OpenClawは、オーストリアの開発者Peter Steinberger氏が2025年11月に公開したオープンソースの自律型AIエージェントフレームワークです。当初「Clawdbot」という名前でしたが、Anthropic社からの商標指摘を経て現在の名称に落ち着きました。最大の特徴は、LLMをローカルマシンやメッセージングアプリと直接接続し、自然言語の指示だけでファイル操作、ブラウザ操作、シェルコマンド実行などを24時間自動化できることです。
2026年1月末にバイラル化し、数日でGitHubスターが9,000から60,000に急増。3月時点で247,000スター、47,700フォークを記録し、GitHub史上最速級の成長を遂げました。2月にSteinberger氏はOpenAIへの参加を発表し、プロジェクトはOSS財団へ移管される予定です。
OpenClawは、いわば「24時間働くAIの同僚」です。従来のチャットボットが「聞かれたことに答える」だけだったのに対し、OpenClawは自分でシステムにログインし、データを読み取り、判断し、操作を実行してくれます。人間の同僚に「これやっといて」と頼むのと同じ感覚で、SlackやLINEからメッセージを送るだけです。
図1: OpenClawの「AI同僚」コンセプト — 人間はメッセージで指示するだけ
私たちは現在、この「AI同僚」を物流TMS・販売管理・在庫管理などのエンタープライズ業務に特化させる開発を進めています。以下のデモでは、TMSにおける「荷主からの急な納品条件変更」への自動対応を体験できます。
中国では月額約250円で5人分の業務を削減したEC企業や、24時間でウェブサイトを構築した事例も報告されており、テンセントやアリババも自社LLMでのOpenClaw活用ガイドを公開するなど、OpenClawのエコシステムは急速に拡大しています。
ただし、こうした強力な自動化能力は、そのまま「リスクの大きさ」でもあります。Shell、ファイルシステム、ネットワークにフルアクセスできるAI同僚が暴走したり、乗っ取られたりした場合の被害は甚大です。次のセクションでその実態を見ていきましょう。
OpenClawの中核は、長時間稼働するNode.jsプロセスです。アーキテクチャはハブ&スポーク型で、以下の4層に分かれています。
図2: OpenClawの4層アーキテクチャ
ユーザーからの入力を正規化する層です。たとえばWhatsAppの音声メモをテキストに変換するなど、各プラットフォーム固有の形式をOpenClaw内部の統一フォーマットに変換します。WhatsApp、Telegram、Discord、Slack、Signal、Web UI、CLIなどに対応しています。
OpenClawの制御プレーンにあたる層で、デフォルトではPort 18789で常時稼働します。セッション管理、チャネルルーティング、ツールディスパッチなどを担当し、受信メッセージを適切なエージェントに振り分けます。
AIのループを実行する層です。システムプロンプトはIDENTITY.md(人格定義)、SOUL.md(トーン)、TOOLS.md(ツールスキーマ)から動的に組み立てられます。ここに現在のメッセージに関連するSkillsだけが選択的に注入され、過去の会話メモリもセマンティック検索で付加されます。全Skillを毎回注入するのではなく、関連性の高いものだけを選ぶことでプロンプトの肥大化を防いでいるのがポイントです。
Agent Runtimeが決定したアクションを実際に実行する層です。シェルコマンド、ファイル操作、ブラウザ自動化、スケジュールジョブなど、100以上のプリビルトスキルが用意されています。
OpenClawの拡張性の核となる仕組みです。各SkillはSKILL.mdというMarkdownファイルを含むディレクトリとして定義され、メタデータ(名前、説明、タグ)とLLMへの指示が記述されています。読み込み優先順位は「ワークスペース > グローバル > バンドル」の順で、起動時にインデックスが構築されます。ユーザーメッセージが来ると説明文との照合が行われ、関連するSkillの指示だけがプロンプトに注入されます。
MCPは、AIモデルにツールを公開するためのオープン標準プロトコルです。OpenClawの組み込み機能(ファイルアクセス、ブラウザ操作、シェルコマンド)はすべてMCPサーバーとして実装されており、外部MCPサーバーへの接続でDBやクラウドサービスとの統合も追加できます。Claude Desktopなど他のMCP互換システムとの相互運用も可能ですが、MCPサーバー自体の安全性検証が重要なセキュリティ課題になります(後述)。
OpenClawの立ち位置は、従来のRPAやClaude Codeなどのエージェントフレームワークと比較するとわかりやすくなります。RPAはGUI操作の手順を事前に記録・再生する決定論的ツールです。Claude CodeはAnthropicが提供するAIコーディングエージェントで、ターミナルやIDEから自然言語で指示でき、ファイル編集・シェル実行・Web検索などを実行できますが、操作ごとにユーザーの承認を挟む安全設計が特徴です。OpenClawはこれらと異なり、LLMがメッセージングアプリ経由で24時間常駐し、ユーザーの承認なしに自律的に操作を続けます。モデル非依存(Claude、GPT、DeepSeek、ローカルモデルなど自由に選択可能)で、MCP・Skills Systemによる後付け拡張もできる反面、安全制御の設計が利用者に委ねられている点が大きなリスクです。
図3: RPA・エージェントフレームワーク・OpenClawの比較
デフォルト設定のまま無防備に導入するのは極めて危険です。OpenClawに関連するリスクは大きく4つあります。実際に起きた事例とあわせて見ていきましょう。
最も身近で、最も被害が出やすいリスクです。OpenClawはLLMが自律的に行動を判断するため、指示と異なる操作を行ってしまうことがあります。
この事件が示しているのは、LLMベースのエージェントは「コンテキストウィンドウが圧縮されたタイミングで安全制約を忘れる」という構造的な弱点を持っているということです。テスト環境では問題なくても、本番環境のデータ量で初めて発現するため、事前に検知するのが非常に難しいリスクです。
OpenClawはローカルのファイルシステムとシェルにフルアクセスできるため、データが意図せず外部に流出するリスクがあります。
Ciscoのセキュリティ研究チームの検証では、悪意あるSkillがcurlコマンドを使ってユーザーのローカルデータ(ファイル内容、環境変数、APIキーなど)をSkill作成者の外部サーバーに無断送信していたことが確認されました。この通信はユーザーに一切通知されず、ログにも残りにくい形で実行されます。
OpenClawのSkillsはSKILL.mdの指示文がLLMのシステムプロンプトに直接注入される仕組みのため、攻撃者がここに悪意ある指示を埋め込むとLLMの安全ガイドラインを上書きできてしまいます。LLMは「Skillの指示に従っているだけ」と判断するため、通常のセーフティフィルタでは検知できません。
図4: 悪意あるSkillを通じた攻撃フローとサプライチェーン汚染の規模
公式SkillレジストリであるClawHubのスキャンでは、初回で341件(約12%)、追加スキャンで800件超(約20%)の悪意あるSkillが発見されました。その中にはmacOS向けの情報窃取マルウェア(Atomic Stealer)を配布するものも含まれていました。Skillリポジトリに審査メカニズムが欠如していたことが根本原因です。
こうしたリスクを受けて、中国政府は2026年3月に国有銀行や政府機関でのOpenClaw利用を制限しました。オフィスPCだけでなく、社内ネットワーク利用時の個人スマホへのインストールも禁止されています。グローバルでは23万以上のインスタンスがパブリックネットワーク上に露出しており、OpenClawを経由したランサムウェア感染や暗号通貨ウォレット窃取などの実害も報告されています。
リスクは深刻ですが、OpenClawの自動化能力を完全に放棄するのも現実的ではありません。ここからは、エンタープライズ環境で安全に活用するための具体策を紹介します。
OpenClawエージェントがホスト環境に直接アクセスできる状態は、前述のデータリークや予想外の動作の温床です。最も基本的かつ効果的な対策は、エージェントの実行環境をサンドボックス化することです。
Dockerによる最小権限コンテナ:OpenClaw公式ドキュメントでも推奨されている方法です。具体的には以下のフラグを組み合わせます。
docker run --user 65534:65534 \ # 非rootユーザーで実行
--read-only \ # ルートFSを読み取り専用に
--cap-drop=ALL \ # Linuxケーパビリティを全削除
--security-opt no-new-privileges \ # 特権昇格を防止
-v /workspace:/app/work:rw \ # 必要なディレクトリのみマウント
openclaw-sandbox
ポイントは非rootユーザー(UID 65534)での実行、読み取り専用ルートFS、ケーパビリティの全削除の3点です。これにより、仮にエージェントが悪意あるSkillを実行しても、ホスト側への影響を大幅に抑えられます。
gVisor(ユーザー空間カーネル):Googleが開発したコンテナランタイムで、アプリケーションのシステムコールをユーザー空間で傍受・処理します。通常のコンテナはホストカーネルを直接共有しますが、gVisorは独自のカーネル(Sentry)がサンドボックス内のシステムコールを仲介するため、カーネル脆弱性を突いた脱出攻撃を防ぎます。Docker上で--runtime=runscフラグを付けるだけで利用可能です。
Firecracker MicroVM:AWSがLambda/Fargate用に開発したRust製の軽量仮想マシンモニターです。KVMベースのハードウェアレベル隔離を提供しつつ、起動時間はわずか125ミリ秒。コンテナの手軽さとVMのセキュリティを両立できるため、高セキュリティ環境でのOpenClaw実行に適しています。
ネットワーク隔離:コンテナを--network=hostで動かすのは厳禁です。Dockerカスタムブリッジネットワークを作成し、外部通信は明示的な許可リスト(ホワイトリスト)で制御します。これにより、エージェントが意図しない外部サーバーへデータを送出するリスクを防ぎます。
ClawHubの約20%が悪意あるSkillだった事実を踏まえると、Skillの審査体制は最重要課題の一つです。
ClawVet:Skillの安全性を6つの独立したパスで分析するツールです。検査対象は①プロンプトインジェクション(システムプロンプトの改竄を狙う記述)、②クレデンシャル窃取(API Key・トークンの抜き出し)、③リモートコード実行(任意コマンドの実行パス)、④タイポスクワッティング(人気Skillの名前を模した偽パッケージ)、⑤ソーシャルエンジニアリング(ユーザーを騙す表現)、⑥データ流出の6項目。各パスが独立しているため、一つのパスでの見逃しを別のパスで捕捉できる多層構造になっています。
OpenClawd Verified Screening:OpenClaw公式が提供する自動スクリーニング機構で、静的解析とサンドボックス内での動作テストを組み合わせます。デフォルトで外部通信によるデータ送出、プロンプトインジェクション、クレデンシャル参照をブロックします。Semgrepルールセットとの併用で、SKILL.mdに埋め込まれた難読化コードや隠しコマンドも検出可能です。
運用面では、社内承認済みSkillのみ利用可能なホワイトリスト方式を導入し、Skillのインストール権限は管理者に限定します。新規Skillは必ずClawVetによる事前スキャンを通過させ、定期的な監査で不要Skillの削除を行うことが推奨されます。
エージェントに使用するLLM自体の振る舞いをどう制御するかも、エンタープライズ運用では極めて重要です。
Human-in-the-Loop(人間の承認ループ):ファイル削除・メール送信・外部API呼び出しなどの高リスク操作には、必ずユーザーの明示的な承認を挟みます。LangChainなどのフレームワークには、ツール呼び出しの前に自動で人間の確認を要求するミドルウェアが組み込まれています。前述のMeta社のメール大量削除事件も、この仕組みがあれば未然に防げたケースです。
ニューロシンボリック・アプローチ:ニューラルネットワーク(LLM)と決定論的なシンボリックルールを組み合わせる手法です。LLMが柔軟にタスクを理解・分解する一方、「機密ファイルの削除は不可」「社外ドメインへのメール転送は禁止」といったポリシーは、LLMの判断に依存しない確定的ルールとして実装します。LLMの出力が不安定でも、ハードルールが最後の防壁として機能します。
Policy-as-Prompt:セキュリティポリシーをシステムプロンプトに直接埋め込む手法です。ただし、前述のContext Window Compaction問題で安全指示が圧縮・消失するリスクがあるため、単独では不十分です。プロンプトに加えて、ツール呼び出し層でのポリシー適用(ツールに対するロールベースの権限設定)を併用することで、プロンプト消失時のフォールバックを確保します。
入力→プロンプト→ツール呼び出し→出力の各段階にゲートを設置する多層ガードレール設計が、現時点でのベストプラクティスです。単一レイヤーでの防御は必ず突破されるという前提で設計してください。
CiscoがRSAC 2026で発表したDefenseClawは、Skills Scanner・MCP Scanner・AI BoM・CodeGuardの4ツールを統合するOSSフレームワークです。2026年3月よりGitHubで公開されており、上述のSkill審査やコード安全性チェックをまとめて実行できます。導入のハードルも低いため、まず試す価値のあるツールです。
図5: エンタープライズ向けOpenClaw段階的導入フロー
一気に全社展開するのではなく、隔離環境でのPoC→パイロット→制限付き展開→本番と段階的に進めます。各フェーズで明確なセキュリティ基準を定め、それを満たさない限り次のフェーズに進まないゲート管理が鍵です。
OpenClawは、LLMとローカルシステムの直接接続によって強力な自動化を実現するフレームワークです。一方で、Meta安全責任者のメール大量削除事件に代表される予想外の動作、サプライチェーン汚染(Skillレジストリの約20%が悪意あり)、データリークなど、リスクも深刻です。
問うべきは「OpenClawを使うかどうか」ではなく「どう安全に使うか」です。コンテナ隔離、Skill審査、Human-in-the-Loop、ニューロシンボリックなどによる多層ガードレール、そして段階的な導入プロセスを組み合わせることで、リスクをコントロールしながらその恩恵を享受できます。85%の企業がAIエージェントを実験中ながら本番投入はわずか5%という現状は、セキュリティが最大のボトルネックであることを示しています。本記事で紹介したアプローチが、貴社のAIエージェント活用の一助となれば幸いです。
Black AIについて
私たちBlack AIは、LLMエージェント技術を中核に据え、エンタープライズ業務の自動化に取り組んでいます。本記事のデモでご紹介したAI PC Workerは、従来のRPAでは対応しきれなかった「自然言語による曖昧な指示」や「複数システムをまたぐ動的な判断」を、LLMの文脈理解によって実現するプロダクトです。物流TMS・販売管理・在庫管理など、エンタープライズ業務への特化開発を進めています。
AIエージェントの導入やPoCにご興味がありましたら、お気軽にご相談ください。