2025年末に登場し、わずか数カ月でGitHubスター数14万超を記録したオープンソースAIエージェント「OpenClaw」。従来のチャットボットが「答えを返す」存在だったのに対し、OpenClawは「実際にタスクを実行する」自律型エージェントとして注目を集めている。本稿では、OpenClawの技術的な仕組み、豊富なユースケース、そしてセキュリティ上の留意点を包括的に整理する。

OpenClawとは何か——Clawdbotからの変遷

OpenClawは、オーストリアのソフトウェアエンジニアでPSPDFKit創業者のPeter Steinberger氏が開発した、オープンソースのセルフホスト型AIエージェントである。2025年11月に「Clawdbot」の名前で最初に公開されたが、Anthropic社からの商標に関する指摘を受け、2026年1月27日に「Moltbot」へ改名。さらに3日後の1月30日、現在の「OpenClaw」に名称が確定した。

名前は変わっても、プロジェクトの本質は一貫している。ユーザーのローカルマシン上で動作し、WhatsApp・Telegram・Discord・Slack・Microsoft Teamsなど日常的に使っているメッセージングアプリを通じて指示を受け、シェルコマンドの実行やファイル操作、ブラウザ制御を自律的に行う「パーソナルAIエージェント」である。

公開から72時間でGitHubスター数が6万を突破し、2026年2月時点では14万7,000以上に達している。Discordコミュニティには約6万人が参加しており、オープンソースAIエージェントとして最も急成長しているプロジェクトの一つである。

アーキテクチャと主要機能

OpenClawはNode.jsで構築されたオープンソースアプリケーションで、macOS、Linux、Windows(WSL2推奨)で動作する。インストールはワンライナーで完了し、技術的なハードルは比較的低い。

アーキテクチャの特徴は「ローカルゲートウェイ」方式にある。AIモデル自体はクラウドAPIまたはローカルLLM(Ollama経由のLlama 4やMixtralなど)を利用し、OpenClawはそのモデルに「手(Claw)」を与える役割を果たす。具体的には、ファイルシステムへのアクセス、シェルコマンドの実行、ブラウザの操作をサンドボックス化されたDocker環境内で提供する。

主要機能は以下の通りである。

  • モデル非依存: Claude、GPT、DeepSeek、KIMI K2.5、Xiaomi MiMo-V2-Flashなど、多様なモデルに対応。ローカルLLMでの完全オフライン運用も可能
  • 永続メモリ: ユーザーの好みや過去のやり取りをローカルのMarkdownファイルとして保持し、数週間にわたるコンテキストを維持する
  • マルチプラットフォーム統合: 50以上のサードパーティ統合(WhatsApp、Notion、Obsidian、Trello、スマートホーム機器など)に対応
  • スケジュール実行: cron統合とハートビート機能により、明示的な指示なしで条件ベースのタスクを自律実行
  • プライバシーファースト: すべてのデータはユーザーのマシン上に保持され、外部のSaaSサーバーにはデータが送信されない

スキルエコシステムと実践的なユースケース

OpenClawの真の魅力は、コミュニティが構築する「スキル」エコシステムにある。公式レジストリ「ClawHub」には2026年2月時点で3,000以上のスキルが登録されており、ユーザーは会話の中からスキルをインストールするだけで機能を拡張できる。

実際に報告されているユースケースは多岐にわたる。

開発者向けワークフロー

GitHub連携によるプルリクエストのレビュー、テスト実行と自動マージ、cronジョブによるCI/CDパイプラインの監視など、開発者の日常業務を自動化する用途が特に人気が高い。モバイル端末からメッセージアプリ経由でコードレビューを指示し、結果を受け取るといった使い方が報告されている。

パーソナル生産性

朝のブリーフィング自動生成は代表的なユースケースである。カレンダー、天気、メール、RSSフィード、GitHub通知、Hacker Newsのトレンドを集約し、Telegramに一つのサマリーとして毎朝配信する。あるユーザーは「4,000通のメールを2日間で自律的にクリアした」と報告している。

ホームオートメーション

天気予報に基づいてボイラーの設定を調整したり、メッセージアプリからの音声コマンドで家電を制御したりと、スマートホーム統合のハブとしても活用されている。

トレーディングと金融

ポジションサイズの計算、ストップロスの管理、アラートの発行、取引ログの自動記録など、多日にわたるトレーディングワークフローを構築しているユーザーもいる。暗号通貨分野では、ソーシャルセンチメント分析と取引所APIの連携による自動売買システムが構築されている。

コンテンツ・ビジネス自動化

SEOコンテンツパイプライン(トピック調査→下書き生成→公開)、Linearとの連携によるチャットからのタスク作成、健康データ(Whoop API)の日次レポート生成など、ビジネスプロセスの自動化にも広く使われている。

セキュリティ——最大の課題と対策

OpenClawの強力な自律性は、同時に重大なセキュリティリスクをもたらす。コミュニティのメンテナーは「コマンドラインの操作が理解できないレベルのユーザーには危険すぎるツール」と明言している。

セキュリティ企業Vectra AIの分析によると、設定ミスによりインターネット上に公開されたOpenClawインスタンスが多数確認されている。公開されたインスタンスからはAPIキー、OAuthトークン、チャット認証情報、ローカルファイルへのアクセスが可能な状態であった。また、CVE-2026-25253として報告された認証トークン流出の脆弱性により、リモートコード実行が可能となるケースも確認されている。

2026年2月には、ClawHubに登録された341個の悪意あるスキルが発見された。これらのスキルは、macOS向けのAtomic Stealerマルウェアの配布や、リバースシェルバックドアの埋め込みを行っていた。機能的には正常に動作するスキルのコード内に悪意ある処理が仕込まれており、インストール時ではなく通常利用時に発動する巧妙な手法が用いられていた。

推奨される対策は以下の通りである。

  • 管理UIはlocalhostにバインドし、リモートアクセスにはVPNまたはSSHトンネルを使用する
  • 非rootユーザーで実行し、特権コンテナを避ける
  • 高リスクなツール操作には人間の確認を必須にする
  • 認証情報を定期的にローテーションし、会話履歴の保持期間を7〜14日に制限する
  • サードパーティスキルのインストール前にコードを精査する

OpenClawの位置づけと展望

OpenClawは、SiriやAlexaのような「特定コマンドを実行するアシスタント」でも、ChatGPTのような「テキストで回答するチャットボット」でもない。ユーザーが設定した目標を受け取ると、自らステップに分解し、必要なツールを見つけ、インストールし、障害が発生すればトラブルシューティングまで行う自律型エージェントである。

一方で、その急成長には懐疑的な見方もある。OpenClawがDeepSeekやQwenといった中国発のAIモデルを展開するインフラとして機能している側面が指摘されており、オーガニックな草の根的普及なのか、意図的な市場ポジショニングなのかについて議論がある。

また、開発者のSteinberger氏自身が「3カ月未満の未完成プロジェクト」と認めている点も重要である。実験的なプロジェクトから実用的なインフラへと急速に移行する過程で、セキュリティとユーザー保護の体制が追いついていない現状がある。

それでも、OpenClawが示した「ローカルで動作するオープンソースAIエージェント」というコンセプトは、AIの利用形態における重要な転換点を示している。クラウドに依存せず、自分のデータを自分の管理下に置きながらAIの自律的な実行能力を活用できるという思想は、プライバシーとエージェント能力の両立を求める多くの技術者に支持されている。

FAQ

OpenClawは無料で使えるのか?

OpenClaw自体はオープンソースで無料である。ただし、AIモデルのAPI利用料(Claude、GPTなど)は別途発生する。ローカルLLM(Ollamaなど)を使えばAPI費用もゼロにできる。

OpenClawとClaude CodeやChatGPTの違いは何か?

Claude CodeやChatGPTがテキストで回答を返すのに対し、OpenClawは実際にシェルコマンドを実行し、ファイルを操作し、ブラウザを制御する自律型エージェントである。また、完全にローカルで動作しデータが外部に出ない点も大きな違いである。

プログラミングの知識がなくても使えるか?

インストール自体は簡単だが、コミュニティは「コマンドラインが理解できないユーザーには危険」と警告している。セキュリティ設定やスキルの安全性確認にはある程度の技術知識が必要である。

どのAIモデルに対応しているか?

モデル非依存設計で、Claude、GPT、DeepSeek、KIMI K2.5、Xiaomi MiMo-V2-Flash、Llama 4、Mixtralなど、クラウドAPIとローカルLLMの双方に対応している。

参考文献