この記事でわかること
- OpenClawとは何か — 公開1ヶ月で14.5万スターを獲得したAIエージェントの全体像
- 5つの革新ポイント — ローカルファースト、Heartbeat自律動作、チャットアプリ連携、ClawHub、自己進化
- CVE-2026-25253(CVSS 8.8)の1クリックRCE脆弱性の技術的な仕組み
- ClawHavoc攻撃 — ClawHub上の341件の悪意あるスキルによるサプライチェーン攻撃の全貌
- 安全に使うための具体的な対策チェックリスト
- 創設者OpenAI入社後のOpenClawの将来予測
この記事の情報は 2026年2月時点 のものです。OpenClawは急速に開発が進んでいるため、最新情報は公式ドキュメントを確認してください。
OpenClawとは何か — 1ヶ月で14.5万スターの正体
OpenClawは、オーストリアのソフトウェアエンジニア Peter Steinberger が開発した オープンソースのAIパーソナルアシスタント です。自分のマシン上で動作するセルフホスト型のAIエージェントで、メール管理、カレンダー操作、ブラウザ自動操作、シェルコマンド実行など、幅広いタスクを自律的に実行できます。
2025年11月の公開から 1ヶ月未満でGitHub 14.5万スター を獲得し、2026年2月15日時点では 約19.6万スター に達しています。
Clawdbot → Moltbot → OpenClaw:名前が変わった理由
OpenClawの名前は、実は3回変わっています。
| 名前 | 期間 | 改名理由 |
|---|---|---|
| Clawdbot | 2025年11月〜2026年1月27日 | 初期名称。AnthropicのClaude(クロード)と音が似ている |
| Moltbot | 2026年1月27日〜1月30日 | Anthropicからの商標苦情を受けて改名。ロブスターの脱皮(molting)にちなむ |
| OpenClaw | 2026年1月30日〜現在 | 「Moltbotは語感が良くない」とSteinbergerが判断し再改名 |
わずか3日間で2回の改名という異例の経緯をたどりました。
誰が作ったのか(Peter Steinberger)
Peter Steinbergerは、iOSフレームワーク「PSPDFKit」の創設者としても知られるオーストリアの著名なソフトウェアエンジニアです。個人プロジェクトとしてOpenClawを開発し、オープンソースで公開しました。
ロブスター🦞とオープンソース
OpenClawのマスコットはロブスター(🦞)です。ロブスターが成長のために殻を脱ぐ(molting)というメタファーが込められています。公式のキャッチフレーズは "Your own personal AI assistant. Any OS. Any Platform. The lobster way." です。
ライセンスは、プロジェクト全体が Apache 2.0、コアGateway部分が MIT License で公開されています。
何が凄いのか — 5つの革新ポイント
1. ローカルファースト:データは自分のマシンに
OpenClawはセルフホスト型です。データは自分のデバイス上に保存され、外部サーバーに送信されません。クラウド型AIサービスとの最大の違いがここにあります。
- 自分のMac mini、Linux サーバー、Windowsマシンで動作
- データの所有権は完全にユーザーの手元に
- 企業の情報セキュリティポリシーとの親和性が高い
2. Heartbeat:AIが自ら動く自律エージェント
OpenClawの最も革新的な機能の一つが Heartbeat です。デフォルトで 30分間隔 でエージェントが自律的に動作し、注意が必要な事項をユーザーにプロアクティブに通知します。
従来のAIツールは「ユーザーが質問→AIが回答」の受動型でしたが、OpenClawは 「AIが自ら判断し行動する」能動型 です。
3. チャットアプリから操作(WhatsApp/Telegram/Discord/Slack)
OpenClawは20以上のチャットプラットフォームと連携します。
- WhatsApp、Telegram、Slack、Discord
- Google Chat、Signal、iMessage
- Microsoft Teams、Matrix、Zaloなど
普段使っているチャットアプリから自然言語でAIエージェントに指示を出せます。新しいUIを覚える必要がありません。
4. ClawHub:スキルマーケットプレイスで機能拡張
ClawHub はOpenClawのスキルマーケットプレイスです。コミュニティが作成した100以上のスキルが公開されており、ワンクリックでOpenClawに機能を追加できます。
- 全スキルは公開・オープン・可視化
- カテゴリ別に検索可能
- 2026年2月時点で合計 2,857スキル が登録
5. 自己進化:会話からスキルを自動生成
OpenClawは、Discordでの会話やYouTubeの動画視聴を通じて自律的にスキルを構築・改善する能力を持っています。ClawHubに存在しないスキルが必要な場合、会話の中からその場でスキルを自動生成した事例も報告されています。
何ができるのか — 具体的なユースケース
メール管理・カレンダー操作
受信メールの要約、重要メールの通知、カレンダーへの予定追加などを自動化できます。Heartbeat機能と組み合わせることで、定期的なメールチェックと通知を完全に自律的に行います。
ブラウザ自動操作・データ収集
Webブラウザを操作して、情報収集やフォーム入力を自動化できます。スクレイピング的なデータ収集から、Webアプリケーションの操作まで対応します。
シェルコマンド実行・ファイル操作
ローカルマシン上でシェルコマンドを実行し、ファイルの作成・編集・整理を行います。開発者にとっては、ビルド、テスト、デプロイの自動化に活用できます。
シェルコマンド実行権限を持つということは、マシン全体へのアクセスを意味します。この点が後述するセキュリティリスクと直結しています。
Baidu統合(月間7億ユーザー)
2026年2月13日、中国最大の検索エンジン Baidu がOpenClawを検索アプリに統合しました。月間アクティブユーザー 7億人 がOpenClawのAIエージェント機能を利用可能になりました。
何が危険なのか — 3つの深刻なリスク
以下のセキュリティ情報は、全て 既に公開されたCVEおよび公開レポート に基づいています。悪用を推奨する意図は一切ありません。
CVE-2026-25253:1クリックでリモートコード実行(CVSS 8.8)
2026年2月3日、セキュリティ研究チーム DepthFirst がOpenClawの重大な脆弱性を公開しました。
| 項目 | 詳細 |
|---|---|
| CVE番号 | CVE-2026-25253 |
| CVSSスコア | 8.8(High) |
| CWE分類 | CWE-669(不適切なリソース転送) |
| 影響バージョン | 2026.1.29より前の全バージョン |
| 修正バージョン | 2026.1.29 |
攻撃チェーンの詳細
この脆弱性の攻撃チェーンは5ステップです。
-
gatewayUrlパラメータの悪用: Control UIがクエリ文字列からの
gatewayUrlを検証なしに信頼する - 自動WebSocket接続: ページロード時にユーザー確認なしでWebSocket接続を確立し、認証トークンを送信
- Origin headerの未検証: WebSocketサーバーがOriginヘッダーを検証しない
-
権限昇格:
exec.approvals.setリクエストでユーザー確認を無効化し、config.patchでDockerコンテナではなくホストマシン上で実行するよう強制 -
任意コマンド実行:
node.invokeリクエストで任意のシェルコマンドを実行
この攻撃はミリ秒単位で完了 します。ユーザーは悪意のあるリンクを1回クリックするだけで、マシンを完全に乗っ取られる可能性がありました。
localhostでの動作であっても、ブラウザ経由のピボット攻撃により脆弱です。
影響範囲
SecurityScorecard STRIKEチームの調査によると、インターネットに露出したOpenClawインスタンスは 135,000以上、そのうちRCE脆弱な状態のインスタンスは 50,000以上 でした。
OpenClawはデフォルトで 0.0.0.0:18789(全ネットワークインターフェース)にバインドするため、適切なネットワーク設定を行わなければ、パブリックインターネットから直接アクセスされるリスクがあります。
ClawHavoc攻撃:341件の悪意あるスキル
2026年2月2日、セキュリティ企業 Koi Security の研究者 Oren Yomtov が、ClawHub上のスキルを調査した結果を公開しました。
| 項目 | 数値 |
|---|---|
| 調査対象 | ClawHub上の全 2,857スキル |
| 悪意あるスキル | 341件(うち335件が同一キャンペーンに関連) |
| 汚染率 | 全レジストリの約 12% |
| 主要マルウェア | Atomic Stealer (AMOS) |
Atomic Stealer (AMOS) の脅威
AMOSは MaaS(Malware-as-a-Service) として月額 $500〜$1,000で提供されているInfoStealerマルウェアです。
窃取対象データ:
- Keychainの認証情報(macOS)
- ブラウザの保存パスワード・Cookie
- 暗号資産ウォレットの秘密鍵(Solana、Phantomなど)
- SSH鍵
- Telegramセッションとチャットログ
- Documents/Desktopフォルダ内のファイル
攻撃対象の内訳
| カテゴリ | 件数 |
|---|---|
| 暗号資産関連ツール | 100件以上 |
| Solanaウォレット | 33件 |
| Phantomウォレットユーティリティ | 28件 |
| YouTubeユーティリティ | 57件 |
| 金融/SNSツール | 51件 |
macOSではインストールスクリプトに難読化されたシェルコマンドを仕込みAMOSを取得・実行、WindowsではGitHubリポジトリからパスワード保護されたZIPアーカイブをダウンロードさせ、パック済みトロイの木馬を実行するという手法が使われました。
一部報告では $500,000以上の暗号資産が窃取 された可能性が示唆されています。
常時稼働設計のリスク
OpenClawは24時間365日動作するよう設計されています。Heartbeat機能は30分ごとに自律的にタスクを実行します。これは利便性の源泉である一方、セキュリティリスクでもあります。
- 侵害されたインスタンスは 24/7攻撃ベクトル として機能する
- エージェントがアクセスできる全てのリソース(認証情報ストア、ファイルシステム、メッセージングプラットフォーム、Webブラウザ、個人情報キャッシュ)が攻撃対象になる
- Heartbeat機能が悪用されれば、定期的にC2(コマンド&コントロール)通信を行うバックドアとして機能する可能性
安全に使うための対策
バージョン2026.1.29以降にアップデート
CVE-2026-25253は バージョン2026.1.29 で修正されています。これより古いバージョンを使用している場合は、直ちにアップデートしてください。
# OpenClawのバージョン確認
openclaw --version
# アップデート(公式推奨手順に従ってください)
# https://docs.openclaw.ai/start/update
ClawHubスキルの検証方法
ClawHubからスキルをインストールする前に、以下を確認してください。
- スキルの作者を確認: 信頼できる開発者のスキルか
-
ソースコードを確認: スキルの
skill.mdおよび関連スクリプトを必ず読む - 「Prerequisites」セクションに注意: 外部ツールのインストールを要求するスキルは要警戒(ClawHavocの攻撃手法)
- VirusTotal等でのスキャン: ダウンロードされるファイルは実行前にマルウェアスキャンを推奨
- 暗号資産関連スキルは特に注意: ClawHavocでは暗号資産関連ツールが最多の攻撃対象
ネットワーク設定の確認
OpenClawはデフォルトで 0.0.0.0:18789 にバインドします。これは 全ネットワークインターフェースでリッスン することを意味します。
-
OpenClawのバインドアドレスを
127.0.0.1に変更する - ファイアウォールでポート 18789 への外部アクセスをブロックする
- VPN/トンネル経由でのみアクセスする構成を検討する
- 不要な場合はOpenClawインスタンスをインターネットに公開しない
今後の推察 — OpenAIとFoundation化
創設者OpenAI入社の意味(2026年2月14-15日発表)
2026年2月14日、Peter Steinberger自身がブログで、翌15日にはSam AltmanがXで、SteinbergerのOpenAI入社を発表しました。Steinbergerは 個人AIエージェントの次世代開発を主導 する役割を担います。
Altmanは "We expect this will quickly become core to our product offerings." と述べており、OpenClawの技術がOpenAIの製品に直接統合される見通しです。
Steinberger自身は "What I want is to change the world, not build a large company, and teaming up with OpenAI is the fastest way to bring this to everyone." とコメントしています。
Foundation化でオープンソースは守られるのか?
OpenClawはFoundation(財団)に移管され、オープンかつ独立した状態を維持 するとされています。より多くのモデルや企業をサポートすることが目標です。
ただし、創設者がOpenAIに入社した以上、Foundation化が実質的な独立性を担保するかどうかは注視が必要です。Altmanは OpenClawが社内で "live in a foundation" として存在すると述べていますが、具体的なガバナンス構造はまだ明らかになっていません。
AIエージェント市場への影響
OpenClawの事例は、AIエージェントの普及が セキュリティの臨界点 を迎えていることを示しています。
- エージェントにシェルアクセス、ファイルアクセス、認証情報へのアクセスを与えること自体がリスク
- マーケットプレイス(ClawHub)のサプライチェーン攻撃は、npmやPyPIで繰り返されてきた問題のAIエージェント版
- 常時稼働型AIエージェントは、従来のWebアプリケーションとは異なるセキュリティモデルを必要とする
今後、同様のAIエージェントが増えるにつれ、「エージェントに何を許可するか」という権限管理と「マーケットプレイスの信頼性」が重要なテーマになるでしょう。
まとめ
OpenClawは、ローカルファースト設計、Heartbeat自律動作、チャットアプリ統合など、AIエージェントの可能性を広げる革新的なプロジェクトです。
一方で、CVE-2026-25253の1クリックRCE脆弱性、ClawHavocによる341件の悪意あるスキル、13万以上のインスタンスがインターネットに露出していた問題など、セキュリティ面では深刻な課題を抱えています。
OpenClawを使う場合は:
- ✅ バージョン 2026.1.29以降 を使用する
- ✅ ClawHubスキルのソースコードを 必ず確認 してからインストールする
- ✅ バインドアドレスを
127.0.0.1に変更し、外部アクセスをブロックする - ✅ 暗号資産ウォレットや機密データがあるマシンでの運用は慎重に検討する
AIエージェントは「便利さ」と「リスク」が表裏一体です。OpenClawの事例から学び、安全にAIエージェントを活用していきましょう。
参考リンク
- OpenClaw 公式サイト
- OpenClaw GitHub
- OpenClaw 公式ドキュメント
- CVE-2026-25253 (NVD)
- OpenClaw Bug Enables One-Click Remote Code Execution (The Hacker News)
- Researchers Find 341 Malicious ClawHub Skills (The Hacker News)
- ClawHavoc: 341 Malicious Skills (Koi Security)
- OpenClaw instances exposed (The Register)
- OpenClaw creator joins OpenAI (CNBC)
- Peter Steinberger ブログ