OpenClawとは何か — 「対話するAI」から「実行するAI」への転換点
homulaは、エンタープライズ企業向けにAIエージェントの戦略策定・PoC・実装・運用・内製化までを一気通貫で支援するAIインテグレーターです。本記事では、2026年初頭に爆発的な注目を集めた自律型AIエージェント「OpenClaw」について、その技術的本質からセキュリティリスク、エンタープライズにおける評価の勘所までを包括的に解説します。
OpenClawは、オーストリアのエンジニア、ピーター・シュタインベルガー(Peter Steinberger)が2025年11月に個人プロジェクトとして開発を始めた、オープンソースの自律型AIエージェントです。従来のChatGPTやClaudeが「会話するAI」であるのに対し、OpenClawは「実際にタスクを実行するAI」として設計されています。ファイルの読み書き、シェルコマンドの実行、メールの送受信、ブラウザ操作、スマートホーム制御まで、ユーザーのローカルマシン上で自律的に動作します。
2026年1月末にバイラルに広がり、72時間でGitHubスター6万を獲得。2月下旬時点で約19.6万スター、3.39万フォーク、900人以上のコントリビューターを擁し、GitHub歴代5位のリポジトリとなりました。上位4つ(Linux、Vue、React、Next.js)はいずれも10年以上の歴史を持つプロジェクトであり、OpenClawの成長速度がいかに異例であるかが分かります。
図1: OpenClawの主要指標。3ヶ月でGitHub史上5番目の規模に到達した
VentureBeatはこの動きを「ChatGPT時代の終わりの始まり」と評しました。AIは「対話するツール」から「実行するインフラ」へと進化しています。この構造変化は不可逆的であり、エンタープライズがどう対応するかが今後のAI戦略の分水嶺となります。
3ヶ月の激動 — 週末のハックからOpenAI合流まで
OpenClawの歴史は、オープンソースの力学、商標紛争、そしてビッグテック間の人材獲得競争が凝縮された物語です。
「Clawdbot」から始まった名称の変遷
シュタインベルガー氏はもともとPSPDFKitの創業者として13年間の実績を持つエンジニアです。2025年11月、WhatsAppとAnthropicのClaudeを接続する「週末プロジェクト」として「Clawdbot」を公開しました。ロブスターのハサミ(Claw)とClaude、Botを掛けた名称で、ロブスターの絵文字(🦞)がマスコットとなりました。
2026年1月27日、Anthropic社から商標侵害に関する停止勧告が届きます。「Claude」との音韻的類似性が問題とされ、急遽「Moltbot」(ロブスターの脱皮=Moltに由来)に改名。しかし「語感が悪い」というコミュニティの反応を受け、わずか3日後の1月29日に「OpenClaw」へ再改名されました。
| 時期 | 名称 | 背景 | GitHubスター(累計) |
|---|---|---|---|
| 2025年11月 | Clawdbot | 週末プロジェクトとして誕生 | 100以下 |
| 2026年1月27日 | Moltbot | Anthropic社からの商標停止勧告 | 約80,000 |
| 2026年1月29日 | OpenClaw | 語感改善とブランド確立 | 100,000突破 |
| 2026年2月以降 | OpenClaw | 財団化とOpenAI提携 | 196,000超 |
この一連の騒動は、結果的にプロジェクトへの注目を急上昇させ、1週間で200万以上のウェブサイト訪問を記録しました。
OpenAIへの合流と財団の設立
2026年2月14日、シュタインベルガー氏はOpenAIへの参画を発表。MetaのザッカーバーグCEOからも直接オファーがあったとされますが、「エージェントの民主化」というビジョンに共鳴し、OpenAIのサム・アルトマンの提案を選択しました。アルトマンは「次世代のパーソナルエージェントを推進する」と述べています。
プロジェクト自体は、LinuxやKubernetesをモデルとした独立のOpenClaw Foundationに移行し、MITライセンスの下でオープンソースとしての独立性を維持します。
技術的アーキテクチャ — ローカルファースト、モデル非依存、マルチチャネル
OpenClawの技術的な設計思想を理解することは、そのセキュリティリスクを正しく評価するうえでも不可欠です。
ゲートウェイ:ローカルで動くコントロールプレーン
中核となるのは、TypeScript(Node.js ≥ 22)で記述された「ゲートウェイ」です。ポート18789でバインドされるこの常駐プロセスが、セッション管理、チャネルルーティング、ツール実行の調整を担います。全データはローカルのSQLiteとJSONファイルに保存され、セッション履歴はJSONL、長期記憶はMarkdownファイル(SOUL.mdでアイデンティティ、MEMORY.mdで永続コンテキスト)として管理されます。
図2: OpenClawのアーキテクチャ。ローカルのGatewayが全コンポーネントを制御する
モデル非依存とマルチチャネル
OpenClawは20以上のLLMプロバイダーに対応しています。Anthropic Claudeが推奨モデルですが、OpenAI GPT、Google Gemini、DeepSeek、xAI Grok、Ollamaによるローカルモデルなど、ユーザーが自由に選択可能です。モデルフォールバック機能により、プライマリモデルが応答不能な場合は自動的に代替モデルへ切り替わります。
UIとしての最大の特徴は、15以上のメッセージングプラットフォームとの統合です。WhatsApp、Telegram、Slack、Discord、Google Chat、Signal、iMessage、Microsoft Teams、Matrixなど、ユーザーが普段使っているアプリからそのままAIエージェントに指示を送れます。
Heartbeat:受動的ボットから能動的エージェントへ
OpenClawを「指示待ちのボット」から「自律的なエージェント」に変えているのが「Heartbeat」システムです。定期的またはイベント駆動でエージェントを起動し、未処理タスクの確認と実行を自律的に行います。メール返信、スケジュール調整、ファイル整理などを、ユーザーが寝ている間にも処理します。
Skills:自己拡張するエージェント
OpenClawの能力はSKILL.mdファイルで定義されるモジュール式の「スキル」で拡張されます。コミュニティマーケットプレイスのClawHubには5,700以上のスキルが登録されており、エージェントが自律的にClawHubを検索して新しいスキルをインストールできます。さらに注目すべきは、OpenClaw自身が新しいスキルのコードを生成する「自己改善」能力を持つ点です。
実際に何ができるのか — ユースケースの実態
OpenClawの具体的な適用事例は、個人の生産性向上から業務自動化まで多岐にわたります。
ある開発者は、OpenClawエージェントにカーディーラーへの自動連絡と競合見積もりの転送を実行させ、就寝中に4,200ドルの値引きを獲得したと報告しています。日常的なユースケースとしては、毎朝のブリーフィング生成、メールのトリアージ、Notion経由の食事プランニング、スマートホーム音声制御、保険請求への法的反論書の作成などが挙がっています。
香港大学の「ClawWork」ベンチマークでは、OpenClawが自律的AIコワーカーとして7時間で10,000ドル相当の成果を上げたという結果も公開されています。
エンジニア向けには、GitHubのIssue読み取り→コーディング→プルリクエスト生成という一連のワークフロー自動化が多数報告されています。ClineやClaude Codeがコーディングに特化しているのに対し、OpenClawはドキュメント整理、チームへの報告、デプロイ後の監視といった「IDEの外側のタスク」まで統合できる点が差別化要因です。
| 比較項目 | OpenClaw | Cline | Claude Code |
|---|---|---|---|
| 主要ターゲット | 汎用自動化・個人秘書 | ソフトウェアエンジニア | エンタープライズ開発 |
| 実行環境 | ローカル(常時稼働) | VS Code内 | CLI / クラウド / IDE |
| 拡張性 | ClawHub(スキル制) | MCP | 公式プラグイン |
| コスト構造 | OSS(API代のみ) | OSS(API代のみ) | サブスクリプション |
| 最大の特徴 | メッセージングアプリ連携 | 承認ベースのコーディング | 大規模リポジトリ解析 |
セキュリティ — OpenClawの最大にして本質的な課題
OpenClawの能力の高さは、そのまま攻撃面の広さに直結します。ここからは、エンタープライズが導入を検討する際に最も注意すべきセキュリティの実態を解説します。
「致死的三要素(Lethal Trifecta)」
セキュリティ研究者のSimon Willisonが指摘した概念で、OpenClawが体現する構造的リスクの本質を表しています。
- プライベートデータへのアクセス権 — ファイルシステム、メール、カレンダー、パスワードマネージャーなどへの広範なアクセス
- 信頼できないコンテンツの処理 — WhatsApp、Telegram、メール経由で、攻撃者が制御するテキストがLLMに入力される
- 外部通信による情報窃取の能力 — シェル実行、HTTP通信、メッセージ送信による外部へのデータ送出
この3つが揃ったとき、プロンプトインジェクション攻撃の影響範囲が飛躍的に拡大します。攻撃者がメッセージングアプリ経由で悪意あるプロンプトを送り込むだけで、エージェントが保持するすべての認証情報、ファイル、通信にアクセスされる可能性があります。
相次ぐ脆弱性の発見
2026年第1四半期だけで、複数のクリティカルなCVEが報告されています。
| CVE ID | 深刻度 | 脆弱性の種類 | 影響 |
|---|---|---|---|
| CVE-2026-25253 | CVSS 8.8 | ワンクリックRCE | WebSocket経由のトークン窃取→リモートコード実行 |
| CVE-2026-24763 | 高 | サンドボックス回避 | Dockerコンテナからホストシステムへのアクセス |
| CVE-2026-25157 | 高 | 認証バイパス | リバースプロキシ環境下のローカル接続誤判定 |
| CVE-2026-26326 | 中 | 機密情報露出 | 設定チェック時の秘密鍵漏洩 |
2026年1月のセキュリティ監査では512件の脆弱性が発見され、うち8件がクリティカルと分類されました。Censysの調査では、2026年1月31日時点で21,639のOpenClawインスタンスがインターネットに公開されており、その多くが認証なしで稼働していました。Bitdefenderは135,000以上の無防備なインスタンスを報告しています。
図3: Simon Willisonが指摘した「Lethal Trifecta」。3つの要素が揃うことで攻撃の影響が指数的に拡大する
ClawHubスキルの汚染 — サプライチェーン攻撃の新形態
ClawHubマーケットプレイスは、OpenClawの拡張性を支える一方で、深刻なサプライチェーンリスクとなっています。
1Passwordのセキュリティ研究者が発見した事例では、最もダウンロード数の多い「Twitter」スキルが、実際にはマルウェア配布ベクターでした。インストール手順を装って悪意あるバイナリをダウンロード・実行させ、Cookie、保存済み認証情報、SSHキーを窃取する設計でした。
Dvuln創業者のJamieson O'Reilly氏が実施した概念実証では、「What Would Elon Do?」という名前のスキルを作成し、ダウンロード数を水増しして1位を獲得。1時間で4,000以上のダウンロードを記録し、7カ国の開発者が実際にコードを実行しました。Snykの分析では、ClawHub上の3,984スキルのうち283スキル(約7.1%)にクリティカルなセキュリティ欠陥が確認されています。別の分析では10-17%が悪意あるスキルであったと報告されており、400以上のスキルがAPIキー、SSH認証情報、ブラウザパスワード、暗号資産ウォレットを窃取していたとされます。
2026年2月17日には、人気AIコーディングツール「Cline CLI」のNPMパッケージ(v2.3.0)が侵害され、postinstallスクリプト経由で約4,000台の開発者環境にOpenClawが無断インストールされる事件も発生しました。AIエージェント間の依存関係がリスクの連鎖を生む構造が顕在化しています。
Moltbook事件 — AIソーシャルネットワークの崩壊
AIエージェント専用のソーシャルネットワーク「Moltbook」は、SupabaseのRLS(行単位セキュリティ)が無効化されていたことにより、150万件以上のエージェント用認証トークンと3.5万件のメールアドレスが公開状態となりました。エージェント対人間の比率は88:1であり、「自律的なAI社会」の実態が一握りの人間による大量ボット運用であったことが露呈しました。
OWASP Top 10 for Agentsとの対応
Palo Alto NetworksはOpenClawの脆弱性をOWASP Top 10 for Agentsにマッピングしています。主要なリスクとして、プロンプトインジェクション(直接・間接)、過剰な自律性(承認ゲートなしのファイルシステムルートアクセス)、エージェントメモリポイズニング(ソース区別なしの記憶保存)、安全でないサードパーティ統合(スキルがフル権限で実行)などが挙げられています。
対策の現状 — OpenClawコミュニティの取り組み
OpenClawプロジェクトもセキュリティ対策を急速に進めています。
実装済みの緩和策:
auth: noneオプションの完全廃止(必須認証化)- Docker サンドボックスモードの導入
- 未知の送信者に対するDMペアリング要求
- パス制限(Path Containment)
- VirusTotal(Google傘下)との提携による全ClawHubスキルの自動スキャン
- セキュリティアドバイザーのJamieson O'Reilly氏(Dvuln創業者)がtrust.openclaw.aiでセキュリティプログラムを運営
- v2026.2.12以降、SSRF deny方針、外部コンテンツの「untrusted」ラッピング、セッションファイルパスの安全化を実装
サードパーティツールとしては、Adversa AIのSecureClaw(55項目の監査チェックリスト)、Prompt SecurityのClawSec、Astrix SecurityのOpenClaw Scannerなどが提供されています。
プロジェクトメンテナーの1人は「コマンドラインの使い方が分からない人にとって、このプロジェクトは危険すぎる」と明言しています。OpenClawの公式ドキュメント自体も、「急速に動いている」「プレ1.0」であることを前提に、pin/rollback手順を明記しています。
エコシステムの広がりと派生プロジェクト
OpenClawの爆発的な成長は、周辺エコシステムの形成も加速させています。
| プロジェクト | 言語 | 特徴 |
|---|---|---|
| IronClaw (nearai) | Rust | プライバシーとセキュリティに特化した再実装 |
| PicoClaw | Go | 10MBのRAMで動作、10ドルのRISC-Vボード対応 |
| ZeroClaw | Rust | 3-5MBのバイナリ、ミリ秒起動 |
| TrustClaw (Composio) | — | クラウドベース、OAuth限定、サンドボックス実行 |
| Nanobot | Python | 4,000行のミニマル実装 |
産業界との連携も広がっています。Rabbit r1はOTAアップデートでOpenClawを統合。DigitalOceanは1-Click Deployテンプレートを公開。Cloudflareの株価はOpenClawのインフラ需要を背景に14%上昇したと報じられました。サンフランシスコ周辺ではMac Miniが品薄になる「Mac Mini効果」も発生しています。NVIDIAはDGX Spark向けの最適化ガイドを公開し、128GBのメモリプールでローカルモデルを高速実行する環境を整備しました。
Andrej Karpathyは「AIにおける最も注目すべき最近の進展の一つ」、Simon Willisonは「今インターネット上で最も面白い場所」と評しています。
コスト構造の実態
OpenClaw自体はMITライセンスの無料ソフトウェアですが、LLM API利用料が実質的な運用コストとなります。エージェントワークフローは、計画、ツール呼び出し、リトライ、メモリ管理、要約処理のため、単純なチャットよりも大幅にトークンを消費します。
| 利用レベル | 月額目安 |
|---|---|
| ライトユース | 10-30ドル |
| 標準的な利用 | 30-70ドル |
| ヘビーユース | 100-150ドル以上 |
Claude Opusなどの高性能モデルでは数時間で100ドル以上を消費するケースも報告されています。Ollama経由のローカルモデル利用で、API費用をゼロにすることも可能です。
なお、このコスト構造はOpenClawの逐次処理アーキテクチャに起因する部分が大きく、ツール呼び出しのたびにLLMとの往復が発生することでトークン消費が膨らみます。後述する自動組み立て一括実行方式では、同じタスクでもトークン消費を最大90%削減できるケースがあり、コスト効率はアーキテクチャの設計選択に大きく依存します。
エンタープライズが押さえるべき判断フレームワーク
OpenClawの技術的可能性とリスクを踏まえ、エンタープライズ企業が評価すべきポイントを整理します。
現時点でOpenClawの企業導入を推奨しない理由
OpenClawは「プレ1.0」のプロジェクトであり、エンタープライズレベルのセキュリティ・ガバナンス要件を満たしていません。具体的には以下の点が課題です。
- 信頼境界の設計思想: 「信頼できる運用者が強力なエージェントを動かす」前提であり、ゼロトラスト的な多人数共有SaaS設計ではない
- サプライチェーンの未成熟: ClawHubスキルの7-17%に悪意あるコードが含まれるという調査結果
- リリースサイクルの速さ: 短期間で数百〜数千のコミットが行われ、破壊的変更とセキュリティ修正が混在
- 監査ログ・RBAC: エンタープライズレベルの監査ログ、ロールベースアクセス制御が未整備
- メモリの脆弱性: 全記憶がMarkdownファイルで管理され、ソース区別・信頼レベルの概念がない
OpenClawから学ぶべきエージェント設計の教訓
一方で、OpenClawが提示した「自律型エージェント」のアーキテクチャパターンには、エンタープライズAI戦略にとって重要な示唆が含まれています。
- マルチチャネルUI: ユーザーが既に使用しているメッセージングアプリをUIとする発想は、社内エージェントの定着率向上に直結する
- ローカルファースト: 機密データをクラウドに送らない設計は、規制要件への対応として理にかなう
- モデル非依存: ベンダーロックインを避け、要件に応じてLLMを切り替えられるアーキテクチャは、エンタープライズのリスク管理と一致する
- スキルによるモジュール拡張: 機能をプラグイン化することで、段階的な能力追加とガバナンス管理を両立できる
「実行するAI」をエンタープライズで実現するには
OpenClawが証明したのは、「AIにやらせる」時代が確実に到来しているという事実です。しかしエンタープライズ環境では、OpenClawのアーキテクチャをそのまま持ち込むことはできません。必要なのは、OpenClawが示した「タスク実行」の価値を、企業のセキュリティ・ガバナンス要件に適合する形で再構成することです。
この課題に対するアプローチとして、「接続(Skills)」「実行(Execution)」「統制(Control)」の3層を分離したアーキテクチャが有効です。
図4: OpenClawの構造的課題と、エンタープライズに求められる3層アーキテクチャの対応関係
逐次処理から自動組み立て一括実行へ
OpenClawを含む多くの自律型エージェントは、ツールを「1回呼び出し → 結果確認 → 次の呼び出し」と逐次処理します。この方式では、20件の経費チェックに約45秒、トークン消費は15万トークン程度となります。
homulaのAgensが採用する「自動組み立て一括実行(Programmatic Calling)」方式では、AIが実行計画全体をコードとして一度に生成し、サンドボックス内で一括処理します。同じ20件の経費チェックが約3秒、トークン消費は1.5万トークンで完了します。処理時間93%削減、コスト90%削減という差は、エンタープライズの大量バッチ処理において決定的な意味を持ちます。
「承認境界」の設計 — 日本企業の承認文化との適合
OpenClawの最大の課題の一つは、OWASP A04「Missing Human-in-the-Loop Controls」に該当する、承認ゲートの不在です。メール送信、ファイル削除、外部API呼び出しといった破壊的操作が、人間の承認なしに実行されます。
エンタープライズ向けのAI実行基盤には、「何を自律実行し、何で人間の承認を求めるか」を事前に定義する「承認境界」の概念が不可欠です。
| 操作種別 | 自律実行 | 承認必須 |
|---|---|---|
| 読み取り(メール受信、データ検索、ログ収集) | ✅ | — |
| ドラフト生成(返信文案、レポート下書き) | ✅ | — |
| 通知(Slackアラート、承認依頼送信) | ✅ | — |
| 書き込み(基幹システムへのデータ登録) | — | ✅ |
| 外部通信(社外メール送信、外部API呼び出し) | — | ✅ |
| 削除(データ削除、権限変更) | — | ✅ |
この設計思想は、日本企業の稟議・決裁プロセスとも自然に適合します。Agensはこの承認境界をAgens Controlモジュールとして実装しており、WAF/DLP、5年監査ログ、RBAC/ABACと組み合わせることで、J-SOX準拠のガバナンス基盤を提供しています。Agensのプロダクト詳細はこちらをご覧ください。
OpenClaw vs エンタープライズ実行基盤の比較
| 比較軸 | OpenClaw | TrustClaw | n8n / Dify | Agens |
|---|---|---|---|---|
| 接続 | 5,700+(未検証) | 1,000+(マネージドOAuth) | 300+(手動設定) | 200+(MCP標準、認証金庫) |
| 実行 | △ 逐次処理 | △ 逐次処理 | × 要フロー設計 | ◎ 自動組立+一括実行 |
| 統制 | × | △ 基本ログ | × | ◎ 承認WF+5年監査 |
| コード実行環境 | ローカルPC(危険) | リモートサンドボックス | なし | サンドボックス(閉域網対応) |
| 対象 | 個人 | 個人〜SMB | 開発者チーム | エンタープライズ |
| 日本語対応 | × | × | △ | ◎ |
OpenClawが証明した「AIにやらせる」需要を、エンタープライズで安全に実現するのがhomulaのAgensです。Skills(接続)× Execution(実行)× Control(統制)の3モジュール構成で、自然言語の指示だけで業務タスクを自動実行します。OpenClawの利便性と、監査ログ・承認ワークフロー・閉域網対応といったエンタープライズ要件を両立させたい場合は、Agensの詳細をご確認ください。
まとめ — 自律型AIエージェント時代の始まり
OpenClawは、2023年のAutoGPTブームが果たせなかった「本当に動くAIエージェント」を実現した最初の大規模プロジェクトです。LLMの推論能力の向上とエコシステムの成熟が重なり、今回は一過性のブームでは終わらないでしょう。
ただし、OpenClawが抱える「致死的三要素」は、OpenClaw固有の問題ではなく、「有用な自律型エージェント」が本質的に持つ構造的課題です。エンタープライズがこの技術潮流に対応するには、能力と制御のバランスを設計段階から組み込む必要があります。
OpenClaw Foundationへの移行、OpenAIによる支援、VirusTotalとの提携といった動きは、このプロジェクトが一過性の話題を超えて、AIエージェントのインフラストラクチャとして定着しつつあることを示しています。エンタープライズにとっての問いは「OpenClawを使うかどうか」ではなく、「AIが業務を実行する時代に、どのようなガバナンスと実行基盤を構築するか」です。
AIエージェントの導入を検討しているが、OpenClawのようなOSSを直接利用するリスクが気になる方は、homulaのエンタープライズ向け支援をご活用ください。ベンダーニュートラルな立場から、要件に最適な技術選定と安全な実装をサポートします。