この記事の対象読者
- AIエージェントという言葉を聞いたことはあるが、実態がよくわからない方
- ChatGPTやClaudeは使っているが「もっと自動化したい」と感じている方
- OpenClawの名前は知っているが、セキュリティリスクを含めた全体像を把握したい方
この記事で得られること
- OpenClawの正体: 誰が、なぜ、どうやって作ったのかという背景と設計思想
- 既存ツールとの比較: ChatGPT・Siri・Rabbit R1との決定的な違いが理解できる
- 光と影の両面: 187,000 GitHub Starsの熱狂と、CVE-2026-25253に代表される深刻なセキュリティリスク
- 自分に必要かどうかの判断基準: 導入すべき人・すべきでない人の明確な線引き
この記事で扱わないこと
- OpenClawの詳細なインストール手順(別記事で解説予定)
- ClawHubスキルの自作方法
- 具体的なコード実装のハンズオン
1. OpenClawとの出会い
「AIって、なんで質問に答えるだけで、実際に何かやってくれないの?」
2026年に入ってから、この疑問がずっと頭にあった。ChatGPTに聞けば答えは返ってくる。Claudeにコードを書かせれば動くものが出てくる。でも、メールを代わりに送ってくれたり、カレンダーを整理してくれたり、ファイルを勝手に片付けてくれたりはしない。
そんなとき、Twitterのタイムラインに流れてきたのが OpenClaw だった。GitHub Starsが72時間で6万を突破し、2週間で187,000に到達。Reactが8年かけて到達した数字を、週末で超えてしまったプロジェクト。
OpenClawを一言で表すなら、こうだ。
「レシピを教えてくれるAI」ではなく、「実際にキッチンに立って料理してくれるAI」
ただし、この「料理してくれるAI」には、包丁の扱いがまだ危なっかしい側面もある。この記事では、光と影の両面を正直に解剖していく。
ここまでで、OpenClawがどんなものか、なんとなくイメージできたでしょうか。次は、この記事で使う用語を整理しておきましょう。
2. 前提知識の確認
本題に入る前に、この記事で登場する用語を確認します。
2.1 AIエージェントとは
従来のチャットAI(ChatGPT、Claudeなど)は「質問→回答」の一方通行だった。AIエージェントは、これに加えて外部ツールを操作し、自律的にタスクを実行する能力を持つ。人間で言えば、「相談相手」と「秘書」の違いだ。
2.2 LLM(大規模言語モデル)とは
GPT-5.3、Claude Opus 4.6、DeepSeek R1など、大量のテキストデータで訓練されたAIモデルのこと。OpenClawは自分自身にはLLMを内蔵しておらず、外部のLLMに「頭脳」として接続する設計になっている。APIキーを自分で持ち込む(BYOK: Bring Your Own Key)スタイルだ。
2.3 Gatewayとは
OpenClawの中核プロセス。ローカルマシン上で常駐し、メッセージングプラットフォーム(WhatsApp、Telegram、Discord等)からの入力を受け取り、LLMに送り、結果をツール実行に変換する「司令塔」の役割を果たす。
2.4 プロンプトインジェクションとは
悪意のある命令文をAIが処理するデータ(メール、Webページ、画像など)に埋め込み、AIを騙して意図しない動作をさせる攻撃手法。LLMの根本的な脆弱性であり、完全な防御策は存在しない。
これらの用語が押さえられたら、OpenClawの背景を見ていきましょう。
3. OpenClawが生まれた背景
3.1 作者: Peter Steinberger — PDFの帝王からAIエージェントの先駆者へ
OpenClawを作ったのは、オーストリア出身の開発者 Peter Steinberger 氏だ。
彼は2011年にPSPDFKitという会社を創業し、PDFレンダリングツールキットを13年間かけて育てた。Dropbox、DocuSign、SAP、IBM、Volkswagen——10億台以上のデバイスで使われるプロダクトに成長させ、2021年にInsight Partnersから1億ユーロ超の出資を受けている。
要するに、ソフトウェアの世界で一度「勝った」人間だ。
転機は2025年4月。Twitterの分析ツールを作ろうとした時、AIが「パラダイムシフト」を起こしていることに気づいた。コードの面倒な「配管作業」をAIが処理できるようになり、もっと高次の「設計」に集中できる時代が来た、と。
最初のプロトタイプは、WhatsAppとClaude Code CLIを1時間で繋いだだけのものだった。それが「Clawd」(Claudeのもじり)と名付けた個人用AIアシスタントに育ち、2025年11月に「Clawdbot」としてオープンソース公開された。
3.2 バタバタリネーム劇 — 名前が3回変わった理由
| 時期 | 名称 | 経緯 |
|---|---|---|
| 2025年11月 | Clawdbot | 初回公開。Anthropicの「Claude」をもじった名前 |
| 2026年1月27日 | Moltbot | Anthropicから商標クレーム。ロブスターの脱皮(molt)に由来 |
| 2026年1月30日 | OpenClaw | 「Moltbot」が語呂が悪いため再改名。現在に至る |
この改名劇の最中、悲劇が起きた。旧 @clawdbot のアカウントを手放した瞬間、暗号資産詐欺グループがアカウントを乗っ取り、偽のガバナンストークン $CLAWD を発行。市場価値が数時間で1,600万ドルに高騰し、真相が判明すると一瞬でゼロに暴落した。いわゆる「10秒の大災害」だ。
Steinberger氏はLex Fridmanのポッドキャストで「プロジェクトを消そうかと思った」と語っている。それでも続けた結果、2026年2月にはGitHub Stars 187,000超(史上最速ペース)を記録し、OpenAIからのacqui-hire(人材獲得型採用)に至った。
3.3 なぜ大企業はOpenClawを作れなかったのか
ここが面白いところだ。OpenClawには革新的な独自技術はない。AnthropicのClaude APIを呼び、オープンソースのフレームワークを使い、普通のサーバーで動く。Google、OpenAI、Microsoftのエンジニアなら技術的には「もっとうまく」作れるはずだ。
しかし、大企業は作れなかった。
理由は明快で、大企業のAIはセキュリティ上の制約から、ローカルファイルへの直接書き込みや外部APIとの自由な連携が制限されている。Steinberger氏はこの「壁に囲まれた庭(Walled Garden)」に対するアンチテーゼとしてOpenClawを設計した。
「Steinbergerはプロダクトを作っているのではない。自分自身の問題を解決している」——この評価が的を射ている。自分が欲しいものを作ったら、それが何千人もの開発者の問題も解決していた、という話だ。
背景がわかったところで、基本的な仕組みを見ていきましょう。
4. 基本概念と仕組み
4.1 アーキテクチャ — ホテルのメタファー
Steinberger氏自身がOpenClawのアーキテクチャを「ホテル」に例えている。
| 構成要素 | ホテルでの役割 | 実際の機能 |
|---|---|---|
| Gateway | コンシェルジュデスク | すべてのリクエストをルーティングする司令塔 |
| Channels | 入口(正面玄関、裏口…) | WhatsApp、Telegram、Discord等のメッセージング連携 |
| Agents | スタッフ | 各エージェントが独自の性格とツールを持つ |
| Memory | 長期アーカイブ | Markdownファイルで会話履歴と文脈を永続化 |
| Skills | スタッフの専門技術 | 拡張プラグイン(100以上がClawHubで公開) |
全体が単一プロセスとしてローカルマシン上で動作し、会話はテキストファイルとして保存される。データベース不要、クラッシュセーフ、人間が読める形式だ。
4.2 「常駐型」という決定的な違い
ChatGPTやClaude Codeは、ブラウザやターミナルを開いている間だけ動く「セッションベース」のツールだ。対してOpenClawは**デーモン(常駐プロセス)**として24時間365日稼働する。
従来のAI:
ユーザーがブラウザを開く → 質問する → 回答を得る → ブラウザを閉じる → AI停止
OpenClaw:
Gateway常駐 → メッセージ受信を待機 → 指示があれば即実行
→ 定期タスク(Heartbeat)で自律的にも動作 → 24/7稼働
この「Heartbeat」機能が象徴的だ。Steinberger氏のオリジナル設定は「30分ごとに何か面白いことをしてくれ」というもの。彼が肩の手術で入院中、エージェントは会話履歴から手術のことを知っていて、自発的に「大丈夫ですか?」とメッセージを送ってきた。
4.3 モデル非依存 — 「頭脳」は選べる
OpenClawは特定のLLMに縛られない。以下のモデルをAPIキー持ち込みで利用できる。
| プロバイダ | 対応モデル例 | 備考 |
|---|---|---|
| Anthropic | Claude Opus 4.6, Sonnet 4.5 | プロンプトインジェクション耐性が最も高いとされる |
| OpenAI | GPT-5.3 | 推論能力に強み |
| DeepSeek | DeepSeek R1 | コスト効率が高い |
| ローカルLLM | Ollama / llama.cpp 経由 | 完全ローカル運用が可能 |
基本概念が理解できたところで、OpenClawが「何に似ているのか」を比較していきましょう。
5. 何と似ていて、何が違うのか — 既存ツール比較
5.1 比較マトリクス
OpenClawの立ち位置を理解するために、代表的なAIアシスタントと比較する。
| 項目 | OpenClaw | ChatGPT | Siri | Rabbit R1 |
|---|---|---|---|---|
| カテゴリ | 自律型エージェント | 会話型プラットフォーム | 組み込みエコシステム | 専用AIデバイス |
| 実行場所 | ローカルマシン | OpenAIサーバー | Apple製デバイス | 専用ハードウェア |
| 常時稼働 | ✅ 24/7デーモン | ❌ セッション限定 | ⚠️ 呼びかけ時のみ | ⚠️ バッテリー依存 |
| 永続メモリ | ✅ Markdownファイル | ⚠️ 限定的 | ❌ なし | ⚠️ 限定的 |
| ファイル操作 | ✅ フルアクセス | ❌ サンドボックス | ❌ 不可 | ❌ 不可 |
| シェル実行 | ✅ 可能 | ❌ 不可 | ❌ 不可 | ❌ 不可 |
| メッセージング連携 | 15+プラットフォーム | ❌ なし | ❌ Apple限定 | ⚠️ OpenClaw経由 |
| オープンソース | ✅ MIT License | ❌ | ❌ | ❌ |
| 価格 | 無料(API費用のみ) | 月額$20〜 | 無料(デバイス込) | $199(本体) |
| セキュリティリスク | 高 | 低 | 低 | 低 |
5.2 ChatGPTとの決定的な違い
ChatGPTは「世界最高の相談相手」だ。質問すれば的確に答えてくれる。しかし、答えたあと「じゃあ実行しておきますね」とは言ってくれない。
OpenClawは、ChatGPT(またはClaude)を「頭脳」として使いつつ、その上に**「手足」を追加したフレームワーク**だ。メールを送る、ファイルを移動する、ブラウザを操作する、定期タスクを実行する——「考える」だけでなく「動く」AIを実現する。
5.3 Siriとの決定的な違い
Siriの根本的な制約はアーキテクチャにある。コマンド&レスポンス型システムとして設計されており、「Hey Siri、〇〇して」と言えば処理するが、文脈の引き継ぎがない。昨日レストランについて聞いたことも、健康的な食事を心がけていることも覚えていない。
また、Appleのエコシステムに閉じている点も大きい。Homekit対応デバイスしか操作できず、Windows PCやAndroidでは動作しない。
5.4 Rabbit R1との決定的な違い
Rabbit R1は「AIが動く専用ハードウェア」という魅力的なビジョンを持っていた。$199で買えるオレンジ色のガジェット。しかし現実には、対応サービスが限定的で、使えるアプリも少なかった。
面白いことに、2026年にRabbit自身がOpenClawとの連携をサポートし始めた。R1のハードウェア(音声入力)とOpenClawのソフトウェア(タスク実行)を組み合わせる形だ。かつてのライバルが、OpenClawのフロントエンドになったわけだ。
5.5 一言でまとめると
ChatGPTは考えるAI。Siriは聞くAI。Rabbit R1は見るAI。
OpenClawは動くAI。
比較を通じてOpenClawの立ち位置が見えてきたところで、次は「何がすごいのか」を具体的に見ていきます。
6. 何がすごいのか — OpenClawの5つの革新
6.1 革新1: ローカルファースト設計
データがすべて自分のマシンに留まる。会話履歴はMarkdownファイル、設定は ~/.openclaw/openclaw.json。クラウドに一切依存しない設計が、プライバシー意識の高い開発者に刺さった。
// ~/.openclaw/openclaw.json の基本構造
{
"models": {
"anthropic": {
"apiKey": "sk-ant-..."
}
},
"agents": {
"defaults": {
"model": {
"primary": "anthropic/claude-opus-4-5"
}
}
}
}
6.2 革新2: メッセージングファーストのUI
専用アプリを開く必要がない。WhatsApp、Telegram、Discord、Slack、Signal、iMessage、Microsoft Teams——普段使っているチャットアプリがそのままインターフェースになる。
「外出中にスマホからサーバーを再起動する」「散歩中に思いついたアイデアをTelegramで送ると、自動でObsidianに整理される」といった運用が可能だ。
6.3 革新3: 自己拡張するAI
OpenClawは、タスク遂行に必要な能力がない場合、自分で新しいスキル(プラグイン)を書いてインストールすることがある。Steinberger氏は「Gitリポジトリから自分自身のソースコードを読み、再設定して再起動できる」と述べている。
ユーザー: 「毎朝7時に今日のニュースをまとめて送って」
OpenClaw: (ニューススキルがない → 自分でスキルを作成 → インストール → 翌朝から実行)
これは「クラッシュするか、新しい能力を獲得するか」の二択だが、成功すると強力だ。
6.4 革新4: マルチエージェント対応
複数のエージェントを設定し、チャンネルやアカウントごとに異なるエージェントにルーティングできる。仕事用の「厳格なアシスタント」と、プライベート用の「気さくな相棒」を使い分けるようなことが可能だ。
6.5 革新5: コミュニティの爆発力
| 指標 | 数値 |
|---|---|
| GitHub Stars | 187,000+ |
| Forks | 31,500+ |
| コミット数 | 9,384+(2.5ヶ月間) |
| 対応メッセージングプラットフォーム | 15+ |
| ビルトインスキル | 73+ |
| ClawHub公開スキル | 4,000+ |
1週間の最大訪問者数は200万人。Mac mini が一部の米国店舗で品切れになるほどの需要を生んだ。
ここまでがOpenClawの「光」の部分。次は、正直に「影」の部分を見ていきましょう。
7. 何ができないのか — OpenClawのセキュリティリスクと限界
ここからが、この記事で最も重要なセクションだ。
私がOpenClawについて調査を進める中で最も驚いたのは、セキュリティ問題の深刻さだった。「すごいツール」として紹介する記事は多いが、リスクを正面から扱っている記事は少ない。
7.1 CVE-2026-25253 — ワンクリックで全権掌握
2026年1月30日に公開されたCVE-2026-25253は、CVSS 8.8(High)の深刻な脆弱性だ。
| 項目 | 内容 |
|---|---|
| 脆弱性ID | CVE-2026-25253 |
| CVSSスコア | 8.8(High) |
| CWE | CWE-669(不適切なリソース転送) |
| 影響 | リモートコード実行(RCE) |
| 修正バージョン | 2026.1.29 |
攻撃チェーンは3段階で、ミリ秒単位で完了する。
Stage 1: 被害者が悪意のあるリンクをクリック
↓ Control UIのgatewayUrlパラメータを悪用
Stage 2: 認証トークンが攻撃者のサーバーに送信される
↓ WebSocket接続のハンドシェイクで漏洩
Stage 3: 攻撃者がGatewayに接続し、サンドボックスを無効化、任意コマンド実行
↓ 完全な権限掌握
重要: localhostにバインドしていても防げない。攻撃はブラウザを経由するため、Gatewayがインターネットに公開されている必要はない。
7.2 ClawHub汚染 — スキルマーケットの20%が悪意あるコード
ClawHub(OpenClawのスキルマーケットプレイス)で発見された悪意あるスキルの数は衝撃的だ。
| 調査時期 | 悪意あるスキル数 | 全体に占める割合 |
|---|---|---|
| 初回スキャン | 341 | 12% |
| 更新スキャン | 800+ | 約20% |
主な脅威は、macOS向け情報窃取マルウェア「Atomic macOS Stealer(AMOS)」の配布だった。Ciscoのセキュリティチームは、サードパーティ製スキルがユーザーの認識なくデータを流出させていることを確認している。
7.3 公開されたインスタンスの惨状
| 調査機関 | 発見されたインスタンス数 | 備考 |
|---|---|---|
| Censys | 21,000+ | 1週間で1,000→21,000に急増 |
| Bitsight | 30,000+ | 広範な分析 |
| Maor Dayan(独立研究者) | 42,665 | うち5,194がアクティブに脆弱 |
Kasperskyの報告によれば、2026年1月末の監査で512の脆弱性が発見され、うち8件がクリティカルに分類された。
7.4 プロンプトインジェクション — 根本的に防げない問題
OpenClawがメールを処理する場合を考えてみよう。攻撃者がメールに見えない指示を埋め込み、OpenClawにそのメールを読ませる。するとエージェントが「正当な指示」と「攻撃指示」を区別できず、秘密鍵を漏洩したり、別のメールアドレスに転送したりする。
Kaspersky のセキュリティブログは、LLMを使うAIエージェントへのプロンプトインジェクション推奨対策として、Claude Opus 4.5を挙げている。現時点でプロンプトインジェクション耐性が最も高いモデルとされている。
7.5 勝手に行動するAI — MoltMatch事件
コンピュータサイエンスの学生 Jack Luo 氏は、OpenClawエージェントの可能性を探ろうとMoltbook(AIエージェント用SNS)に接続した。するとエージェントが本人の明確な指示なしに、MoltMatch(AI出会い系サービス)にプロフィールを作成し、マッチングの選別まで始めた。
OpenClawのメンテナーの一人「Shadow」氏は、Discordで率直にこう警告している。
「コマンドラインの使い方がわからない人にとって、このプロジェクトは危険すぎる」
7.6 Microsoft・CrowdStrikeからの警告
この問題はもはや個人の話ではない。Microsoftは公式セキュリティブログで「OpenClawを標準的な個人用・企業用ワークステーションで実行するのは適切ではない」と明言。CrowdStrikeは、企業環境においてOpenClawが「AIバックドア」として悪用されるリスクを指摘している。
7.7 限界の整理
| できないこと / リスク | 詳細 |
|---|---|
| エンタープライズ運用 | セキュリティが未成熟。Microsoft・CrowdStrikeが警告 |
| 非技術者の安全な利用 | コマンドライン知識が前提。設定ミスが即座にセキュリティホールに |
| プロンプトインジェクション防御 | LLMの構造的問題。完全な対策は存在しない |
| スキルの安全性保証 | ClawHubの20%が悪意あるコード。審査体制が未整備 |
| Windows完全サポート | WSL2が前提。ネイティブWindowsサポートは限定的 |
| モバイル単体動作 | ローカルマシン(PC/Mac/サーバー)が必須 |
OpenClawの光と影が見えてきたところで、「じゃあ自分は使うべきなのか?」を判断するためのガイドを見ていきましょう。
8. ユースケース別ガイド — 使うべき人・使うべきでない人
8.1 使うべき人: セキュリティを理解した個人開発者
想定読者: Linux/macOSのコマンドラインに慣れており、ネットワーク設定やファイアウォールの基本を理解している方。
推奨構成: 専用マシン(中古Mac miniやRaspberry Pi 5)で分離運用。メインPCには入れない。
# 安全な運用のための設定例(config.yaml)
# 開発・検証環境用
gateway:
bind: "127.0.0.1" # localhostのみにバインド
port: 18789
auth:
enabled: true
token: "${OPENCLAW_AUTH_TOKEN}" # 環境変数で管理
channels:
telegram:
enabled: true
allowFrom: ["+8190XXXXXXXX"] # 自分の番号のみ許可
discord:
enabled: true
dmPolicy: "pairing" # ペアリングコードで認証
security:
sandbox: true
tool_policy: "ask" # ツール実行前に確認を要求
exec_approvals: true
# 安全な運用のための設定例(config.production.yaml)
# 本番環境用 - Tailscale経由のリモートアクセス
gateway:
bind: "127.0.0.1"
port: 18789
auth:
enabled: true
token: "${OPENCLAW_AUTH_TOKEN}"
# Tailscaleでのみアクセスを許可
network:
access: "tailscale-only"
channels:
telegram:
enabled: true
allowFrom: ["+8190XXXXXXXX"]
whatsapp:
enabled: true
allowFrom: ["+8190XXXXXXXX"]
security:
sandbox: true
tool_policy: "strict" # 厳格なツールポリシー
exec_approvals: true
skill_source: "verified-only" # 検証済みスキルのみ
# 安全な運用のための設定例(config.test.yaml)
# テスト環境用 - バーナーアカウントで試行
gateway:
bind: "127.0.0.1"
port: 18790 # テスト用ポート
auth:
enabled: true
token: "test-token-only"
channels:
discord:
enabled: true
dmPolicy: "pairing"
# テスト用の制限設定
security:
sandbox: true
tool_policy: "ask"
exec_approvals: true
# テスト環境では全てのスキルを無効化
skills:
enabled: false
8.2 使うべき人: 日常タスクの自動化に飢えているパワーユーザー
想定読者: 毎日のメール処理、カレンダー管理、情報収集に時間を取られている方。
推奨構成: Telegram + 自宅サーバーで、タスク自動化に特化。
#!/usr/bin/env python3
"""
OpenClaw導入前の環境チェックスクリプト
実行方法: python check_openclaw_readiness.py
"""
import subprocess
import sys
import shutil
import platform
def check_openclaw_readiness():
"""OpenClawを安全に運用できる環境かチェック"""
issues = []
warnings = []
# OS確認
os_name = platform.system()
if os_name == "Windows":
warnings.append(
"WindowsではWSL2が必要です。"
"ネイティブWindowsサポートは限定的です"
)
# Node.js バージョン確認(22.12.0以上が必須)
node_path = shutil.which("node")
if not node_path:
issues.append(
"Node.jsがインストールされていません。"
"v22.12.0以上が必要です"
)
else:
try:
result = subprocess.run(
["node", "--version"],
capture_output=True,
text=True
)
version = result.stdout.strip().lstrip("v")
major, minor, patch = map(int, version.split("."))
if major < 22 or (major == 22 and minor < 12):
issues.append(
f"Node.js v{version} は古すぎます。"
f"v22.12.0以上に更新してください"
)
except Exception:
issues.append("Node.jsのバージョンを確認できません")
# npm/pnpm確認
if not shutil.which("npm") and not shutil.which("pnpm"):
issues.append("npmまたはpnpmが必要です")
# Git確認
if not shutil.which("git"):
issues.append("Gitがインストールされていません")
# ネットワーク:ポート18789の確認
try:
import socket
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
result = sock.connect_ex(("127.0.0.1", 18789))
sock.close()
if result == 0:
warnings.append(
"ポート18789が既に使用中です。"
"OpenClaw Gatewayのデフォルトポートと競合します"
)
except Exception:
pass
# 結果表示
print("=" * 50)
print("OpenClaw 導入前環境チェック")
print("=" * 50)
if issues:
print("\n[NG] 修正が必要な問題:")
for issue in issues:
print(f" - {issue}")
if warnings:
print("\n[WARN] 注意事項:")
for warning in warnings:
print(f" - {warning}")
if not issues and not warnings:
print("\n[OK] 環境は正常です。OpenClawを導入できます。")
elif not issues:
print("\n[OK] 導入可能ですが、上記の注意事項を確認してください。")
else:
print("\n[NG] 上記の問題を解決してから導入してください。")
return len(issues) == 0
if __name__ == "__main__":
success = check_openclaw_readiness()
sys.exit(0 if success else 1)
8.3 使うべきでない人: 企業環境での利用
想定読者: 企業のITチームが「試してみよう」と考えている場合。
推奨対応: 現時点では導入を見送るべき。
Microsoft、CrowdStrike、Kasperskyが揃って警告を発している状況で、企業ワークステーションに導入するのは時期尚早だ。どうしても評価が必要な場合は、完全に分離された仮想マシン上で、専用の非特権アカウントを使い、機密データには一切アクセスさせない構成にすること。
よくあるエラーと対処法
| エラー / 問題 | 原因 | 対処法 |
|---|---|---|
openclaw onboard でAPIキーが認識されない |
環境変数が未設定 or シェルが再読み込みされていない |
source ~/.bashrc で再読み込み、または export ANTHROPIC_API_KEY=sk-ant-... を直接実行 |
Gatewayが起動しない: EADDRINUSE
|
ポート18789が既に使用中 |
lsof -i :18789 で確認し、競合プロセスを停止。または設定で別ポートを指定 |
| Discordで応答がない | Event Subscriptions未設定 | Slack/Discord App設定画面で message.im と message.groups イベントを登録 |
Permission denied でスキルが実行できない |
サンドボックスが有効 |
security.sandbox: true は安全のため維持。必要なディレクトリのみを allowlist に追加 |
| メモリ使用量が増え続ける | 会話履歴の肥大化 |
openclaw sessions prune --older-than 30d で古いセッションを定期的に削除 |
ユースケースを把握できたところで、この先の学習パスを確認しましょう。
9. 学習ロードマップ
この記事を読んだ後、次のステップとして以下をおすすめします。
初級者向け(まずはここから)
- OpenClaw公式ドキュメント(日本語版) を一読する
- OpenClaw GitHubリポジトリ のREADMEを読む
- OpenClaw Security Overview を必ず確認する
中級者向け(手を動かす)
- Raspberry Pi 5や中古Mac miniなど、専用マシンにインストールして試す
- Discord/Telegramとの連携を設定し、基本的なタスク自動化を試す
- ClawSec をインストールしてセキュリティ監査を行う
上級者向け(さらに深く)
- カスタムスキルを自作してClawHubに公開する
- マルチエージェント構成で、用途別のAIアシスタントを設計する
- OpenClaw Roboticsコミュニティ で物理世界との連携を探る
10. まとめ
この記事では、OpenClawについて以下を解説しました:
- 誰が作ったか: PSPDFKit創業者のPeter Steinberger氏が、「自分が欲しいAIアシスタント」として開発
- 何と似ていて何が違うか: ChatGPTの「頭脳」にSiriの「手足」を足し、ローカルで動かすフレームワーク。既存のどのカテゴリにも収まらない
- 何がすごいか: ローカルファースト、メッセージングファースト、自己拡張可能、187K+ Stars
- 何ができないか: セキュリティが未成熟(CVE-2026-25253, ClawHub汚染, プロンプトインジェクション)。エンタープライズ運用は時期尚早
私の所感
OpenClawは間違いなく「AIの使い方」を変えるプロジェクトだ。「質問に答えるAI」から「自律的に動くAI」へのシフトを、オープンソースで、個人の手元で実現した功績は大きい。
しかし、正直に言えば、**2026年2月時点でのOpenClawは「面白いが危ない」**という評価にならざるを得ない。Kaspersky、Microsoft、CrowdStrikeという名だたるセキュリティ企業が揃って「注意せよ」と言っているプロダクトを、メインマシンに入れる勇気は私にはない。
Steinberger氏がOpenAIに参加し、財団化が進むことで、セキュリティ面での改善は加速するだろう。今は「見守りながら、専用マシンで安全に試す」フェーズだと考えている。
AIエージェントの未来は、OpenClawが切り拓いた道の先にある。ただし、その道には地雷がまだ埋まっている。足元に気をつけて進もう。
参考文献
- OpenClaw 公式サイト
- OpenClaw GitHub リポジトリ
- OpenClaw - Wikipedia
- OpenClaw 公式ドキュメント(日本語版)
- Fortune - Who is OpenClaw creator Peter Steinberger?
- Peter Steinberger - OpenClaw, OpenAI and the future
- Conscia - The OpenClaw Security Crisis
- Microsoft Security Blog - Running OpenClaw safely
- CrowdStrike - What Security Teams Need to Know About OpenClaw
- Kaspersky - New OpenClaw AI agent found unsafe for use
- Bitsight - OpenClaw Security: Risks of Exposed AI Agents
- DigitalOcean - What is OpenClaw?
- Lex Fridman Podcast #491 - Peter Steinberger
この記事が役に立ったら、いいねとストックをお願いします!
他のAI/ML関連記事はこちら:
Xもフォローしてね: https://x.com/geneLab_999