OpenClaw徹底解説 ── セルフホスト型AIアシスタントの可能性とセキュリティリスク
「AIが自分の代わりにメッセージを返信してくれたら…」そんな願いを叶えるツールが、いま爆発的な人気を集めています。その名も「OpenClaw」。わずか2ヶ月でGitHub Stars 10万を突破し、週間200万人が訪れるほどの注目を浴びています。
しかし、その急成長の裏には商標問題、詐欺騒動、そして深刻なセキュリティ脆弱性の発覚と、波乱万丈なドラマがありました。
週末プロジェクトから始まった急成長
たった1時間で生まれた「Clawdbot」
OpenClawの原型は、2025年11月に生まれました。作ったのはPeter Steinberger氏。PDFリーダーアプリ「PSPDFKit」の創業者として知られる人物です。
「チャットアプリとClaude(Anthropic社のAI)を繋げたら面白いかも」という軽い気持ちで、週末にわずか1時間で開発。それが「Clawdbot」でした。
なぜここまで人気が出たのか?
OpenClawが支持される理由は、その「できること」の幅広さにあります。
- 50以上のメッセージアプリに対応: WhatsApp、Telegram、Slack、Discord、Signal、iMessageなど
- メールの自動管理: 受信トレイの整理、自動返信、購読解除
- カレンダー連携: スケジュール管理、リマインダー、フライトのチェックインまで
- ブラウザ操作の自動化: フォーム入力、データ収集
つまり「スマホやPCでやっている面倒な作業を、AIに任せられる」というわけです。しかも無料で使えるオープンソース。この手軽さが爆発的な普及を後押ししました。
3度の改名騒動
急成長の陰で、OpenClawはすでに2回も名前を変えています。
第1の改名: Clawdbot → Moltbot
2026年1月、Anthropic社(AIの「Claude」を開発する会社)から連絡が入ります。「Clawdbot」という名前が「Claude」に似すぎている、という商標上の懸念でした。
プロジェクトは急遽「Moltbot」に改名。しかし、ここで予想外の事件が起きます。
10秒間の隙を突いた詐欺師たち
改名を発表した直後、わずか10秒の間に、詐欺師たちが旧名「Clawdbot」のGitHubアカウントとX(旧Twitter)アカウントを乗っ取ってしまったのです。
さらに悪質だったのは、この混乱に乗じて「$CLAWD」という偽の暗号通貨トークンが登場したこと。なんと時価総額1,600万ドル(約24億円)にまで膨れ上がりました。開発チームはすぐに「公式とは無関係」と否定しましたが、すでに多くの人が被害を受けた後でした。
第2の改名: Moltbot → OpenClaw
その後、商標の徹底調査を経て、プロジェクトは現在の「OpenClaw」に落ち着きました。OpenAIからも使用許可を取得したとのこと。ようやく安定した名前を得られたようです。
セキュリティ問題が浮き彫りにしたリスク
2026年1月末、OpenClawに深刻な脆弱性が見つかりました。
1クリックで乗っ取られる?
発見されたのは「CVE-2026-25253」と呼ばれる脆弱性。わかりやすく言うと、悪意のあるリンクを1回クリックするだけで、自分のOpenClawを他人に乗っ取られるというものです。
攻撃者は乗っ取ったOpenClawを通じて、被害者のメール、カレンダー、ファイルなど、接続されているすべてのサービスにアクセスできてしまいます。
この脆弱性は2026年1月30日のアップデート(v2026.1.29)で修正されましたが、それ以前のバージョンを使っている人は今すぐアップデートが必要です。
「致命的な三重苦」問題
セキュリティ専門家のSimon Willison氏は、OpenClawのようなAIアシスタントが抱える構造的な問題を「Lethal Trifecta(致命的な三重苦)」と呼んでいます。
| リスク要因 | OpenClawでの該当例 |
|---|---|
| プライベートなデータへのアクセス | メール、カレンダー、ファイル |
| 信頼できない外部コンテンツへの接触 | 外部からのメール、Webページ |
| 外部への通信能力 | 自動でメッセージ送信、コマンド実行 |
この3つが揃うと、AIアシスタントは「便利なツール」から「攻撃の入口」に変わりうるというわけです。
Palo Alto NetworksやCiscoといった大手セキュリティ企業も、OpenClawを企業での利用には不適と評価しています。
Moltbook: AIエージェント専用SNSという新世界
OpenClawを語る上で外せないのが「Moltbook」です。
人間は見るだけ、投稿するのはAIだけ
2026年1月に登場したMoltbookは、AIエージェント専用のソーシャルネットワーク。Redditのようなフォーラム形式ですが、投稿やコメントができるのはAIエージェントだけ。人間は閲覧のみ可能という、前例のないサービスです。
キャッチフレーズは「The front page of the agent internet(エージェントインターネットのトップページ)」。
数週間で150万エージェント超え
ローンチからわずか数週間で、登録エージェント数は15万7,000から150万以上に急増。AIエージェント同士が情報交換し、交流するという、SF映画のような光景が現実になっています。
面白さの裏にあるリスク
ただし、Moltbookにもリスクがあります。OpenClawエージェントは4時間ごとにMoltbookを訪問し、他のエージェントの投稿を読み込みます。もし悪意のある投稿があれば、それを読んだエージェントの動作が書き換えられる可能性も指摘されています。
OpenClawは使うべき?使わないべき?
ここまで読むと「危なそう」という印象を持つかもしれません。では、OpenClawは使うべきではないのでしょうか?
✅ こんな人には向いている
- 個人のタスク自動化を試したい人: メッセージの自動返信、リマインダー設定など、日常の小さな自動化を試したい
- AIエージェントの可能性を体験したい人: 「AIが自分の代わりに動く」という未来を、自分の手で試してみたい
- セキュリティ対策ができる人: 最新バージョンを維持し、適切な設定ができる技術的な知識がある
❌ こんな人には向いていない
- 機密データを扱う環境: 仕事のメールや顧客情報など、漏洩が許されないデータがある
- セキュリティが最優先の場面: 金融情報や医療情報など、高いセキュリティが求められる
- 技術的な設定に自信がない人: アップデート管理や設定変更を自分でできない
まとめ
OpenClawは、「AIに日常のタスクを任せる」という夢を、誰でも無料で試せる形で実現しました。週末プロジェクトから始まり、2ヶ月で10万スターを獲得した急成長は、多くの人がこの夢を待ち望んでいた証拠でしょう。
一方で、3度の改名騒動、詐欺事件、深刻な脆弱性の発覚と、「急成長の代償」も明らかになりました。便利さとリスクは表裏一体。それがAIエージェント時代の現実です。
OpenClawの物語は、これからのAIアシスタントがたどる道の縮図かもしれません。便利さに飛びつく前に、リスクを理解すること。そして、自分に合った使い方を選ぶこと。それが、AIと賢く付き合う第一歩ではないでしょうか。
Comments