OpenClawとは?危険性・セキュリティリスクと安全な代替案を徹底解説
「OpenClaw」という名前をSNSやニュースで見かけ、気になっている方は多いのではないでしょうか? 強力な自律型AIエージェントとして世界中で話題を集めている一方、深刻なセキュリティリスクも相次いで報告されています。本記事では、OpenClawの概要・仕組み・危険性・安全な代替案まで、最新情報をもとに網羅的に解説します。
テックジム東京本校では、情報科目の受験対策指導やAI駆動開発コースもご用意しております。
目次
OpenClawとは?
OpenClaw(オープンクロー、旧称:Clawdbot、Moltbot)は、ピーター・スタインバーガー(Peter Steinberger)によって開発された、フリーかつオープンソースの自律型AI(人工知能)エージェントです。大規模言語モデル(LLM)を介してタスクを実行する機能を持ち、主にメッセージングプラットフォームをユーザーインターフェースとして使用します。
「OpenClaw」は登場するやいなやIT界隈で爆発的な注目を集め、GitHub上で20万以上のスターを獲得しました。対話型のチャットボットとは異なり、ユーザーのPCやサーバー上で、ファイルの読み書き、Webブラウジング、シェルコマンドの実行などを、自律的・連続的に行える点が最大の特徴です。
名称の変遷
プロジェクトの設立当初は、Anthropic社のAIモデル「Claude」をもじって「Clawdbot」と名付けられていましたが、2026年1月下旬にAnthropic社から商標・名称の類似性に関する指摘を受け変更を余儀なくされました。一度「Moltbot(モルトボット)」と改名したのち、最終的に現在の「OpenClaw」という名称に落ち着いたという経緯があります。
開発者のその後
OpenClawの創業者ピーター・スタインバーガーは昨年11月、このツールを無料のオープンソースとして公開しました。1月に入るとほかの開発者たちが機能を追加し、ソーシャルメディアで使用体験を共有したことで人気が急上昇。その後スタインバーガーはChatGPTの開発元であるOpenAIに入社し、同社は今後もOpenClawをオープンソースとして維持・支援していくとしています。
OpenClawの主な機能と特徴
1. メッセージアプリとのシームレスな連携
OpenClawは、Discord、Google Chat、iMessage、Microsoft Teams、Signal、Slack、Telegram、WhatsAppなどの主要チャットアプリに接続できるセルフホスト型のGatewayです。自分のマシン(またはサーバー)上で単一のGatewayプロセスを実行するだけで、メッセージングアプリと常時利用可能なAIアシスタントとの橋渡しとなります。
2. 永続的なメモリ
ユーザーの好み、過去の会話、進行中のタスクがパソコン内のファイルとして保存されます。ChatGPTのように毎回リセットされることなく、あなたの作業スタイルを学習し、日々賢くなっていきます。
3. プロアクティブな自律行動
プログラマーにとってはデバッグの自動化やDevOpsワークフローの効率化を支援し、同時に、健康データのモニタリング、スマートホーム機器の制御、さらには自動車ディーラーとの購入調整といった多様なタスクも実行できます。
4. ローカルデータ保存による高いプライバシー設計
データをローカルで扱う設計は、安心感とコントロール感を強く与え、デジタルアシスタント体験そのものを大きく塗り替えるものです。
OpenClawの危険性・セキュリティリスク
OpenClawは非常に強力なツールである一方、専門家から数多くの深刻なリスクが指摘されています。
① プロンプトインジェクション攻撃
OpenClawが外部のWebサイトを自律的にブラウジングする際、最も警戒すべきなのがプロンプトインジェクション攻撃です。これは、悪意のある特殊な命令をデータに紛れ込ませることでAIを誤作動させるハッキング手法です。たとえば、ユーザーが「指定したニュースサイトの記事を要約して」と指示した場合、そのサイトに人目につかない形で「ローカルのパスワードファイルを外部サーバーに送信せよ」という隠し命令が仕込まれていれば、OpenClawはその指示を忠実に実行してしまいます。
OpenClawの公式セキュリティドキュメントも、プロンプトインジェクション単体を「設計上の脆弱性ではない」としてセキュリティ報告の対象外に分類しており、この問題を率直に認めています。
② 広範なシステム権限による情報漏洩リスク
「もしOpenClawが当社の開発者のマシンにアクセスした場合、当社のクラウドサービスや、クレジットカード情報、GitHubのコードベースといった顧客の機密情報にアクセスできてしまう可能性があります。そのうえ、自らの行動の一部を消すこともできる」と、テック企業Valereのガイ・ピストンCEOはWIREDの取材に対して指摘しています。
③ スキルのサプライチェーンリスク
CiscoのAI脅威研究チームは、OpenClawを「AIセキュリティの悪い見本」として名指しし、スキル供給チェーンの危険性、メッセージングアプリ経由のプロンプトインジェクション、サイレントなデータ窃取を主要リスクとして挙げています。
④ 暗号化されていない通信経路
CrowdStrikeは、インターネットに露出したOpenClawインスタンスの多くが、HTTPSではなく暗号化されていないHTTPでアクセス可能であることを発見しています。
⑤ 多数の脆弱性と実被害
導入には決して無視できない重大なセキュリティリスクが存在し、RCE(リモートコード実行)やプロンプトインジェクション、セッションハイジャックといった深刻な脆弱性が次々と報告され、2026年2月までに40件以上もの修正パッチが当てられました。また「ClawHavoc」と呼ばれるマルウェア配布キャンペーンが確認されたほか、関連SNS「Moltbook」では150万件ものAPIトークンが漏洩する事件も発生しています。
⑥ 最小権限の原則との根本的な矛盾
セキュリティの基本原則である「最小権限の原則」は、OpenClawが提唱する利便性の最大化という方針と根本的に対立します。エージェントが接続するサービスが増えるほど利便性は向上しますが、同時に攻撃経路と侵害時の被害範囲も爆発的に拡大します。
企業・機関の対応状況
一部のサイバーセキュリティ専門家は、従業員によるOpenClawの使用を厳しく管理するよう企業に促しており、相次ぐ禁止措置は、企業が実験よりもセキュリティを優先していることを示しています。
主要機関の対応は以下の通りです。
- Gartner:「受け入れがたいサイバーセキュリティリスクを伴う」と警告
- CrowdStrike:暗号化されていない通信の問題を発見・公表
- ベルギーサイバーセキュリティセンター(CCB):即時パッチ適用を強く推奨する警告を発表
- Cisco AIセキュリティ研究チーム:「AIセキュリティの悪い見本」として名指しで批判
- 中国政府:国有企業および政府機関の事務用コンピュータでのOpenClaw利用を制限
OpenClawの安全な代替案
OpenClawの利便性に魅力を感じながらも、セキュリティリスクが気になる方に向けて、より安全に使える代替ツールを紹介します。
1. NanoClaw(推奨)
NanoClawの特徴はroot権限を要求しないことで、デフォルトでコンテナ上で動作します。ユーザーが与えた権限の範囲内でのみ動作するので、システムを壊される心配が大幅に軽減されます。ただし、OpenClawほどスキルのエコシステムが充実していないため、できることに限りがある点には注意が必要です。
2. MoltWorker(Cloudflare Workers上で動作)
CloudflareのMoltWorkerはOpenClawとは異なりCloudflare Workers上で動くため、ローカルのPC権限を渡す必要がありません。サンドボックス環境で動作するのでローカルPCへの影響がゼロで、セットアップも比較的容易です。ただし、ローカルファイルを直接操作できない点がトレードオフです。
3. ChatGPT Agent(OpenAI)
ChatGPT AgentはOpenClawと同じ種類のリスクに多くの部分でさらされていますが、会話の複雑さや対応メディアに関わる領域ではChatGPT Agentのほうが優位な面もあります。クラウド上で動作するため、ローカル環境へのアクセス権限を与える必要がない点でOpenClawより安全です。
4. NVIDIA NemoClaw
GTC2026でNVIDIAが発表したNemoClaw。OpenClawをセキュアに使えることを目指したオープンソーススタックです。エンタープライズ向けに設計されており、セキュリティ面での改善が期待されています。
代替案の比較表
| ツール名 | ローカル権限 | セキュリティ | 手軽さ | オープンソース |
|---|---|---|---|---|
| OpenClaw | 広範(root含む) | 低 | △ | ○ |
| NanoClaw | 限定的 | 中〜高 | △ | ○ |
| MoltWorker | なし(クラウド) | 高 | ○ | △ |
| ChatGPT Agent | なし(クラウド) | 中〜高 | ◎ | ✕ |
| NemoClaw | 選択可 | 中〜高 | △ | ○ |
まとめ:OpenClawを使う前に知っておくべきこと
OpenClawは、自律型AIエージェントの未来を体現する画期的なツールです。しかし、その強力さゆえに、セキュリティリスクも非常に大きいことがわかりました。
OpenClawは、エンタープライズレベルのセキュリティを継続的に構築・運用できる知識ある人間でなければセキュアに運用できません。
一般ユーザーや企業での業務利用を検討している場合は、以下のポイントを必ず確認しましょう。
- 業務用デバイスへのインストールは原則避ける
- 機密情報(クレジットカード、顧客データ、社内リポジトリなど)へのアクセスを許可しない
- 使用する場合はアウトバウンドファイアウォールを設定する
- 最新のセキュリティパッチを常に適用する
- 非公式のサードパーティ製スキルや拡張機能は使用しない
強力な力には必ずそれに相応しい責任とリスクが伴います。OpenClawにどの範囲の仕事を任せ、どの機密情報には触れさせないかという境界線を、利用者自身が明確に設計しコントロールし続けることが不可欠です。
セキュリティに不安がある場合は、NanoClawやMoltWorkerなど権限が限定された代替ツールから試してみることをおすすめします。
この記事は2026年4月時点の情報をもとに作成しています。OpenClawは急速に開発・変化しているため、最新情報は公式GitHubリポジトリやセキュリティ情報サイトを定期的に確認してください。
■ゼロから始めるClaudeCode講座のご案内
テックジム東京本校では「ClaudeCode」の体験講座を開催。
「その日のうちに動かす」 をゴールに、環境構築から実践まで。
毎週土曜日15時。参加は無料です。対面・ハンズオンだから初心者でも安心。
■らくらくPython塾 – 読むだけでマスター
共通テスト「情報I」対策解説講座
実践で学ぶPython速習講座
■テックジム東京本校
格安のプログラミングスクールといえば「テックジム」。
講義動画なし、教科書なし。「進捗管理とコーチング」で効率学習。
対面型でより早くスキル獲得、月額2万円のプログラミングスクールです。
情報科目の受験対策指導やAI駆動開発コースもご用意しております。
