Vercel Blob 支持 OIDC：Agent 上传先清理长期密钥

这篇解决什么

Agent 经常需要上传日志、图片、构建产物和数据文件。如果继续使用长期写入 token，凭证泄露会影响整个存储桶。

适合谁

适合在 Vercel 上做内容站、AI 图片生成、日志归档、Agent 上传和自动部署的团队。

操作步骤

1. 盘点项目里所有 BLOB_READ_WRITE_TOKEN 和上传脚本
2. 把新项目切到默认 OIDC 认证
3. 老项目按 Vercel 指引升级 Blob store
4. 更新 CLI 和 SDK 版本，确认本地 Agent 能取到短期凭证
5. 删除 CI、.env 和文档里的长期 token
6. 用一次上传、列出、删除样本验证权限

可复制模板

项目：
Blob store：
旧 token 位置：
OIDC 状态：
CLI/SDK 版本：
删除记录：
验证样本：

验收清单

• 长期 token 已盘点
• OIDC 已开启
• CLI/SDK 已更新
• 旧密钥已删除
• 上传删除样本通过

常见错误

• 只收藏产品更新，没有改成自己的任务卡、权限表和验收证据。
• 直接在生产账号、生产仓库或公开页面试新功能，没有先跑低风险样本。
• 只看工具能力，不记录成本、失败率、人工接管次数和恢复动作。
• 把外部链接当正文主体，读者离开页面后才知道怎么做。

30 分钟小样本

前 5 分钟写清输入、目标和风险边界；中间 15 分钟按步骤跑一个低风险样本；最后 10 分钟记录输出、失败点、人工修改量和下一次复用条件。样本不通过时，只修失败点，不扩大范围。

下一步怎么用

第一次执行时把它当成个人操作卡；第二次复用时沉淀为团队模板；第三次仍然稳定后，再升级为固定 SOP、Skill 或工具导航页。涉及账号、发布、删除、付费、生产代码和客户数据的动作，必须保留人工确认点。

资料依据

• Vercel Changelog / Vercel Blob now supports OIDC authentication / 2026-06-01

标签