Vercelは2026年5月27日(現地時間)、同社のAI Gatewayがチーム全体のプロバイダー許可リスト機能のサポートを開始したと発表した。この新機能により、チームはAI Gatewayを介してリクエストを処理できるAIプロバイダーを制限し、承認されたプロバイダーのみにトラフィックをルーティングすることが可能となる。Bring Your Own Key (BYOK) トラフィックを含む、AI Gatewayを通る全てのリクエストに適用される。
規制対象チームは、セキュリティおよび法務部門の承認を経て選定したAIベンダーセットに限定するためのルーティング保証として、この機能を利用できる。この制限はゲートウェイレベルで適用され、チームの開発者が組織によって承認されていないプロバイダーにトラフィックをルーティングすることはできない。
コーディングエージェントがリクエストレベルのプロバイダーフィルターを省略または変更した場合でも、AI Gatewayは未承認のプロバイダーをブロックする。プロバイダー許可リストの変更はチームオーナーのみが行うことができ、一元化された管理と監査が可能となる。許可リストがオンの場合、新しいプロバイダーはデフォルトで無効化されるため、AI Gatewayに新しいベンダーが統合されても、承認済みプロバイダーのセットが自動的に拡張されることはない。
設定はAI Gateway SettingsタブからProvider Allowlistをオンにすることで有効化できる。全ての既存プロバイダーはデフォルトで許可されるため、既存のトラフィックには影響はない。許可リストはモデルではなくプロバイダー単位でフィルターを行い、最初のプロバイダーが失敗した場合は、AI Gatewayは同じモデルの他の許可されたプロバイダーにフォールバックする。この機能は、Zero Data Retention (ZDR) やリクエストレベルのフィルタリングなど、チームに適用される他の制限と連携して機能する。例えば、チームが許可リストでDeepSeekプロバイダーを無効にしている場合、そのプロバイダーへのルーティングを固定するリクエストはAI Gatewayによって拒否される。Provider Allowlistは、AI SDK、OpenAI Chat Completions API、Anthropic Messages APIを含む、AI Gatewayがサポートする全てのAPIフォーマットで動作する。
参考: Vercel Blog (アーカイブ) — 2026年5月28日 09:00 (JST)
原文ハイライト"Only team owners can modify the provider allowlist, keeping control centralized and auditable."