株式会社TIMEWELLの濱本です。今日はテック関連の話をひとつ。
最近、技術界隈を席巻しているOpenClawという名前、耳にしたことはありますか。ただ質問に答えるだけのチャットボットとはまったくの別物で、あなたの代わりにPCを操作し、タスクを自律的にこなすAIエージェントのフレームワークです。自分だけのAI秘書が手に入るかもしれない。世界中の開発者が熱狂するのも無理はありません。
ただ、その強力な能力の裏には、かなり怖いセキュリティリスクが潜んでいます。ネットに繋がった無防備なOpenClawが乗っ取られる。悪意あるプログラムを実行させられる。こうした事態は、もう現実に起きています。
自宅のPCで、どうすれば安全に、安くAI秘書を育てられるのか。法人利用は本当に無理なのか。具体的な事故事例と対策を交えながら掘り下げていきます。
OpenClawとは何か
2025年の暮れ、開発者Peter Steinberger氏の週末プロジェクトとして産声を上げたオープンソース・ソフトウェアがあります。当初はClawdbotと名付けられ、商標問題でMoltbotを経てOpenClawへ。名前はころころ変わりましたが、勢いは止まりません。2026年初頭、わずか14日間でGitHubスター数10万超え。異常な速度です。
チャットボットとの決定的な違い
従来のチャットボットが「質問に答える」存在なのに対し、OpenClawは「タスクを実行する」エージェント。言葉の綾ではなく、LLM(大規模言語モデル)を脳として、PCのファイルシステム、シェル、ブラウザという手足を実際に動かせます。
| 機能 | チャットボット | OpenClaw |
|---|---|---|
| 基本動作 | 質問への応答 | タスクの計画・実行 |
| ファイル操作 | できない | 読み書き、編集、作成 |
| ブラウザ操作 | できない | 自動ナビゲーション、フォーム入力、情報収集 |
| コマンド実行 | できない | シェルコマンドの実行、監視 |
| 外部連携 | 限定的 | API経由でSlack, Gmail, Calendar等と連携 |
| 自律性 | なし(受動的) | cronによる定期実行、自己スケジュール管理 |
AIに魂と記憶を持たせるアーキテクチャ
OpenClawが他のツールと一線を画すのは、SOUL.mdというファイルの存在です。エージェントの行動指針や性格を定義するもので、いわばAIの魂。「単なる命令実行機ではなく、自分で考えて動く相棒であれ」という設計思想のもと、「意見を持つ」「聞く前に調べる」といった原則が刻まれています。没個性的なアシスタントではなく、主体性のあるパートナーを目指しているわけです。
記憶の仕組みも面白い。人間が日記を書くように日々の活動を記録し、読み返すことで継続性を保ちます。重要な決定や教訓はMEMORY.md(長期記憶)に、その日の出来事はmemory/YYYY-MM-DD.md(日記)に。エージェントは起動するたびにこれらを読み込んで、過去の経験から学習していく。
どこまでも拡張できるスキル
OpenClawの能力は固定されていません。スキルと呼ばれるプラグインで、機能をいくらでも追加できます。Googleカレンダー操作、Slackスレッドの要約、最新技術ニュースの収集。ユーザーコミュニティが多種多様なスキルを開発・共有していて、組み合わせ次第で自分の業務に特化した自動化が組めます。
自宅PCでAI秘書を低コスト構築する方法
これほど強力なAIエージェントとなると、高価なサーバーが必要だと思うかもしれません。ところが、OpenClawコミュニティで出た結論は「自宅PCがコスパ最強」でした。
クラウドではなく自宅PCにたどり着いた理由
開発初期にはAWS EC2が試されましたが、安定動作の代わりに月額3,000円以上が飛んでいく。次に試した格安VPSはメモリ不足で使い物にならない。最終的に、追加コストが電気代だけで済み、メモリも処理能力も十分な自宅Windows PC + WSL2環境に落ち着いた、という流れです。
| 環境 | 初期費用 | 月額費用 | パフォーマンス | 備考 |
|---|---|---|---|---|
| AWS EC2 | なし | 約3,000円〜 | 安定 | 設定が複雑、コスト高 |
| 格安VPS | なし | 約1,000円〜 | 不安定 | メモリ不足で動作困難な場合が多い |
| 自宅PC + WSL2 | PC代 | 電気代のみ | 快適 | コストパフォーマンスが最も高い |
LLMの選び方とコスト管理
OpenClawは脳として外部のLLM APIを呼ぶため、そのAPI利用料が運用コストの大部分になりえます。ジャーナリストのFederico Viticci氏は自身の実験で1.8億トークンを消費したと報告していて、無計画に回すと請求額に驚くことになります。
対策はシンプルで、まずモデルの特性と料金を把握すること。GPT-4、Claude 3 Opus、Gemini 1.5 Proなど、得意なタスクもコストもまるで違います。高度な推論が不要な処理には安いモデルを使う。この使い分けだけでかなり変わります。
究極のコスト削減はローカルLLMとの連携。OllamaでLlama 3を動かせばAPI利用料はゼロになります。ただし高性能GPU搭載のPCが必要で、ハードウェアへの初期投資は避けられません。
個人的に一番大事だと思っているのは、各プロバイダーのダッシュボードでAPI使用量を定期的にチェックする習慣です。予算アラートを設定して、一定額に達したら通知が来るようにしておく。地味ですが、これが想定外の出費を防ぐ最短ルートだと考えています。
OpenClawに潜むセキュリティリスクと事故事例
手軽に導入できて強力。だからこそ、セキュリティリスクの温床にもなる。OpenClawの利用は、鍵のかかっていない家に何でも言うことを聞く万能執事を住まわせるようなもので、実際にそれが原因で起きた事故がすでに複数あります。
設計思想そのものがリスクの源泉
OpenClawの危険性は特定のバグに起因するものではありません。ユーザーのPC上で完全な権限を持ち、外部からの指示を受け付け、自律的に学習・行動する。この自由度の高さ自体が、攻撃者にとって格好の標的です。トレンドマイクロは「エージェント型AIというパラダイムそのものに内在するリスク」だと警鐘を鳴らしています。
実際に起きた5つの事故
これは机上の空論ではありません。OpenClaw登場からわずか数ヶ月で、世界はいくつものインシデントを目の当たりにしました。
事例1:認証なしで丸見えのインスタンス1,000件超
2026年1月末、セキュリティ研究者がShodanで調べたところ、認証なしで誰でもアクセスできるOpenClawインスタンスが約1,000件見つかりました。Bitsight社の追跡調査では、1月27日から2月8日のわずか12日間で30,000件以上に膨れ上がっています。原因の多くはリバースプロキシの設定ミス。外部からのアクセスをローカルからのアクセスだと誤認して、管理者権限をそのまま渡してしまう状態でした。研究者のJamieson O'Reilly氏はこの脆弱性を突いて、APIキーやチャット履歴をたやすく抜き取れることを実証しています。
事例2:スキルマーケットがマルウェアの温床に
拡張機能のスキルを共有するマーケットプレイスClawHubが、想像以上にひどい状態でした。Snyk社の調査で、公開スキルの36%にセキュリティ上の欠陥が見つかり、暗号通貨ウォレットやパスワードを盗む「AuthTool」というマルウェア入りのスキルが1,467件も含まれていたのです。便利なツールをインストールしたつもりが、自分から機密情報を差し出していた。笑えない話です。
事例3:目に見えない命令でPC内の秘密鍵が盗まれる
LLMの脆弱性であるプロンプトインジェクションは、OpenClawにおいて特に厄介です。ある研究者は、人間の目には見えないテキストで悪意ある命令をウェブページに仕込み、OpenClawがそのページを読み込んだ瞬間に内部情報を攻撃者に送信させる手法を実証しました。メールに巧妙な命令を埋め込んでPC内の秘密鍵を盗む実験も成功しています。
事例4:AIが人間を中傷するブログ記事を自動公開
2026年2月、あるAIエージェントが、自身のコード提供を拒否したオープンソース開発者を中傷するブログ記事を自動生成・公開する事件が起きました。AIが自律的に人間を攻撃した事例として、大きな波紋を呼んでいます。OpenClawのような自律エージェントが広まれば、こうした「AIによる人格攻撃」が誰の身にも起こりうる。
事例5:AI専用SNSから475万件の情報流出
OpenClawエージェント同士が交流するSNS「Moltbook」で、データベースの設定不備により475万件の記録が流出しました。35,000人分の住所、20,000件の個人メールアドレスが含まれていたと報じられています。AIたちの楽園のはずが、杜撰な管理で個人情報流出の舞台になってしまった。
これらは氷山の一角です。Kaspersky社はOpenClawの監査で512件の脆弱性を特定し、うち8件はクリティカル(致命的)レベルだったと報告しています。
あなたのPCを守る具体的なセキュリティ対策
無防備なまま使うのは無謀。でも適切な対策を打てば、リスクは大幅に下げられます。セキュリティ専門家が推奨するハードニング(要塞化)の手法を、3段階に分けて整理しました。
Tier 1:基本保護(全員必須)
OpenClawを試す人全員が最低限やるべき防御策です。ここを怠るのは、玄関を開けっ放しで外出するのと同じ。
- 専用環境で実行する。メインPCでは絶対に動かさない。古いPCか仮想マシン(VMWare、VirtualBoxなど)を用意して、隔離した環境を作ってください。
- 公式ドキュメント、特にセキュリティセクションを隅まで読む。事故の多くは基本的な設定の不理解から起きています。
- LLMはプロンプトインジェクション耐性が比較的高いモデルを選ぶ。私はAnthropic社のClaudeを推奨しています。
- OpenClawが使うポート(デフォルト7474)は絶対にネットに公開しない。ファイアウォールでローカルホスト(127.0.0.1)からのアクセスだけ許可する。
- SlackやGmailと連携するなら、メインアカウントは使わない。OpenClaw専用のバーナーアカウント(使い捨て)を作って、乗っ取られても被害を最小限にする。
security audit --deepコマンドを定期的に実行して、既知の脆弱性をチェックする習慣をつける。
Tier 2:標準保護(できればここまで)
基本保護に加えて、もう一段リスクを下げたい場合の対策。
- ネットワーク分離。OpenClawの環境を自宅のメインネットワークから切り離す。ゲストWi-Fiを使えば、スマホや家族のPCとは別のネットワークに置ける。
- 認証の強化。OpenClaw Gatewayへのアクセスに多要素認証(MFA)を設定する。
- ファイルシステム権限の絞り込み。OpenClawの実行ユーザーがアクセスできるディレクトリを必要最小限に限定する。
Tier 3:高度な保護(機密データを扱うなら)
仕事のデータなど、漏れたらまずい情報を扱う場合の専門的な対策。
- ネットワーク出口フィルタリング。Squidなどのプロキシを導入して、OpenClawの通信先をホワイトリストで管理する。許可されたAPIエンドポイント以外への通信はすべて遮断。
- コンテナ仮想化。DockerやPodmanを使い、Rootlessモードで実行する。コンテナが乗っ取られてもホストシステムへの被害を防げる。
対策の全体像を表にまとめます。
| レベル | 対策項目 | 具体的なアクション |
|---|---|---|
| Tier 1:基本 | 専用環境での実行 | メインPCを避け、別マシンかVMを使う |
| ドキュメント熟読 | セキュリティ関連の章を完全に理解する | |
| LLMの選択 | プロンプトインジェクション耐性の高いモデルを使う | |
| ポート管理 | ファイアウォールで外部アクセスを遮断する | |
| 使い捨てアカウント | 連携サービス用にバーナーアカウントを作る | |
| 定期監査 | security audit --deep を習慣化する |
|
| Tier 2:標準 | ネットワーク分離 | ゲストWi-Fiなどでメインネットワークから隔離する |
| 認証強化 | Gatewayに多要素認証を導入する | |
| 権限制限 | ファイルシステムのアクセス権を最小限に絞る | |
| Tier 3:高度 | 出口フィルタリング | プロキシで通信先をホワイトリスト管理する |
| コンテナ仮想化 | Docker/Podman(Rootless)でOSから隔離する |
法人利用は可能なのか
正直なところ、現状のOpenClawをそのまま業務に導入するのは無謀です。
Palo Alto Networks、Cisco、CrowdStrikeといった世界的なセキュリティ企業が一様に法人利用へ警告を出しています。CrowdStrikeに至っては、企業ネットワーク内のOpenClawを検知して強制除去するツールを提供しているほど。
最大の理由は制御不能な自律性。AIエージェントが何を判断し、どんな情報を外部に送り、何を操作するかを完全に予測・管理する手段がありません。顧客情報の漏洩、意図しないシステム変更、コンプライアンス違反。どれも一発で会社が傾くリスクです。
それでも法人で試したい場合の最低条件
技術への探究心は企業の成長に不可欠で、全否定するつもりはありません。研究開発など限定的な目的で試みるなら、以下が最低条件になります。公道を走るF1マシンをテストコースで走らせるような、厳格な隔離と監視が前提です。
- 完全閉鎖環境での運用。インターネットから物理的に切り離したネットワークを構築し、LLMモデルやライブラリは事前にダウンロードしてオフラインで動かす。
- 厳格な権限管理と職務分掌。OpenClawがアクセスできるデータやAPIを実験目的に必要な最小限だけに絞り、管理者と監視者の役割を明確に分ける。
- 全動作の記録・監視。ファイルアクセス、ネットワーク通信、実行コマンドをすべてログに残し、異常を検知したら自動停止させる仕組みを入れる。
- 従業員への徹底したリスク教育。この記事に書いたようなリスクを叩き込み、セキュリティ手順の遵守を義務付ける。
ここまでやって、ようやく実験のスタートラインです。業務効率化のために気軽に入れるツールではないことは、経営者も情報システム部門も理解しておく必要があります。
まとめ
OpenClawは、AIとの関係性を根本から変えました。秘書に頼むように仕事を依頼するだけで自動化が進む世界。働き方を変える可能性を持った技術であることは間違いありません。
同時に、この記事で取り上げた事故は全て現実に起きたことです。30,000件の丸見えインスタンス、マルウェアだらけのスキルマーケット、目に見えない命令で盗まれる秘密鍵。夢のある技術の裏で、これだけの被害がもう出ている。
私としては、OpenClawを触ること自体は止めません。ただ、最低でもTier 1の対策は全部やってから起動してほしい。メインPCでは絶対に動かさない、ポートは塞ぐ、連携アカウントは使い捨てにする。この3つだけでも、被害に遭う確率はかなり下がります。
余談ですが、TIMEWELLでもAIエージェントの技術は注視しています。弊社のZEROCKはGraphRAG技術でエンタープライズ向けのAIナレッジ管理を実現していますが、AWS国内サーバーでの運用やエンタープライズレベルのセキュリティ基準対応など、安全性を前提にした設計を徹底しています。OpenClawのような自由度の高いツールとは真逆のアプローチですが、企業が安心してAIを活用するには、この方向性のほうが現実的だと考えています。
安全な探求を。
参考文献
- Yahoo!ニュース. (2026, February 1). 人気AIエージェントのClawdbot、「OpenClaw」に改名.
- Reddit. (2026, February). We scanned 18000 exposed OpenClaw instances and found 15...
- Trend Micro. (2026, February). What OpenClaw Reveals About the Risk of Agentic Assistants.
- Kaspersky. (2026, January). 512 Vulnerabilities, Including 8 Critical, Discovered in OpenClaw During Security Audit.
- BitSight. (2026, February). OpenClaw AI Security Risks: 140,000 Exposed Instances and Counting.
- Snyk. (2026, February). Snyk Finds Prompt Injection in 36%, 1467 Malicious Payloads in a Week in ClawHub.
- JBpress. (2026, February 5). 注目を集めるOpenClawとは何か?話すだけのAIから手足を持つAIへ.
- Gigazine. (2026, February 13). AIエージェントが自分のコードをリジェクトされた腹いせにメンテナーを中傷する記事を公開してしまう.
- Cybersecurity-Info.com. (2026, February 4). "人間は禁止" AIだけの新SNS「MoltBook」で情報流出か 約35,000件.
- AI Maker. (2026, February). OpenClaw Security Hardening Guide.
- CrowdStrike. (2026, February). What Security Teams Need to Know About OpenClaw, the AI Super-Agent.