GitHub Tools が Vercel Connect を正式サポート
Vercel は GitHub Tools に Vercel Connect を正式統合し、永続的なトークンの管理不要化とランタイムでのスコープ限定トークン発行を実現した。
キーポイント
セキュリティ強化:トークン管理の不要化
従来の長期有効なパーソナルアクセストークンの保存・ローテーションが不要となり、コネクタからランタイムで短命かつスコープ限定のトークンを発行する仕組みを導入。
プリセットによる自動権限マッピング
code-review や issue-triage などのプリセットを選択することで、ツールが必要とする最小限の権限のみを持つトークンが自動的に付与される。
マルチテナント対応と動的スコープ制御
呼び出しごとにインストール ID やリポジトリ、スコープをオーバーライド可能にし、特定の環境や個別のリポジトリへのアクセス制御を柔軟に行える。
Vercel 上でのゼロコンフィグデプロイ
Vercel デプロイメントでは OIDC トークンによる自動認証が実現され、ローカル開発でも vercel link コマンドでシームレスに連携できる。
重要な引用
Instead of storing a long-lived personal access token, your agent mints short-lived, scoped GitHub tokens at runtime from a connector.
There is no secret to store, rotate, or leak.
Presets such as code-review, issue-triage, and maintainer map to Connect scopes automatically
Deployments automatically authenticate with the OIDC token.
影響分析・編集コメントを表示
影響分析
この発表は、AI エージェントや自動化ツールにおけるセキュリティベストプラクティスの転換点となる。従来の静的なトークン管理から動的で最小権限の認証モデルへ移行することで、大規模なデータ漏洩リスクを根本的に抑制し、企業レベルでの GitHub 連携利用をより安全かつ容易にする。
編集コメント
AI エージェントがコードやIssueを操作する際、永続的なトークン管理は最大のセキュリティリスクの一つでしたが、Vercel のこの実装はそれを「ゼロコンフィグ」かつ「自動最小権限」で解決する画期的なアプローチです。
GitHub Tools にて、新しいサブパス「@github-tools/sdk/connect」を通じて Vercel Connect のネイティブサポートが追加されました。これにより、長期有効なパーソナルアクセストークンを保存する必要はなくなります。エージェントは実行時にコネクターから、スコープ制限付きの短期トークンを動的に発行します。秘密鍵の保管やローテーション、漏洩のリスクもありません。
プロジェクトに GitHub コネクターをアタッチし、プリセットを選択してください。
プリセットのスコープ:「code-review(コードレビュー)」、「issue-triage(課題選別)」、「maintainer(管理者)」といったプリセットは自動的に Vercel Connect のスコープに対応します。これにより、ツールセットが必要とする権限のみをトークンに付与できます。
eve との連携:@github-tools/sdk/connect/eve からインポートし、agent/tools/ 内のファイル 1 つで、Connect ベースの認証を備えたフルツールセットを登録できます。
マルチテナント対応:呼び出しごとに installationId、リポジトリ、スコープをオーバーライドすることで、特定のインストール先を指定したり、個別のリポジトリへのアクセス権限を限定したりできます。
Vercel 上での設定不要:デプロイ時は OIDC トークンで自動的に認証されます。ローカル開発環境では、vercel link と vercel env pull を実行するだけで準備完了です。
カスタムツールファクトリの場合:connectGithubToken は、createGithubTools に直接渡せる遅延トークンプロバイダーを返します。
GitHub コネクターの作成とドキュメントの確認から始めましょう。
さらに詳しく読む
原文を表示
GitHub Tools now has first-class support for Vercel Connect through the new @github-tools/sdk/connect subpath. Instead of storing a long-lived personal access token, your agent mints short-lived, scoped GitHub tokens at runtime from a connector. There is no secret to store, rotate, or leak.
Attach a GitHub connector to your project and pick a preset:
Scopes from presets: Presets such as code-review, issue-triage, and maintainer map to Connect scopes automatically, so tokens carry only the permissions the toolset needs.
Works with eve: Import from @github-tools/sdk/connect/eve and one file in agent/tools/ registers the full toolset with Connect-backed auth.
Multi-tenant ready: Override installationId, repositories, or scopes per call to target a specific installation or narrow access to individual repos.
Zero-config on Vercel: Deployments automatically authenticate with the OIDC token. For local development, run vercel link and vercel env pull.
For custom tool factories, connectGithubToken returns a lazy token provider you can pass to createGithubTools directly.
Get started by creating a GitHub connector and reading the documentation.
Read more
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み