ、チェックアウトエンドポイントで 500 エラーが発生し始めます。オンコールエンジニアがログインする頃には、Vercel Agent はすでにエラーを 4 分前にリリースされたデプロイに特定し、即時のロールバックを推奨しています。エンジニアがその計画を承認すると、権限付与のもと Vercel Agent は直前の本番環境へのデプロイへロールバックし、エンドポイントを修正するためのプルリクエスト作成に取り掛かります。
アラート発生から緩和までの時間:3 分未満。
Vercel Agent でできること
Vercel Agent を自分で直接操作することもできます。タスクを任せるだけで、下準備や調査を行い、質問に答えるか、承認が必要な修正案を提示します。ただし、生産環境に対して単独で変更を加えることはありません。例えば:
プルリクエストのレビューを行います。PR の確認を依頼すると、CI 実行では検出されないパフォーマンスの低下やリスクのある変更点を指摘します。
コスト増の原因を追跡します。請求額が急増した理由を尋ねると、コード変更によって毎回ページをサーバーサイドレンダリングしているなど、キャッシュされていない要因を特定します。承認を得た上で修正を実行し、プルリクエストを作成します。
ビルドの失敗を修正します。Vercel Agent に失敗したデプロイ先を指定すると、ログを読み込み、問題のある設定を見つけ、更新許可を求め、サンドボックス環境でビルドをテストします。
リリース可能か確認します。機能フラグについて問い合わせると、コードとリアルタイムメトリクスを確認し、展開が安全かどうかを判断して回答します。
生産環境におけるエージェントの新しいセキュリティモデル
アプリを修正できるエージェントは、同時に壊すこともできます。したがって、生産環境に近づけるエージェントに対して最初に問われるのは、「どのようにすればデプロイや設定変更、データへのアクセスを安全に行えるのか」という点です。現在、多くのエージェントに対する答えは「安全ではない」です。
その理由は、エージェントがユーザーのフルパーミッションを引き継いでいるからです。ユーザーからの不適切なプロンプトや、混乱したサブエージェントによる操作は、ユーザー自身が直接行った場合と同じ被害範囲(ブラスト・レイジ)をもたらします。これまでの選択肢は、「読み取り専用」か「常時アクセス権を持つ」かの二者択一で、慎重だが制限された状態か、能力はあるが危険な状態のどちらかでした。
Vercel Agent は、エージェントの正体、許可される行為、コードの実行場所という 3 つの要素に基づいて構築された新しい権限モデルを実装しています。
Vercel Agent には独自のアイデンティティがあります
ほとんどのエージェントはあなたに代わって行動します。1 つ接続すれば、セッション全体を通じてあなたのアイデンティティとアクセス権限を行使します。エージェントができることとあなたができることの間に境界線はありません。
Vercel Agent は、vercel-agent という独自のプリンシパルとして実行されます。これは 2 つの理由で重要です:
帰属(Attribution): エージェントの行動は常にあなたの行動とは区別されます。すべての変更には、誰が要求し、誰が承認し、Vercel Agent が実行したかが記録されます。エージェントが行ったことのすべてを追跡可能です。
権限(Authority): 別のアイデンティティを持つことは、別の権限を持つことを意味しません。エージェントはあなたのアクセス権を継承するのではなく、プランの承認によって明示的に付与されたもののみを取得し、指示している人物がすでに持っている権限を超えることはありません。
プランこそが権限です
SDLC(ソフトウェア開発ライフサイクル)にエージェントを統合する場合、通常は最初から広範なアクセス権を付与することから始まります。これは必要以上に多く、必要な期間よりも長くアクセスを与えることになります。しかし、誰かがエージェントにプロンプトを与えられれば、そのアクセスが及ぶ範囲のすべてに到達できてしまいます。あなたが付与する権限とは、あなたが受け入れるリスク(エクスポージャー)のことです。
Vercel Agent はデフォルトで読み取り専用です。デプロイのロールバックや設定の変更、キャッシュのクリアなど、それ以上の作業を行う必要がある場合、エージェントはプランを提案し、そのプランに限定されたアクセス権限を要求します。あなたが承認すると、エージェントが作業を実行し、プラン完了直後に再び読み取り専用に切り替わります。
プランを承認すると、エージェントは自分が指定したタスクに対してのみ、限定的かつ一時的な権限を獲得し、それ以外のことは一切できません。エージェントが行うすべての呼び出しには、3 つのチェックが必須です。すなわち、その権限、トークンのスコープ、そしてチームの既存のパーミッションです。これら 3 つすべてが許可する場合にのみ実行され、これらのチェックはプラットフォーム内に実装されているため、モデルが何を行おうとも常に有効です。
私たちはこれを「プランからパーミッションへのプロンプトモデル」と呼びます。これは設計上、最小限の権限(least privilege)を実現しています。万が一何か問題が発生しても、Vercel エージェントはあなたが承認したプラン内でのみ行動できます。本番環境を修復できるだけの能力を持ちながら、同時にその範囲内で完結させることで、実際に運用に耐えうるエージェントなのです。
生成されたコードはサンドボックスで実行される
プランからパーミッションへのプロンプトモデルは、エージェントが何を実行できるかを制御します。しかし、コードを書くあらゆるエージェントが直面する第 2 の問題があります。それは、実行してみなければそのコードが正しく動作するかどうかがわからないという点です。
Vercel エージェントが生成したコードは、Vercel Sandbox(一時的な Firecracker マイクロ VM)内で実行されます。サンドボックス内では、そのコードはあなたのライブシステムやホスト環境から完全に隔離されています。
このサンドボックスはプロジェクトの完全なコピーであり、エージェントは生成されたコードを実際のビルド、テスト、リンターに対して実行し、合格したものだけを提示します。例えば、失敗している設定を修正する必要がある場合、エージェントは変更を加え、サンドボックス内で実行して合格することを確認した上で、プルリクエスト(PR)として提示します。
エージェントは自由にコードを書き実行できますが、壊れたものをあなたに見せたり、本番環境に導入したりすることは決してできません。
耐反発性インフラストラクチャ
エージェント時代は、2 つの天井によって定義されるでしょう。1 つはモデルが何ができるかという点であり、もう 1 つはそのうちどれを任せるかという点です。モデルが進化するにつれて、前者の重要性は相対的に低下し、後者の重要性が増していきます。すべては信頼にかかっています。
より優れたモデルでも誤りが少なくなるだけであり、依然として非決定論的であり、非決定論的なシステムは非決定論的に失敗します。安全性を語るには、エージェントが毎回正しく動作することを前提にすることはできません。信頼はシステムの中に存在しなければならず、そのシステムはミスが発生した際のコストによって評価されます。
私たちは長年にわたり、このコストを下げ続けることに注力してきました。不変デプロイ(immutable deployments)により、すべてのデプロイが保存され、不良のデプロイもロールバックで即座に復旧可能です。これは当初エージェントのために構築されたものではありませんが、自律システムが必要とするまさにそのガードレールです。
安全性がインフラストラクチャ自体に組み込まれている場合、エージェントによるミスは封じ込められ、人間のミスによるコストも軽減されます。
これが私たちが「反脆弱なインフラストラクチャ」と呼ぶものです。自律システムに実力を与える際にも、それが常に正しいと信じる必要はありません。基盤が誤りでも支え続けるからです。権限を持つことが、もはや信頼を要求するものではなくなります。
エージェントが作業を行い、あなたがプロダクションへ到達する内容をコントロールし続けます。そして何か問題が発生した場合(エージェントによるもの也好ましくとも)、それを元に戻すことができます。これがエージェント時代に必要な基盤であり、Vercel を利用すれば、あなたはすでにその上に立っています。
次なるステップ
本日、Vercel Agent は本番環境のアプリやエージェントに関する異常の調査、プルリクエストの作成、および質問への回答が可能になりました。今後は、コードベース全体にわたる深いセキュリティレビューや、フロントエンドのデザイン・UX レビューなど、必要に応じて専門家に委任する機能も提供されます。
始め方
Vercel Agent は現在、Pro および Enterprise チーム向けに段階的に展開されています。利用可能になった時点で、アクセスをリクエストするか、ダッシュボードサイドバーの「Agent」セクションから有効化してください。
もっと読む
原文を表示
Today we're expanding Vercel Agent. It started by triaging alerts and reviewing your pull requests. Now it has a home in your dashboard, where it can investigate production, answer questions about your projects, and take action once you approve it.
Because Vercel Agent is built into the platform that deploys and runs your app, when something changes in production, it's your first responder. It autonomously investigates your logs, metrics, and deployments, finds the root cause, and proposes a fix, before you've opened your laptop.
Vercel Agent works under its own identity and is read-only by default. You can reach it through the Vercel Dashboard, GitHub, and the CLI.
What Vercel Agent does for you
We've been running Vercel Agent on our production deployments for months. This is what a typical investigation looks like.
A bad deploy ships at 11pm and the checkout endpoint starts throwing 500s. By the time the on-call engineer logs in, Vercel Agent has already traced the errors to the deploy that shipped four minutes earlier, and recommends an instant rollback. The engineer approves the plan. With permission, Vercel Agent rolls back to the previous production deployment and begins working on a PR to fix the endpoint.
The time from alert to mitigated: less than three minutes.
What you can do with Vercel Agent
You can also direct Vercel Agent yourself. Hand it a task and it does the legwork, then either answers your question or hands you a fix to approve. It never changes production on its own. For example:
Review a pull request. Tell it to look at a PR and it flags performance regressions and risky changes that a passing CI run won’t show.
Trace a cost increase. Ask why your bill jumped and it finds the culprit, like a code change that server-renders a page on every request instead of caching. With approval, it writes the fix and opens a PR.
Fix a broken build. Point Vercel Agent at a failed deployment and it reads the logs, finds the failing config, asks permission to update it, and tests the build in a sandbox.
Check if you're clear to ship. Ask about a feature flag and it reads the code and live metrics, then tells you whether it's safe to roll out.
A new security model for agents in production
An agent that can fix your app can also break it. So for any agent you let near production, the first question is: how is it safe to let it deploy, change your config, or touch your data? The answer, for most agents today, is that it isn't.
That's because they inherit your full permissions. One bad prompt from you or a confused sub-agent has the same blast radius as you. The choice has been read-only or standing access, careful-but-limited or capable-but-dangerous.
Vercel Agent implements a new permissions model, built on three things: who the agent is, what it's allowed to do, and where its code can run.
Vercel Agent has its own identity
Most agents act as you. Connect one, and it acts with your identity and your access for the whole session. There's no line between what the agent can do and what you can do.
Vercel Agent runs as its own principal, vercel-agent. This matters for two reasons:
Attribution: The agent's actions are always distinguishable from yours. Every change records who asked for it, who approved it, and that Vercel Agent carried it out. Nothing it does is untraceable.
Authority: A separate identity doesn't mean separate power. The agent doesn't inherit your access; it gets only what plan approval explicitly grants, and never more than the person directing it already has.
The plan is the permission
Integrating agents into your SDLC usually starts the same way, by granting them broad access up front, more than they need and for longer than they need it. But anyone who can prompt the agent can reach whatever that access touches. The permissions you grant are the exposure you accept.
Vercel Agent is read-only by default. To do something more, like rolling back a deploy, changing a config, or clearing a cache, it proposes a plan and requests access scoped specifically to that plan. You approve it, the agent does the work, then drops back to read-only as soon as the plan is completed.
When you approve a plan, the agent gets a short-lived capability for exactly the tasks it named, and nothing else. Every call it makes has to pass three checks: that capability, the token's scope, and your team's existing permissions. It runs only where all three allow it, and those checks live in the platform, so they hold no matter what the model does.
We call this the plan-to-permission prompt model. It's least privilege, by design. Even if something goes wrong, Vercel Agent can only act inside the plan you approved. It's an agent capable enough to fix production, and contained enough to actually let it.
Generated code runs in a sandbox
The plan-to-permission prompt model controls what the agent is allowed to do. But any agent that writes code faces a second problem: there’s no way to know the code works until you run it.
The code Vercel Agent generates runs in Vercel Sandbox, an ephemeral Firecracker microVM. Inside the sandbox, that code is isolated from your live systems and the host environment.
The sandbox is a real copy of your project, so the agent runs generated code against your actual build, tests, and linters, and only surfaces what passes. Say the agent needs to fix a failing config. It writes the change, runs it in the sandbox to confirm it passes, and surfaces it in a PR.
The agent can write and run code freely, and still can't put anything broken in front of you or into production.
Anti-fragile infrastructure
The agent era will be defined by two ceilings. One is what the model can do; the other is how much of that you'll let it do. As models improve, the first matters less and the second is what counts. It all comes down to trust.
A better model is wrong less frequently, but it is still non-deterministic, and non-deterministic systems fail non-deterministically. A safety story can’t rest on an agent getting it right every time. The trust has to live in the system, and the system is judged by what a mistake costs.
We have spent years driving that number down. Immutable deployments mean every deploy is preserved and a bad one is a rollback away. We didn’t build that for agents initially, but it’s exactly the guardrail an autonomous system needs.
When safety is built into the infrastructure itself, agent mistakes are contained and human mistakes are less costly.
This is what we mean by anti-fragile infrastructure. You can give an autonomous system real power without betting on it being right, because the foundation holds when it's wrong. Power stops requiring trust.
The agent does the work, you stay in control of what reaches production, and when something goes wrong, by the agent or by you, you can take it back. That's the ground the agent era needs, and with Vercel, you're already standing on it.
What’s next
Today, Vercel Agent can investigate anomalies, open PRs, and answer questions about your apps and agents in production. Soon, it will delegate to specialists on demand, like deep security review across your codebase, or design and UX review of your frontend.
Get started
Vercel Agent is rolling out gradually to teams on Pro and Enterprise. Request access, or enable it in the "Agent" section of your dashboard sidebar once it's available to your team.
Read more
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み