Mas nao tem nada a ver com CORS, não. Um cookie precisa pertencer a um domínio específico. É uma regra do cookie. Você até consegue definir cookie que abarque todos os subdomínios re um domínio. Mas imagine o problema de você definir um cookie que todos os sites da vercel estariam aptos a ler. Isso poderia gerar erro no seu e nos demais sistemas da hospedagem. Agora quando você comprar um domínio e fizer a separação, por exemplo, api.seunome.com e seunome.com, aí vai funcionar de boa.
Mas você precisa alterar seu código pois você está especificamente criando um cookie usando o subdomínio da api.