AIはもう、「質問に答えるだけ」のツールではありません。 あなたの代わりにメールを送り、カレンダーを管理し、深夜でも自律的にサーバーを監視する——そんな「デジタル従業員」が、現実のものになりつつあります。
その中心にいるのが、オープンソースのAIエージェント・フレームワーク「OpenClaw」です。 2026年2月末時点でGitHubスター数33万超という、オープンソース史上でも類を見ないスピードで普及しています。
ただ、強力な自律性には、それに見合ったリスクも伴います。 「致命的三重脅威(Lethal Trifecta)」と呼ばれるセキュリティ上の構造的な欠陥、そして1,000件以上の悪意あるスキルが一斉公開された「ClawHavoc事件」——これらは、エージェントを導入するすべての人が知っておくべき話です。
この記事では、OpenClawの技術的な仕組みから、実際の活用シナリオ、セキュリティ上の注意点、そしてOpenAIやNvidiaが注目する戦略的な背景まで、幅広く整理しています。
ぜひ最後までご覧ください。
OpenClawとは何か
「ソブリン・エージェント」という新しい概念
OpenClawは、ユーザー自身のPC・プライベートサーバー上で動作する「ローカルファースト」のAIエージェントです。
ChatGPTやClaudeといったブラウザ型AIが、プロバイダーのサーバー上で完結する「中央集権型」であるのに対し、OpenClawはあなたのマシン上に常駐し、ファイルシステムへのアクセス、シェルコマンドの実行、各種メッセージングアプリとの直接連携を行います。
こうした、自律的な実行能力とデータ主権を持つエージェントを「ソブリン・エージェント(主権的エージェント)」と呼びます。 AIが「対話ツール」から「実務を遂行するデジタル従業員」へと変わる——そのパラダイムシフトを体現したのがOpenClawです。
従来のAIチャットとの機能比較
| 機能 | 従来のAIチャット(ChatGPT等) | OpenClaw |
|---|---|---|
| 実行場所 | クラウド(プロバイダーのサーバー) | ローカルファースト(自身のPC/サーバー) |
| データ管理 | プロバイダーに送信・蓄積 | 自身の環境内で完結 |
| 拡張性 | 限定的なプラグイン | 3,286以上のスキルで無限に拡張 |
| 対応インターフェース | Webブラウザ・専用アプリ | WhatsApp、Telegram、Slack等20以上に対応 |
| 自律性 | 質問に対する1往復の回答 | Cron/Heartbeatによる自動・定時実行 |
| LLMの柔軟性 | 単一プロバイダーに固定 | Claude/GPT/Gemini/Ollamaを切り替え可能 |
OpenClawが生まれるまで——ClawdbotからOpenClawへ
OpenClawは、短期間で3度の名称変更を経ています。
| フェーズ | 名称 | 特徴 |
|---|---|---|
| 初期 | Clawdbot | AnthropicのClaudeと連携したDiscordボット。商標問題が発生 |
| 中間期 | Moltbot | 2026年1月に改称。単一ボットからマルチエージェントへの進化を象徴 |
| 現在 | OpenClaw | オープンソース性とエージェントの実世界への干渉を強調したブランド |
創設者はPeter Steinberger氏。 ドキュメントソフトウェア企業Nutrientを13年間率いた経験を持ち、「母でも使えるエージェントを構築する」というビジョンのもとにOpenClawを立ち上げました。 現在はプロジェクトの独立性を維持するため、「OpenClaw Foundation(財団)」へと移行しています。
OpenClawの技術アーキテクチャ
ゲートウェイ・デーモンが起点となるシングルコントロールプレーン
OpenClawの中核は、常駐プロセスである「ゲートウェイ(Gateway)」デーモンです。 Node.js 22以降で動作し、すべての通信とエージェントの推論を統括します。
主な役割は3つ。
- WhatsApp(Baileys)、Telegram(grammY)、Slack、Discordなど、複数のメッセージングアプリの接続を維持し、受信データを共通フォーマットに正規化する
- デフォルトでポート18789のWebSocket APIを提供し、CLI・macOSアプリ・Web管理画面からの接続を受け付ける
- 30分間隔(デフォルト)の「Heartbeat」により、ユーザーの入力がなくてもエージェントが自律的に判断・実行する
システムを構成する4つのコンポーネント
| コンポーネント | 役割 |
|---|---|
| Gateway(Daemon) | 通信のハブ。メッセージングプラットフォームとの接続を独占管理 |
| Clients(CLI/UI) | WebSocketを介してゲートウェイに命令を送る制御インターフェース |
| Nodes | カメラ・位置情報・スクリーン記録など、デバイス固有の機能を提供 |
| WebChat | ゲートウェイが提供するブラウザベースのチャットUI |
通信プロトコルはTypeBoxで定義されたJSON Schemaに基づき、厳密に型定義されています。 WebSocket接続時にはハンドシェイクとデバイスIDによるペアリング承認が必須で、ローカルネットワーク内の信頼性を担保する構造になっています。
メモリ・システム——なぜOpenClawは「忘れない」のか
永続的メモリをローカルで管理する仕組み
多くのAIツールはセッションが終わると記憶をリセットします。 OpenClawは違います。 外部のデータベースサービスに依存せず、ローカルのMarkdownファイルとSQLiteで情報を管理するため、データがどこに保存されているかをユーザーが完全に把握できます。
メモリの4層構造
| ファイル | 役割 |
|---|---|
| SOUL.md | エージェントの性格・トーン・アイデンティティを定義する根本設定 |
| USER.md | ユーザーの氏名・好み・専門知識レベルなど、パーソナライズ情報を格納 |
| MEMORY.md | 長期保持すべき事実・決定事項・好みを記述。メインセッションでのみ読み込む |
| 日次ログ(memory/YYYY-MM-DD.md) | その日の活動記録を追記形式(Append-only)で保存 |
コンテキスト圧縮(Compaction)とAutomatic Memory Flush
LLMにはコンテキスト・ウィンドウの上限があります。 会話が長くなると古い情報が押し出されてしまうのは、AIを使っていてよく感じる課題ですね。
OpenClawはトークン使用量が一定のしきい値を超えると、自動的に現在の内容を要約し、重要な洞察をMEMORY.mdに書き出してからバッファをクリアします。 この仕組みを「Automatic Memory Flush」と呼び、データの損失を防ぎながら長期記憶を維持します。
ハイブリッド検索——「曖昧な問い」に答えられる理由
メモリの検索には、2種類の手法を組み合わせた「ハイブリッド検索」を採用しています。
| 手法 | 特徴 |
|---|---|
| セマンティック検索(sqlite-vec) | 意味的な近さで関連情報を引き出す |
| キーワード検索(BM25) | 正確なトークン一致を確認する |
「先週決めた予算案について教えて」のような曖昧な指示にも、正確な情報を返せる理由がここにあります。
スキル・エコシステム——ClawHubと3,286以上の拡張機能
ClawHub:公開スキル・レジストリ
OpenClawの真価は、コミュニティが開発する「スキル」にあります。 公式スキル・レジストリの「ClawHub」には、2026年2月末時点で3,286以上のスキルが登録されています。
| カテゴリ | 代表的なスキル | 概要 |
|---|---|---|
| 生産性 | gog(Google Workspace) | Gmail・Calendar・Driveの統合操作 |
| 開発ツール | Github CLI、Docker-essentials | ターミナルを介したインフラ・コード管理 |
| 情報収集 | Tavily Web Search、Summarize | Webブラウジングと多言語文書の要約 |
| OS/macOS連携 | Apple Shortcuts、iMessage | macOS独自のショートカット・メッセージ送信 |
| コミュニケーション | Slack、Discord、Signal | 各種チャットアプリへのメッセージ配信・抽出 |
スキルの3つの実装形態
スキルの実装には3つの方法があります。
| 形態 | 特徴 |
|---|---|
| Skills(SKILL.md) | Markdownに自然言語の指示を記述。最も一般的で実装が容易 |
| MCP(Model Context Protocol) | Claude Code等でも採用される標準プロトコル。複雑な状態管理や外部API連携に使用 |
| Hooks | エージェントのライフサイクルに連動して自動発火するイベントハンドラー |
インストール方法もシンプルです。 チャット画面にGitHubリポジトリのURLを貼り付けるだけで、エージェントが環境をセットアップし即座に使えるようになります。
自動化とプロアクティブ機能——CronとHeartbeatの使い分け
Cron Job:定時実行の自動化
OpenClawは標準的なCron構文に加え、自然言語でのスケジュール設定にも対応しています。
| スケジュール指定 | 実行内容の例 | ユースケース |
|---|---|---|
0 9 * * * | 毎朝9時にサーバーの健康状態をチェックし、異常があれば報告 | インフラ監視・日報作成 |
every 2h | 2時間おきに最新のAIニュースを5件要約してSlackへ投稿 | 情報収集・キュレーション |
at 18:00 | 夕方6時に明日のカレンダーを確認してリマインド | スケジュール管理 |
実行結果は指定した通信チャンネル(Telegram等)へプッシュ通知されます。 端末を触らなくても必要な情報を「受け取るだけ」の運用が実現します。
Heartbeat:エージェント自律思考の起点
CronがO「時間」を起点とするのに対し、Heartbeatは「エージェント自身の判断」を起点とします。 一定間隔でエージェントが「今、自分がやるべきことはないか?」と自己診断を行い、未回答の質問へのフォローアップや、会話の中で言及されたタスクの期限チェックなどを自律的に処理します。
CronとHeartbeatの二重構造によって、OpenClawは24時間稼働するデジタル従業員としての実用性を手に入れています。
Google Workspace連携——gogcliによる業務自動化
gogcliが操作できる6つのGoogleサービス
ビジネス利用において特に強力なスキルが「gogcli(コマンド名:gog)」です。 Peter Steinberger氏が開発したオープンソースのCLIツールで、以下のサービスを一括操作できます。
- Gmail(検索・既読化・送信)
- Google Calendar(作成・一覧・変更)
- Google Drive / Docs / Sheets(アップロード・閲覧・データ編集)
- Contacts / Tasks(連絡先管理・タスク更新)
「SarahにQ3のレポートを送り、木曜午後2時にフォローアップ会議を設定して」——この一文だけで、複数アプリを横断するワークフローが完了します。
導入の4ステップ
| ステップ | 作業内容 |
|---|---|
| 1 | Google Cloud ConsoleでOAuth認証情報(JSON)をデスクトップアプリとして作成 |
| 2 | brew install steipete/tap/gogcli でバイナリを導入 |
| 3 | gog auth add user@gmail.com --services drive,calendar,docs でブラウザ認可 |
| 4 | clawdhub install luccast/gogcli でエージェントにスキルを追加 |
注意点:新規Gmailアカウントは使わない
認証にはOAuth 2.0を使用し、トークンはmacOSのKeychainに安全に保存されます。 ただし、新規作成したGmailアカウントをすぐにCLIで使用するのは避けましょう。 Googleの自動スパム検知システムにより、ボットと判定されてアカウントが停止されるリスクがあります。 長期間使用している「人間らしい」履歴のあるアカウントと、Desktop OAuthクライアントIDの使用が推奨されています。
デプロイメント——Mac miniで作る24時間稼働サーバー
なぜMac miniが選ばれるのか
OpenClawを最大限に活用するには、24時間安定稼働するサーバー環境が必要です。 Apple Siliconを搭載したMac miniは、その用途に最適なハードウェアとして注目されています。
理由は3つ。
- M2/M4チップの低電力設計により、24時間稼働でも電気代の負担が少ない
- Node.jsのシングルスレッド実行性能が高く、ゲートウェイ・デーモンの応答が速い
- 統合メモリ(Unified Memory)により、Ollamaを介した7B〜70BクラスのLLMをローカルで高速実行できる
用途別の推奨構成
| モデル | メモリ | 推奨用途 |
|---|---|---|
| Mac mini M2 | 8 GB | クラウドLLM(Claude等)をメインに使用する基本的な運用 |
| Mac mini M4 | 16〜32 GB | ローカルLLM(13B〜34Bクラス)の併用、ブラウザ自動化の頻用 |
| Mac mini M4 Pro | 48 GB以上 | 70Bクラスの高性能ローカルモデルを完全オフラインで運用 |
ヘッドレス運用のための3つの設定
モニターなしでMac miniをサーバーとして運用する際は、以下の設定が必要です。
| 設定項目 | 内容 |
|---|---|
| HDMIダミープラグの導入 | 約8ドルのダミープラグで高解像度の仮想ディスプレイとして認識させ、GUI操作を安定させる |
| スリープ無効化 | sudo pmset -a sleep 0 displaysleep 0 disksleep 0 で完全にスリープを無効化 |
| 自動ログイン設定 | 電源喪失後の再起動に備え、Users & Groupsで自動ログインを設定 |
外出先からのアクセスには「Tailscale」の導入が推奨されています。 VPNなしで自宅のMac miniに安全に接続でき、OpenClawのコントロールパネルを外部に安全に公開できます。
セキュリティの核心——致命的三重脅威とClawHavoc事件
致命的三重脅威(Lethal Trifecta)とは
セキュリティ研究者のSimon Willison氏は、AIエージェントが持つ構造的なリスクを「致命的三重脅威(Lethal Trifecta)」と定義しています。 以下の3要素が同時に揃ったとき、データ流出はほぼ不可避になります。
| 要素 | OpenClawにおける具体例 |
|---|---|
| 機密データへのアクセス | ファイルシステム・メール・パスワードマネージャーの閲覧権限 |
| 信頼できない入力への露出 | Webサイト閲覧、外部からのメッセージ、サードパーティ製スキルの読み込み |
| 外部通信能力 | HTTPリクエスト送信、SNS投稿、メール送信など情報を外部へ持ち出す手段 |
永続性がもたらす「第4の脅威」
OpenClawにはさらに、「永続性(Persistence)」という悪化要因が加わります。
従来のチャットボットへのプロンプト・インジェクションは、その場限りのものでした。 しかしOpenClawは記憶を持つため、「時間差攻撃」が現実的になります。
攻撃者がエージェントのメモリに「特定の条件を満たしたらAPIキーを外部へ送信せよ」という指示を書き込めれば、その攻撃は数週間後に発動する「ロジック爆弾」になりえます。
ClawHavoc事件——スキル・サプライチェーン攻撃の実例
2026年2月1日、ClawHubで大規模な「スキル汚染」が発見されました。 これが「ClawHavoc」事件です。
| 項目 | 内容 |
|---|---|
| 攻撃手法 | 攻撃者が「smart-email-assistant」等の正当に見えるスキルを1,184個アップロード |
| 誘導手法 | SKILL.mdに「依存関係の修復のためこのコマンドを実行して」と虚偽の指示を記載(ClickFixテクニック) |
| 被害内容 | ブラウザのパスワード・暗号通貨ウォレットの窃取(AMOS)、バックドア設置、APIキー流出 |
防御策の3本柱
事件を受けてOpenClawコミュニティは、以下の対策を強化しています。
| 対策 | 概要 |
|---|---|
| Dockerサンドボックス | ツール実行をコンテナ内に限定し、ホストOSへのアクセスを遮断 |
| Exec Approval(実行承認) | シェルコマンド実行時にスマートフォンへ通知を送り、手動承認を必須とする |
| Skill Vetter | インストール前にスキルのソースコードをスキャンし、不審な挙動を検出 |
戦略的展望——OpenAI、Nvidia、そしてエージェントの標準化
OpenAIがPeter Steinbergerを採用した理由
2026年2月、OpenAIはOpenClawの創設者であるPeter Steinberger氏を採用しました。
これは単なる人材獲得以上の意味を持ちます。 OpenAIはこれまで「モデルの賢さ」で競ってきましたが、今後の焦点は「モデルをいかに実社会で動かすか(オーケストレーション)」というレイヤーに移っています。
数千人の開発者が予測不可能な環境でエージェントを動かした際の失敗データ——OpenClawが積み上げたこの運用知見は、自社開発だけでは数年かかる貴重な資産です。
Nvidiaが語る「すべての企業にOpenClaw戦略が必要だ」
NvidiaのジェンスンCEOもOpenClawを「AIエージェント時代のOS」として評価し、独自フレームワーク「NemoClaw」を発表。 企業が安全にエージェントを導入するためのハードウェア・ソフトウェアスタックを構築しています。
競合プラットフォームとの位置付け
| プラットフォーム | 特徴 | 主なターゲット |
|---|---|---|
| OpenClaw | ローカルファースト・オープンソース・高度なOSアクセス | パワーユーザー、開発者、プライバシー重視派 |
| Lindy / Relevance AI | クラウド完結型・ノーコードインターフェース | 非技術者、迅速なデプロイを求める企業 |
| Zapier Agents / n8n | 既存ワークフロー(フローチャート形式)の延長 | 定型業務の自動化、既存ツール連携中心 |
| Salesforce Agentforce | 企業内CRMデータに特化 | 大企業の営業・サポート部門 |
OpenClawの強みは「電池付属(Batteries-included)」と言われるほど、メッセージング連携やループ処理のパターンが標準で揃っている点です。 実験から実運用までのリードタイムが短いのは、他のプラットフォームにはない特徴でしょう。
まとめ
OpenClawは、AIを「ブラウザの中の相談相手」から「手元で動く実務家」へと変えた、現時点で最も注目すべきエージェント・フレームワークです。
この記事で取り上げたポイントを整理します。
| テーマ | 要点 |
|---|---|
| アーキテクチャ | ゲートウェイ・デーモンによるシングルコントロールプレーンで全通信を統括 |
| メモリ | ローカルのMarkdown+SQLiteで永続管理。Automatic Memory Flushで長期記憶を維持 |
| スキル | ClawHubに3,286以上のスキルが登録。URLを貼るだけでインストール可能 |
| 自動化 | CronとHeartbeatの二重構造で24時間プロアクティブに動作 |
| セキュリティ | 致命的三重脅威+永続性という4重リスク。ClawHavoc事件が示すサプライチェーン攻撃の現実 |
| 戦略 | OpenAI・Nvidiaが注目する「次世代ビジネスインフラ」としての地位を確立しつつある |
エージェントを安全に運用するためには、3つの原則が指針になります。
- 分離の原則:DockerやVMでホストOSと隔離する
- 最小権限の原則:読み取り専用の権限や特定ドメインのみのネットワーク通信に絞る
- 可視性の確保:実行履歴を常にログに残し、重要な操作には人間の承認を介在させる
ソブリン・エージェントの波は、もはや「実験」の領域を脱しました。 OpenClawを理解し、安全に活用することが、次のデジタル変革の起点になるでしょう。
最後までご覧いただき、ありがとうございます。