OpenClawは本当に安全か？GitHub35万スターのAIアシスタントが抱える光と影

GitHub 351,000スター。フォーク数71,000超。2025年11月の公開からわずか数ヶ月で、オープンソースAIプロジェクト史上最速クラスの成長を遂げたOpenClaw。WhatsApp、Telegram、Slack、iMessage、Discordなど50以上のメッセージングプラットフォームに接続し、完全ローカルで動作する「自分だけのAIアシスタント」として、開発者コミュニティを熱狂させている。

だが、この数字の裏側に目を向けたとき、見えてくる景色はかなり違う。

3回の改名が物語るもの

OpenClawの歴史は、そのまま「AIエコシステムの力学」の縮図だ。オーストリアの開発者Peter Steinbergerが最初にリリースしたとき、このプロジェクトの名前は「Clawdbot」だった。AIアシスタント「Claude」と明らかに響きが重なる。案の定、Anthropicから商標に関する苦情が入り、2026年1月27日に「Moltbot」へ改名。ところがこの名前は「舌になじまない」とSteinberger自身が感じ、わずか3日後の1月30日に現在の「OpenClaw」へと再改名された。

オープンソース史上最速のトリプルリブランドと揶揄されたこの騒動だが、本当に注目すべきはそこではない。改名の合間に起きた出来事のほうがはるかに示唆的だ。GitHubのユーザー名が旧名から新名に切り替わった約10秒の間に、暗号資産の詐欺師が旧ユーザー名を奪取。偽トークンは一時1,600万ドルの時価総額に達した後、暴落した。オープンソースの爆発的人気が、同時に攻撃対象としての価値も生み出す。OpenClawはその構造を早い段階で露呈させたプロジェクトだと思う。

「何でもできる」の実力

まず正当に評価すべき点から。OpenClawは技術的に見て、かなり野心的なプロジェクトだ。

TypeScriptで書かれたコードベースは43万行を超え、200以上のLLMモデルに対応する。Claude、GPT、DeepSeekといったクラウドモデルはもちろん、Ollamaを使ったローカル推論にも対応しており、APIコストをゼロにすることも可能。メッセージングプラットフォームをUIとして使い、スケジュール管理、通知送信、シェルコマンド実行、ブラウザ操作、ファイル管理まで、エージェントとしての基本機能は一通り揃っている。

2026年4月時点の最新リリース（v2026.3.7-beta.1）では、ContextEngineプラグインインターフェースが導入され、コンテキスト管理がプラグアンドプレイ化された。メモリシステムもファーストクラスのインフラストラクチャとして再設計され、長期記憶の取り込み、昇格ロジック、運用者向けの制御が強化されている。Task Flowオーケストレーションも復活し、バックグラウンドでの処理フローが可視化・操作可能になった。

個人の生産性ツールとして見たとき、この機能セットは率直に言って魅力的だ。特にローカル推論との組み合わせは、データを外部に出したくないユーザーにとって強力な選択肢になりうる。

セキュリティの現実

しかし筆者がOpenClawについて最も強調したいのは、このプロジェクトが抱えるセキュリティ上の課題の深刻さだ。

2026年2月、SecurityScorecardは40,214件のインターネット上に露出したOpenClawインスタンスを観測し、そのうち35.4%が脆弱な状態にあると報告した。Palo Alto Networksのセキュリティ研究者は、OpenClawを「セキュリティ上の悪夢」と表現している。43万行のコードは、そのまま43万行の攻撃対象面でもある。

具体的な脆弱性を見ていこう。

CVE-2026-32922はCVSSスコア9.9の特権昇格脆弱性で、2026年のクラウドネイティブ領域で最も深刻な脆弱性の一つとされる。CVE-2026-25253（CVSS 8.8）はリモートコード実行を可能にするもので、OpenClawがクエリ文字列からゲートウェイURLを受け取り、保存済みトークンを送信してしまう設計上の欠陥に起因する。ブラウザ経由のワンクリックで攻撃が成立する。

さらに深刻なのが、サプライチェーン攻撃だ。OpenClawのスキルマーケットプレイス「ClawHub」では、1週間以上のGitHubアカウントさえあれば誰でもスキルを公開できる。事前のコードレビューはほとんど行われない。この仕組みを悪用した「ClawHavoc」と呼ばれる攻撃キャンペーンでは、1,184件以上の悪意あるスキルがClawHubに植え付けられた。仮想通貨ウォレット自動化ツールを装ったスキルが、実際にはブラウザの認証情報、キーチェーン、SSH鍵、暗号資産ウォレットを窃取し、攻撃者のインフラに送信していた。macOSではAtomic macOS Stealerのペイロードが確認されている。

OpenClawはlocalhostからの接続をデフォルトで信頼する設計だった。リバースプロキシの設定を誤ると、外部からの全リクエストが127.0.0.1に転送され、エージェントが「インターネット全体をローカルユーザー」として扱ってしまう。「ローカル動作だから安全」という前提そのものが、設定一つで崩壊しうる。

Anthropicとの関係悪化

OpenClawをめぐるもう一つの重要な動きが、Anthropicによるサブスクリプション利用の遮断だ。

2026年4月4日、AnthropicはClaude ProおよびMaxの定額プランから、OpenClawを含むサードパーティAIエージェントフレームワーク経由の利用を遮断した。OpenClawインスタンスを1日自律稼働させると、1,000〜5,000ドル相当のAPI呼び出しが発生しうる。月額200ドルのMaxプランでこれを無制限に使えてしまう状況は、Anthropicにとって持続可能ではなかったのだろう。

結果として、ユーザーは従量課金に移行するか、別のモデルプロバイダーに切り替えるかの選択を迫られている。OpenClawの開発者Steinberger——2026年2月にOpenAIに移籍している——は、この決定を「オープンソース開発者への裏切り」と呼んだ。だが筆者の見方は少し異なる。月額200ドルで数千ドル分のコンピュートを消費する使い方を「想定された利用」と呼ぶのは無理がある。

ただし、この遮断がOpenClawエコシステム全体に与える影響は小さくない。Claudeとの組み合わせがOpenClawの主要ユースケースの一つだったことを考えると、ユーザー離れが加速する可能性はある。

誰のためのツールなのか

OpenClawの立ち位置を整理しておきたい。

競合と比較すると、NanoClawは4,000行のPythonで同等の基本機能を実現しており、「数時間でコードベース全体を読める」明快さが売りだ。memUはローカル知識グラフを構築し、ユーザーの習慣を学習するアプローチを取る。いずれもOpenClawの43万行に対して、意図的にスコープを絞ることで複雑性を回避している。

OpenClawが向いているのは、自前のインフラを管理でき、セキュリティリスクを理解した上で運用できる開発者だ。50以上のプラットフォーム統合、200以上のモデル対応、柔軟なスキルシステムは、使いこなせれば強力な武器になる。MIT Licenseで完全に自由に使えるのも大きい。

一方で、Platformerのレビューが指摘するように、その複雑性とセキュリティリスクは「カジュアルなユーザーには向かない」。ClawHubのスキルを無防備にインストールし、デフォルト設定のまま運用するなら、「便利なAIアシスタント」ではなく「攻撃者への入り口」になりかねない。

筆者の所感

正直に言えば、OpenClawに対する筆者の評価は割れている。

技術的な完成度と機能の幅は、オープンソースのAIアシスタントとして群を抜いている。ローカル推論対応、マルチプラットフォーム統合、エージェント的な自律動作。「AIアシスタントの理想形」に最も近い場所にいるプロジェクトだと思う。

しかし35万スターという数字は、そのまま35万人の潜在的な攻撃対象を意味する。1,184件の悪意あるスキル、CVSS 9.9の脆弱性、4万件の露出インスタンス。これらはOpenClawが「使えるかどうか」ではなく「安全に使えるかどうか」で評価されるべきフェーズに入っていることを示している。

OpenClawを使うなら、ClawHubのスキルは信頼できるもののみインストールする、ネットワーク設定を慎重に確認する、最新のセキュリティパッチを常に適用する、という最低限の対策は必須だ。「ローカルだから安全」という思考停止は、最も危険な誤解だろう。

このツールは間違いなく注目に値する。ただし、その注目は「すごい」だけでなく「怖い」も含めて、両目を開けたまま向けるべきだと筆者は考える。

参考リンク