なぜ今、Moltbotなのか
2026年1月下旬、シリコンバレーを中心に、あるAIエージェントの名前が一気に広がりました。「Moltbot」です。かつては「Clawdbot」という名前で知られ、オーストリアの開発者ピーター・シュタインバーガー氏が2025年11月に公開したオープンソースのAIエージェントが、Anthropic社の指摘を受けて2026年1月27日に「Moltbot」へ改名され、わずか数週間でGitHubで10万スターを超え、Cloudflareの株価を火曜日だけで14%押し上げたと404 MediaがReutersを参照して報じたほど、技術者コミュニティを沸かせています。
WIREDの記事では、リスボン在住の起業家が「ポキー」と名付けたMoltbotに朝のブリーフィングやスケジュール整理、請求書対応まで任せ、「基本的に何でも自動化できた。魔法のようだった」と語っています。また、「ChatGPTの登場以来、初めて未来を生きていると感じる」といった声がSNSで相次ぎ、WIRED(2026年1月28日)では「Moltbot Is Taking Over Silicon Valley」という見出しで、その盛り上がりとともにプライバシーへの懸念が伝えられました。
この記事では、Moltbotを手がかりに、AIエージェントが今どこまで来ていて、何ができ、どんなリスクと隣り合わせなのかを、読み物として整理します。ビジネスでエージェントを検討している方や、生活の一部をAIに任せてみたい方にとって、「エージェントの現在地」を把握する一助になれば幸いです。
従来のアシスタントと、何が違うのか
Moltbotが注目される理由の一つは、**「反応型」ではなく「能動型」**である点です。ChatGPTやSiri、Alexaは、私たちが質問や指示をすると答えてくれます。一方、Moltbotはユーザーのパソコン上で常時動作し、TelegramやSignal、WhatsAppなどのチャットアプリを通じて会話するだけでなく、こちらの指示を待たずに動き出す設計になっています。
例えば、朝決まった時間にその日のニュースや予定をまとめたブリーフィングを送ってきたり、出発時刻を考慮して渋滞情報とともに「そろそろ出た方がいいですよ」と知らせてきたりします。WIREDの取材に答えたオランダのヘルスケア企業CTOは、クレジットカード情報とAmazonの認証をMoltbotに渡し、メッセージをスキャンして自動で買い物までさせた結果、「想定外の注文」が発生したため、メッセージスキャン機能はオフにしたと明かしています。つまり、「できること」の範囲が、従来のチャットボットとは桁違いに広いのです。
ここで考えておきたいのは、能動型になることで変わるのはAIだけではないという点です。人間の役割や、能力の使い方にも変化が起きる可能性があります。反応型のときは「何を聞くか」「何を頼むか」を私たちが決め、AIはそれに答えるだけでした。能動型では、目標や許容範囲を伝えたうえで、AIがこちらから動きかけてくるのを受け止め、必要なら修正するという関係に近づきます。その結果、繰り返しの作業や「気づいて対処する」負荷が減り、その分を戦略を練る、人と対話する、創造するといった活動に振り向けやすくなる一方で、何を任せて何は自分で見るか、どこまでを信頼するかという判断が、これまで以上に重要になります。能動型のエージェントは、人間の「やる仕事」を減らすと同時に、「決める仕事」と「見極める能力」をより強く求めていく存在だと言えるでしょう。
では、具体的に何をすればよいでしょうか。まず、任せる範囲を決めることです。例えば「メールの下書きは任せるが、送信は自分で確認する」「カレンダーの提案は受け入れるが、確定前には目を通す」のように、段階を分けて、取り返しのつかない操作は人の目が入るようにします。次に、権限は必要最小限にすることです。読み取りだけで足りる場面に書き込みや実行権まで渡さない、本番環境や決済には触れさせないといった区切りを設けると、リスクを抑えられます。さらに、定期的に「何をしたか」を確認する習慣が有効です。ログや実行履歴を見て、想定外の動きがないか、任せた範囲を超えていないかをチェックします。最後に、信頼は少しずつ広げるという考え方です。最初は影響の小さいタスクだけ任せ、問題がなければ範囲を広げる。いきなり生活の根幹を預けるのではなく、段階を踏むことで、「どこまでを信頼するか」を自分なりに把握しやすくなります。
もう一つの違いは永続的なメモリです。一般的なAIチャットはセッションごとに会話がリセットされがちですが、Moltbotはワーキングメモリ(いまのタスク)、エピソード記憶(過去のやりとり)、セマンティック記憶(学んだ概念)、手続き記憶(繰り返しの手順)といった複数のレイヤーで情報を保持します。その結果、単発のQ&Aではなく、ユーザーの生活や仕事の文脈をまたいで振る舞うアシスタントに近い体験が生まれています。
ここで「永続的に覚えているなら、トークン数に制約がかかるのでは」と考える方もいるでしょう。その感覚は正しいです。LLMにはコンテキスト長の上限があり、記憶のすべてを毎回そのままプロンプトに載せることはできません。そのため、永続メモリを備えたエージェントでは、必要なときだけ関連する記憶を取り出す仕組みが使われます。いまのタスクに直接関係する過去のやりとりや手順だけを検索・取得してコンテキストに載せ、それ以外はストアに置いたままにしておく。あるいは、古いエピソードを要約して圧縮し、詳細は必要に応じて取りにいく形にすることもあります。つまり「全部を常に入れる」のではなく、「入れるものを選ぶ」「層で分ける」ことで、トークン制約のなかでも長期的な文脈を活かす設計になっているのです。
加えて、100を超える連携により、メールの整理、カレンダー調整、旅行計画、オンライン購入、ウェブサイトの閲覧やフォーム入力、さらにはビデオ編集や音声クローニングといった作業まで、アドバイスだけでなく実際に実行します。ユーザーが「Todoistを自動化するスキルを作って」と頼むと、Moltbotがそのスキルを組み立て・テスト・組み込みまで行う様子は、「初期のAGIのようだ」と評されるほどです。
なぜ「Mac miniで24時間」がミームになったのか
Moltbotはローカルサーバーで動かすことが前提です。データをクラウドに預けず、自分の環境で動かしたいというニーズに応える形で設計されており、開発者であるシュタインバーガー氏自身、「データを手放さずにこうしたアシスタントを持ちたいという問いを、誰も本気で扱っていないと感じた」とWIREDの取材で語っています。
そのため、常時稼働させるプラットフォームとしてMac miniがよく引き合いに出され、「Mac miniを買ってMoltbotを回す」という投稿がSNSでミーム化し、一部では在庫不足が伝えられました。あわせて、MoltbotがCloudflareのインフラ上で動作することが報じられ、同社株価が短期的に上昇したというReutersの記事も、エージェントへの市場の注目度を物語っています。
OpenAIの共同創設者でTesla元AI責任者のアンドレイ・カーパシー氏は、X上で「これほど多くのLLMエージェントが、グローバルな永続エージェント共通のスクラッチパッドでつながっている光景は見たことがない。各エージェントは個別に有能で、独自のコンテキスト・データ・知識・ツール・指示を持ち、ネットワーク全体として前例のないスケールだ」とコメントしています。つまり、Moltbotは単なる一ツールというより、エージェントが「つながり」「常時動く」世界の象徴として受け止められているのです。
便利さの裏にある、「致命的なトリレンマ」と実証された脆弱性
その一方で、生活の根幹を任せるからこそ、セキュリティとプライバシーのリスクが専門家から繰り返し指摘されています。
Palo Alto Networksは、Moltbotが「次のAIセキュリティ危機のシグナルになり得る」と警告しています。生活を自動化するには、ルートのファイルシステム、認証情報(パスワードやAPIキー)、ブラウザ履歴やクッキー、あらゆるファイルやフォルダ、そしてターミナルでのコマンド実行まで、広い権限が必要になります。セキュリティ研究者のSimon Willisonが示す「致命的なトリレンマ」は、次の三つがそろうことの危険性です。プライベートデータへのアクセス、信頼できないコンテンツ(例:悪意あるメール本文)への露出、そして外部への通信能力(メッセージ送信や取引の実行)。Moltbotはこれに加えて永続的メモリを持つため、攻撃者が「今」ではなく「将来のある時点で」悪用するよう仕込む、遅延型の攻撃も理論上可能だと指摘されています。
実際に、ハッカーであるJamie O'Reilly氏が複数の実験で脆弱性を実証しました。404 Mediaの報道(2026年1月30日)によれば、第一の実験では、インターネットに露出したMoltbotプロセスに第三者からアクセスでき、Signalのメッセージや認証情報、APIキーなど、ユーザーがMoltbotに預けた情報を奪えることが示されました。第二の実験では、Moltbotの「スキル」を配布するClawdHub(AIエージェント向けのアプリストアのような存在)を経由したサプライチェーン攻撃です。人気スキルに悪意あるコードを仕込み、それを導入した多数のユーザーに影響を与えうることを、O'Reilly氏は「What Would Elon Do」というスキルで実演しました。第三の実験では、ClawdHub上にSVGファイルをアップロードし、サーバー上でJavaScriptを実行する手法を示しています。
O'Reilly氏は「有用であることと、攻撃面であることは表裏一体。できることを増やせばリスクも増える。解決可能というより、**管理可能(manageable)**にしていくしかない」と述べ、エージェントに必要以上の権限を与えないこと、制御インターフェースを公衆インターネットに晒さないこと、サプライチェーン(どのスキルをどこから入れたか)を疑うこと、可能なら隔離した環境で動かすことなどを推奨しています。開発者のシュタインバーガー氏は、O'Reilly氏の指摘に真摯に対応し、修正を進めているとも報じられています。
さらに、設定ミスで数百のMoltbotインスタンスがインターネットに露出していた事例や、APIキーやパスワードが平文のMarkdown・JSONでローカルに保存されている指摘、メールやウェブページに仕込まれた悪意あるテキストでAIを誘導するプロンプトインジェクションのリスクも、複数のメディアで報じられています。Salt Securityの担当者は、「ワンクリックの便利さと、安全に運用するために必要な技術的理解の間に大きなギャップがある」と指摘しています。
エージェントの「現在地」をどう受け止めるか
Moltbotは、AIが生活の自動化まで踏み込んだとき、どれだけの可能性と代償があるかを、いまの技術と社会のレベルで如実に見せてくれています。能動的に動き、長期的な記憶を持ち、多様なツールとつながって実際に行動する。その体験は、多くのユーザーに「やっと来た」という手応えを与えています。同時に、そうした能力は広いアクセス権と引き換えであり、設定ミスやサプライチェーン、プロンプトインジェクションなど、従来から知られている脅威が、エージェントという形で一気に現実のものになりつつあります。
「完全に安全なセットアップは存在しない」という専門家の言葉は、Moltbotに限らず、これから広がるエージェント全般に当てはまる警告だと考えてよいでしょう。利用する側には、何にアクセスを許しているか、どこまでを自動化するか、どのスキルを信頼するかを、自分で判断し、定期的に見直すことが求められます。
AIエージェントは、ビジネスではエージェント・ワークフローとして、個人の生活ではMoltbotのような「常駐型の相棒」として、これからさらに浸透していく可能性が高いです。そのとき、何ができるかだけでなく、何を預け、何を守るかを意識しておくことが、エージェントの現在地を正しく把握し、自分なりの使い方を見つける第一歩になります。任せる範囲を決める、権限は絞る、何をしたか確認する、信頼は段階的に広げる——そうした一つひとつが、能動型のエージェントと付き合ううえでの土台になると思います。
作成日:2026年2月1日
moltbotの語源は、ロブスターが殻を脱ぐ「molt(脱皮)」と「bot(ボット)」の組み合わせで、旧名の Clawdbot(ロブスターの爪のイメージ)から続くキャラクター性を引き継いでいると言われてます。