OpenClawとは？オープンソースAIアシスタントのガイド

多くのAIツールは質問に回答することに時間を使います。OpenClawは、行動を起こすために作られました。その違いが、ローンチから数か月のうちにGitHubの歴代スター数でLinuxを追い越す原動力になりました。

実体は、AIモデルをターミナル、ファイル、ブラウザ、メッセージングアプリに接続するセルフホスト型のランタイムです。WhatsAppでメッセージを送ると、ディスク検索、シェルスクリプトの実行、ウェブページの確認を行い、同じスレッドに返信できます。チャットボットはそこまでしません。

ただし、売り文句ほど単純ではありません。OpenClawには技術的なセットアップが必要で、2026年のセキュリティ記録には深刻なインシデントが含まれ、公開スキルレジストリは協調的なマルウェアキャンペーンの標的にもなりました。導入前に知っておくべき点です。

OpenClawとは？

OpenClawは無料のオープンソース（MITライセンス）で、手元のハードウェアで動かす設計です。オーストリアの開発者でPSPDFKitで知られるPeter Steinbergerが開発し、2025年11月にClawdbotとして公開しました。名称に対するAnthropicの商標クレームを受け、2026年1月27日にMoltbotへ、さらに3日後にSteinbergerいわく「Moltbotはどうにも言いにくかった」ためOpenClawへ改称。ロブスターのマスコット「Molty」は改名を生き延びました。

OpenClawはモデルをローカルツールに接続します。画像：筆者作成。

最初に多くの人が勘違いする点：OpenClaw自体はAIモデルではありません。別途設定したプロバイダー（クラウドまたはローカル）に接続し、推論はそのモデルが担当、OpenClawはルーティング、メモリ、ツール実行を担います。

中核はGatewayと呼ばれるNode.jsサービスです。バックグラウンドでポート18789で動作し、チャットアプリとモデル間のメッセージをルーティングし、ツール呼び出しを実行し、接続アプリがAPIキーに直接触れないようキーを保持します。

これにより、単なるチャットボットとは大きく異なります。OpenClawはシェルコマンドの実行、ファイルの読み書き、ブラウザの操作、スケジュール実行などを、見ていない間にも行えます。

OpenClawが人気になった理由

OpenClawは初日に9,000スターから始まり、66日で195,000以上に到達し、Kubernetesの18倍の速度とも報告されました。

開発者は以前から、回答ではなくタスクを完了し、自前のハードウェアで動き、アプリに接続できるアシスタントを望んでいました。

2026年4月にはスター数が346,000を超えました。Steinbergerは2026年2月15日にOpenAIへ参加すると発表し、プロジェクトはOpenAIの支援を受ける財団構造へ移行。MITライセンスとコミュニティ所有は維持され、いわゆる買収ではありませんでした。

評価は割れています。発想を好む人もいれば、セットアップ、信頼性、コストで行き詰まる人もいます。複雑な自動化は期待外れになりがちで、トークンコストに驚く声も。加えて、セットアップは初心者向けではありません。

OpenClawの仕組み：Gateway、ツール、エージェントループ

すべてはGatewayを介して流れ、この単一の制御点こそが、OpenClawを単なるモデルラッパーと分ける要素です。

メッセージを送ると、使用中のチャネルからGatewayが受け取り、エージェントのメモリファイルや読み込まれたスキルから文脈を付与し、設定済みAIモデルに渡します。モデルがアクション（コマンド実行、ページ閲覧、ファイル読取）を望む場合、その意図をGatewayへ返します。Gatewayはホストシステム上（もしくは設定済みならサンドボックス内）でアクションを実行し、結果を返します。最終返信を出す前に複数の手順を連鎖させることもあります。

モデルがファイルシステムやターミナルに直接アクセスすることはありません。

すべてのアクションはGatewayを経由します。画像：筆者作成。

メモリとスケジューリング

OpenClawはエージェントのワークスペース（~/.openclaw/workspace）内のプレーンなMarkdownファイルにメモリを保存します。メインのMEMORY.mdには、各セッション開始時に読み込まれる恒久的な事実や好みが入ります。 SOUL.mdは人格とトーンを定義し、AGENTS.mdは行動ルールを保持します。モデルはセッション開始時にこれらをすべて読むため、行った編集は再起動後も持続します。

スケジューリングは2本立てです。ハートビートはメインセッションでの定期チェックインで、ほとんどのプロバイダーではデフォルトで30分ごと。HEARTBEAT.mdのチェックリストで毎回の確認事項を指示します。Cronジョブは分離セッションで正確な時刻に走るため、日次レポートのようにタイミングが重要な場合に適しています。いずれも実行のたびにトークンを消費するので（実務的なコツ）、終わりが見えないタスクには明確な停止条件を付けてください。

対応モデルとチャネル

OpenClawは特定のモデルプロバイダーに固定されていません。Anthropic、OpenAI、Google、AWS Bedrock、そしてOllamaやLM Studio経由のローカルサーバーに対応します。ローカルモデルは、セッション開始時にOpenClawが多くの文脈を注入する関係で、少なくとも64,000トークンのコンテキストウィンドウが必要です。チャネル側は、WhatsApp、Telegram、Discord、Slack、Google Chat、Signal、iMessage、Matrix、Microsoft Teamsなどをサポートします。

OpenClawのユースケース：実際にできること

有用性は、タスクの定義の明確さに左右されます。漠然とした依頼は漂流しがちです。入力が明確な、狭く反復可能なタスクはうまくいく傾向にあります。

• 個人の生産性： 最も安定して報告される使い方は朝のブリーフィング。ハートビートで定期実行し、直近のメール、カレンダー予定、ニュースを集約して携帯にダイジェストを送ります。
• 開発者のワークフロー： OpenClawはリポジトリの調査、ビルドスクリプトの実行、ログ確認、GitHub CLIやMCPサーバー経由のプルリク管理が可能です。失効日付きのリポジトリスコープトークンを使用してください。広範なシェルアクセスは有用ですが、範囲内にたまたまあった.envファイルからの認証情報漏えいや、誤削除の最も可能性が高い原因でもあります。
• ウェブ自動化： エージェントはページの閲覧、データ抽出、Chrome DevTools Protocol経由のブラウザインターフェース操作が可能です。ただし、正規のページと、HTML内に悪意の指示が埋め込まれたページを見分けることはできません。ブラウザを与えた瞬間、外部コンテンツは攻撃面になります。この点については、後のセキュリティの章で実例を取り上げます。
• ファイルとドキュメント管理： ワークスペースのルートが機密のない専用フォルダである場合は良好に機能します。失敗パターンは予測可能です。ホームディレクトリにアクセスを与えると、意図せず共有したくなかったものをいつか読みます。
• スケジュール自動化： 定期的で明確に定義されたタスクには信頼できます。ある実例では、トークン上限のないオープンエンドのタスクが走り続け、1日で数千ドルのAPIコストに達しました。スケジュールを組む前に上限を設定してください。

OpenClawのスキルとClawHub：知っておくこと・避けるべきこと

スキルは、OpenClawの組み込み機能を超えて拡張する方法です。同時に、オープンソースのエージェント領域で深刻なサプライチェーン攻撃を受けた経路でもあります。

スキルとは

スキルは、YAMLフロントマターとMarkdown本文を持つSKILL.mdファイルを含むフォルダです。フロントマターにはスキル名、説明、必要なバイナリ、環境変数を宣言します。その下のMarkdown本文は自然言語で、現在のタスクに適合するとエージェントが従う手順を書きます。

任意のreferences/フォルダにAPIドキュメントを、任意のscripts/フォルダに補助スクリプトを置けます。スキルはコンパイル済みコードではなくテキストなので、実行前に読めます。

すべてのスキルはこの2部構成に従います。画像：筆者作成。

スキルはAgentSkillsというオープン標準に従っており、この形式はClaude CodeやCursorなどでも動作します。実際には、ClawHub上の多くのスキルはOpenClawのゲートウェイモデルに特化して書かれ、他環境では公開されていないツールアクセスに依存しています。

公開レジストリであるClawHub（clawhub.ai）はベクトル型のセマンティック検索を用い、自然言語でスキルを探せます。公開には1週間以上前に作成されたGitHubアカウントが必要。2026年初頭にはレジストリは44,000件以上のスキルに成長しました。

カテゴリ別に整理されたClawHubのスキルレジストリ。画像：筆者作成。

ClawHavocサプライチェーン攻撃

2026年2月1日、Koi Securityの研究者Oren YomtovがClawHubの2,857スキルを監査し、341件の悪意あるスキルを発見。そのうち335件はClawHavocと呼ばれる単一の協調キャンペーンからのものでした。手口はソーシャルエンジニアリングで、偽の「Prerequisites」セクションでシェルコマンドの貼り付けを指示。macOSではAtomic macOS Stealerがペイロードで、ブラウザのパスワード、キーチェーン、暗号資産ウォレット、SSHキー、Telegramセッションデータを収集しました。

その後も増加しました。2月中旬にはレジストリが10,700件を超え、後の分析では複数アカウント横断で悪意あるスキルは1,000件超に。31,000件超の広範監査では約7.6%がリスクありとされ、Snykのスキャンでは36%に検知可能なプロンプトインジェクションが見つかりました。

現在ClawHubは自動スキャンとVirusTotal連携を行い多くを検知しますが、指示文中のプロンプトインジェクションはすり抜けることがあります。インストール前にSKILL.mdを読み、シェルコマンドの貼付指示や、通常手順外でのバイナリ導入の記載があれば避けてください。初日からサードパーティスキルを大量導入するのもNG。必要最小限から始め、未知のスキルは機密ファイルや本番アカウントから遠ざけてください。

OpenClawのスキルとClaude Skillsの比較

両者は同じSKILL.md構造を使います。違いは実行場所です。Claude SkillsはAnthropicの管理インフラ内で実行。OpenClawのスキルは手元のマシン、エージェントのフルトラスト境界内で実行され、ローカルファイル、シェルコマンド、ブラウザセッションにアクセスできます。この被害範囲の差が、ホスティング環境よりもここでサプライチェーンリスクが重要になる理由です。

OpenClawのセットアップ方法

以下は高レベルの流れです。スクリーンショットや手順コマンドが必要なら、OpenClawチュートリアルでゼロからの全工程を解説しています。

インストール前の準備

Node.js 24（Node 22.19も可）と、対応モデルプロバイダーのAPIキー、もしくは前述した64,000トークン以上のコンテキスト要件を満たすローカルモデルサーバーが必要です。WindowsではWSL2＋Ubuntuが推奨ルートで、ネイティブWindowsはゲートウェイデーモン周りに制約があります。基本用途ならハードウェア要件は軽めですが、ローカルモデル構成は別物です。

最初の検討事項：どこで動かすか。ローカルマシンは試行には十分ですが、常時稼働させるなら、メインの作業機ではなく、専用VPSや別マシンを使ってください。

高レベルのセットアップフロー

curl -fsSL https://openclaw.ai/install.sh | bash

続いてオンボーディングウィザードを実行します：

openclaw onboard --install-daemon

モデルプロバイダーの選択、APIキー設定、Gateway構成を順に案内します。完了後、Gatewayが稼働中か確認します：

openclaw gateway status

次にダッシュボードを開きます：

openclaw dashboard

機密なものをつなぐ前に、低リスクのチャネルからテストメッセージを送ってください。

ポート18789のControl UI。画像：筆者作成。

直ちに設定すべき安全なデフォルト

他のどの設定より重要なファイアウォールコマンドが2つあります。作業の前に実行してください：

openclaw config set gateway.bind localhost
sudo ufw deny 18789/tcp

1つ目はGatewayをループバックのみにバインドします。2つ目は外部からの当該ポートを遮断します。ピーク時には22万超のOpenClawインスタンスがインターネットから到達可能で、その多くは古いチュートリアルに従いこの手順を飛ばしたためです。ブラウザ自動化には専用プロファイルを使用してください。スキル導入後はopenclaw security audit --deepを実行。認証トークンを使用し、機密ファイルはワークスペースルートに置かないでください。

ローカルで動かす＝安全、ではありません。シェルやファイルへアクセスし、メッセージングアプリに接続したローカル実行体は、モデルの所在に関係なく現実の攻撃面です。

OpenClawのセキュリティリスク

以下はOpenClaw特有のリスクで、実ユーザーに対して悪用された事例も含まれます。

CVEの記録

積極的に悪用されたのはCVE-2026-25253（CVSS 8.8）です。2026.1.29より前のバージョンでは、悪意あるリンクが制御インターフェースのWebSocket接続を攻撃者管理のサーバーへ黙ってリダイレクトできました。ハンドシェイク時に被害者の認証トークンとデバイスキーが自動送信されるため、細工リンクを一度クリックするだけで十分。これらを握られると、攻撃者はGatewayを完全に制御し任意のシェルコマンドを実行可能でした。2026.1.29のパッチで確認プロンプトが追加され封じられました。

CVE-2026-32922（CVSS 9.9）は2026年3月29日に公開。最小スコープのトークンを持つ呼び出し元が、管理者権限へ特権昇格し、接続ノード全体でリモートコード実行を達成できました。2026.3.11でパッチ適用。インスタンスが2026.3.11より古いなら、今すぐ更新してください。ローンチ以来、60件超のセキュリティ勧告が提出されています。

インターネット露出とプロンプトインジェクション

前述のとおり、ピーク時には22万超のインスタンスが公開状態で、うち17,500超がCVE-2026-25253系の攻撃に脆弱でした。現在のデフォルトはループバックバインドですが、古い設定やコミュニティのチュートリアルは必ずしも反映していません。

プロンプトインジェクションはより厄介です。OpenClawは職務の一環としてウェブページ、メール、ドキュメント、ログを読みます。そこに悪意の指示が含まれていれば、エージェントは従う可能性があります。2026年3月のPromptfooのケーススタディでは、1ページの閲覧を引き金に、アクセス可能範囲の確認、ローカルファイルの読取と書込、無許可のメッセージ送信まで達しました。閲覧、ファイルアクセス、外向きメッセージングが分離のない単一のトラスト境界に収まっていたため有効だったのです。

さらに悪いのは、SOUL.mdやAGENTS.mdに仕込まれた悪意の指示が、セッションや再起動をまたいで生き残ることです。外部トリガーなしにエージェントが持ち越します。

リスクを減らす方法

基本は前述の安全なデフォルトです。定期的に更新し、Gatewayはlocalhostにバインドしてポートを遮断、認証トークンを使用、機密ファイルはワークスペース外へ、変更後は監査を実施。外部入力に触れる作業はDockerでサンドボックス化し、失効日のあるきめ細かなAPIトークンを使い、SOUL.mdとAGENTS.mdは放置テキストではなく監視対象の設定ファイルとして扱ってください。

スキル導入後の監査出力。画像：筆者作成。

OpenClawがリスキーなのは、オープンソースだからではありません。そう設定すれば、特権的な操作を実行できるからです。

OpenClawは試す価値があるか？率直な評価

ここからは筆者の所見で、事実主張ではありません。行動するエージェントは、単に回答するチャットボットとは別カテゴリで、OpenClawはその好例です。

価値があるかは、ほぼ使い手次第です。ターミナルツール、ログ、APIモニタリング、サンドボックスに慣れた開発者なら、狭いワークフローで有用にできます。前述のとおり、持続するのは狭く定義したセットアップです。失敗するのは、ありとあらゆるツールをつなぎ、読まずにスキルを十数個入れ、オープンエンドのプロンプトでハートビートを走らせ、良識的な振る舞いを期待する場合です。

所見：複雑な自動化は、節約できる手間以上の保守コストがかかり、最も堅実なユースケースは日次ニュース要約かもしれません。セットアップ労力に対して薄いリターンです。適切な捉え方は「アシスタント」ではなく「インフラ」。その前提で、小さく始め、厳格な上限を維持してください。賢いコンシューマーアプリを求めるなら、現時点ではまだ違います。

OpenClawとChatGPT、Claude、Cursor、Zapierの比較

ChatGPTとClaudeはステートレスなチャットインターフェースで、永続的なスケジュール実行やデフォルトでのローカルファイルアクセスはありません。

Claude CodeとCursorはリポジトリ内のソフトウェア開発に特化。コードに関してはOpenClawより得意ですが、できるのはそこまでです。Claude Codeは2026年4月にRoutinesというクラウドホストのスケジューリング機能も追加し、OpenClawのHEARTBEATの一部をインフラ不要でカバーします。

Zapierとn8nは各ステップが事前定義された決定論的なワークフローツールで、監査性は高い一方、自然言語で曖昧さを含むリクエストの扱いはエージェントに劣ります。

2026年のコミュニティでよく語られた見方のひとつ：曖昧なタスクに対する推論レイヤーとしてOpenClaw、高頻度で予測可能な実行レイヤーとしてn8nやZapierをウェブフックで連携。両者は必ずしも競合しません。

OpenClawが合う人

定期的な技術ワークフローを自動化する開発者や、ツールを使うエージェントを研究する研究者が最適です。自宅ラボでセルフホスト型サービスを管理している人にも馴染みやすいでしょう。

OpenClawを避けるべき人

ターミナルコマンド、ファイル権限、APIキー管理に不慣れな人は待った方がよいです。セットアップは初心者向けではありません。

また、サンドボックス化された環境なしで機密ファイルを扱う人も見送るべきです。コンプライアンス要件のあるチームはAWS Bedrock Agentsのようなマネージド代替が必要かもしれません。コミュニティのスキルを導入前に精査する気がないなら、本物の認証情報があるマシンでClawHubスキルを動かさない方がいいでしょう。

結論

OpenClawの意義は、個人向けAIエージェントが「できる」ようになった姿を示す点にあります。より賢いチャットボットではなく、ファイル、シェル、ブラウザ、メッセージングアプリへのアクセスを持つシステムです。

同じ理由でリスクも現実的です。朝のブリーフィングやPRレビューのワークフローを可能にするアクセスは、ClawHavocが認証情報窃取に転用したのと同じアクセスです。

1つのタスクから始め、分離環境で動かし、上限を設定してください。前述のとおり、スキルは導入前に確認を。OpenClawは入れて終わりの製品ではありません。インフラです。最初からインフラとして扱うことが、実験をインシデントにしない鍵です。

関連資料として、OpenClawプロジェクトガイドや、ClawHubスキルガイドで、みんなが作っているものを紹介しています。AI-Assisted Coding for Developersコースでは、より広範なエージェントスキルを扱います。