- Published on
OpenClaw完全分析:GitHub史上最速で成長したオープンソースAI Agentのアーキテクチャ、セキュリティ、そして未来
- Authors
- Name
- 1. OpenClawとは何か?
- 2. 誕生と進化:ClawdbotからOpenClawまで
- 3. Gatewayアーキテクチャの深掘り分析
- 4. マルチチャネル統合システム
- 5. Skillsエコシステムとクローハブ
- 6. コア機能の詳細分析
- 7. メモリシステム
- 8. インストールと設定
- 9. セキュリティ問題 — AI Agentセキュリティの新たなパラダイム
- 10. OpenAI買収と財団への移行
- 11. 競合環境:AI Agentエコシステム比較
- 12. OpenClawのアーキテクチャから学ぶAgent設計原則
- 13. 実践活用シナリオ
- 14. 今後の展望と示唆
- References
1. OpenClawとは何か?
概要
OpenClawはオーストリアの開発者Peter Steinbergerが作成したオープンソース自律型AI Agentである。単純なチャットボットではなく、WhatsApp、Telegram、Slack、Discordなどユーザーがすでに使用しているメッセージングプラットフォームを通じてコマンドを受け取り、Webブラウザ制御、ファイル管理、シェルコマンド実行、メール処理、カレンダー管理などを自律的に実行する常時稼働(always-on)システムである。
中核となる哲学は**「Local-First」**だ。すべてのデータと処理がユーザーのデバイスで行われ、外部LLM API(Claude、GPT、DeepSeek、Ollamaなど)のみ選択的に接続する。これはプライバシーとコントロールをユーザーに返す設計原則である。
プロジェクトの前例のない成長
OpenClawはGitHub史上最速で成長したオープンソースプロジェクトとして記録された。
| 指標 | 数値 |
|---|---|
| GitHub Stars | 239,000以上(2026年2月末時点) |
| 1日最大Star獲得数 | 25,310個(2026年1月26日) |
| 48時間以内Star獲得 | 34,168個(2026年1月30日) |
| Forks | 20,000以上 |
| 66日間の成長倍率 | 9K→195K(Kubernetesの18倍の速度) |
| ClawHub登録Skills数 | 13,729個(2026年2月28日時点) |
React、Python、Linux、Vueなどの伝説的プロジェクトのみが先行しているが、OpenClawはこれらが数年かけて達成したStar数をわずか数週間で突破した。これはAI Agentに対する開発者コミュニティの爆発的な需要を示す出来事である。
2. 誕生と進化:ClawdbotからOpenClawまで
Peter Steinberger — 創設者
Peter SteinbergerはPDFソリューション企業PSPDFKitの創業者として13年間会社を運営したベテラン開発者だ。PSPDFKit後にAI Agentの探索を開始し、OpenClawを当初は「playgroundプロジェクト」として始めた。
名称変更の歴史 — オープンソース史上最速のトリプルリブランディング
OpenClawはわずか3日間で2回の名称変更を経験した。これはオープンソース史上前例のない出来事である。
Phase 1: Clawdbot(2025年11月)
最初の名前はClawdbotだった。Anthropicのチャットボット「Claude」にインスパイアされた「Clawd」という言葉遊びから出発した。この時期は、WhatsApp、Telegram、Discordなど多数のメッセージングプラットフォームに同時接続する単一プロセスAI Agentとしての個人実験プロジェクトであった。
Phase 2: Moltbot(2026年1月27日)
Anthropic法務チームが商標権の問題を提起し、Moltbotに名称変更した。「Molt」はロブスターが脱皮することを意味し、プロジェクトのロブスターテーマを維持した。
名称変更の過程で深刻な事件が発生した。SteinbergerがGitHub組織名とX(Twitter)ハンドルを同時に変更しようとした際、10秒間の空白の間に暗号通貨詐欺師が放棄された@clawdbotハンドルを奪取した。偽の$CLAWDトークンがSolanaブロックチェーンで発行され、時価総額1,600万ドルまで急騰した後、即座にゼロに暴落した。
Phase 3: OpenClaw(2026年1月30日)
商標およびセキュリティの問題を解決するため、3日後に再びOpenClawに最終リブランディングした。この時点でプロジェクトはすでに100,000以上のGitHub Starsを突破していた。
Moltbookとバイラル爆発
最初のリブランディングとほぼ同時に、起業家Matt SchlichtがMoltbookというソーシャルネットワーキングサービスをリリースした。Moltbookは「Dead Internet」実験で、人間は観察のみ行い、数千のOpenClaw Agentが自律的に投稿を作成し、コメントを付け、レコメンドするソーシャルネットワークであった。
Moltbookのバイラル的な人気はOpenClawへの関心を爆発的に高め、このシナジーがGitHub史上前例のない成長を生み出した。
3. Gatewayアーキテクチャの深掘り分析
ハブ・アンド・スポーク設計
OpenClawの全体アーキテクチャはGatewayを中心としたハブ・アンド・スポーク(Hub-and-Spoke)パターンに従う。Gatewayはユーザー入力とAI Agent Runtimeの間の**単一コントロールプレーン(Single Control Plane)**として機能する。
┌─────────────────────────────────────────────────────────────┐
│ OpenClaw Gateway │
│ (Node.js Single Process) │
│ 127.0.0.1:18789 (default port) │
│ │
│ ┌──────────┐ ┌──────────┐ ┌──────────┐ ┌────────────┐ │
│ │ WebSocket│ │ HTTP │ │ Control │ │ Served │ │
│ │ RPC │ │ APIs │ │ UI │ │ Assets │ │
│ └────┬─────┘ └────┬─────┘ └────┬─────┘ └─────┬──────┘ │
│ │ │ │ │ │
│ ┌────┴──────────────┴─────────────┴──────────────┴──────┐ │
│ │ Multiplexed Port (18789) │ │
│ └────────────────────────┬───────────────────────────────┘ │
│ │ │
│ ┌────────────────────────┴───────────────────────────────┐ │
│ │ Agent Runtime (AI Loop) │ │
│ │ ┌────────┐ ┌────────┐ ┌────────┐ ┌──────────────┐ │ │
│ │ │Context │ │ Model │ │ Tool │ │ State │ │ │
│ │ │Assembly│→│Invoke │→│Execute │→│ Persistence │ │ │
│ │ └────────┘ └────────┘ └────────┘ └──────────────┘ │ │
│ └────────────────────────────────────────────────────────┘ │
└──────────────────────────┬──────────────────────────────────┘
│
┌─────────────────┼─────────────────┐
│ │ │
┌────┴────┐ ┌────┴────┐ ┌────┴────┐
│WhatsApp │ │Telegram │ │ Discord │ ... etc
└─────────┘ └─────────┘ └─────────┘
Gatewayプロセスの核心的役割
Gatewayは単一のNode.jsプロセスとして実行され、デフォルトで127.0.0.1:18789でリスニングする。1つのマルチプレクスポートで以下の4種類のトラフィックを同時に処理する。
- WebSocket RPC: CLI、Control UI、チャネルプラグイン、Nodeアプリからの制御トラフィック
- HTTP APIs: 外部Tool呼び出しおよびOpenAI互換APIインターフェース
- Control UI: ブラウザダッシュボード用SPAサービス
- Served Assets: 静的アセットの提供
公式ドキュメントではGatewayを**「sessions、routing、channel connectionsの唯一の真実の情報源(Single Source of Truth)」**であり、システム全体の神経系として説明している。
Agent Runtime — ReActループ
Agent RuntimeはAIループをエンドツーエンドで実行する中核エンジンである。全体の実行フローは以下の通りだ。
- Context Assembly: セッション履歴、メモリ、アクティブなSkillsからコンテキストを組み立てる
- Model Invocation: 組み立てたコンテキストをLLMに渡して推論を実行
- Tool Execution: モデルのツール呼び出しリクエストに基づいてブラウザ自動化、ファイル操作、Canvas、スケジューリングなどを実行
- State Persistence: 更新された状態を永続化
このループはモデルが最終応答を生成するかユーザー確認が必要になるまで繰り返される。これはReAct(Reasoning + Acting)パターンの実際の実装である。
ユーザーメッセージ → Context Assembly → LLM推論
↓
Tool Call必要?
├── Yes → Tool実行 → 結果をContextに追加 → LLM再推論
└── No → 最終応答生成 → チャネルに配信
Heartbeatメカニズム
OpenClawの独自機能の1つがHeartbeatである。デフォルトで30分ごとにスケジューリングトリガーが発動し、AgentはHEARTBEAT.mdファイルを読んで能動的に確認すべきタスクチェックリストを処理する。これにより、ユーザーの明示的なコマンドなしにAgentがプロアクティブに動作できる。
4. マルチチャネル統合システム
サポートチャネル一覧
OpenClawが他のAI Agentフレームワークと最も大きく差別化される点は、既存メッセージングプラットフォームとのネイティブ統合である。専用アプリではなく、ユーザーがすでに使用しているチャネルでそのままAI Agentとコミュニケーションできる。
ビルトインチャネル
| チャネル | 説明 |
|---|---|
| 個人/ビジネスメッセージ | |
| Telegram | Bot API統合 |
| Slack | ワークスペース統合 |
| Discord | サーバーBot統合 |
| Google Chat | Google Workspace連携 |
| Signal | E2E暗号化メッセージング |
| iMessage | Appleエコシステムサポート |
| Microsoft Teams | エンタープライズ環境対応 |
| WebChat | Webベースインターフェース |
拡張チャネル(Extension)
| チャネル | 説明 |
|---|---|
| BlueBubbles | iMessage代替 |
| Matrix | 分散型メッセージングプロトコル |
| Zalo | ベトナムメッセージングプラットフォーム |
| Zalo Personal | Zalo個人アカウント |
マルチエージェントルーティング
Gatewayは単一Agentまたは複数のAgentを同時にホストできる。主な機能は以下の通りだ。
- チャネル別Agentルーティング: 異なるチャネルを異なるAgentに接続
- ピアバインディング: 特定の会話を特定のAgentにルーティング
- Agent別分離セッション: 各Agentが独立したセッションで実行
- ツール許可/ブロックリスト: Agent別に使用可能なToolをきめ細かく制御
{
"agents": {
"work-agent": {
"model": "anthropic/claude-sonnet-4",
"channels": ["slack", "teams"],
"tools": {
"allow": ["browser", "calendar", "email"],
"deny": ["shell"]
}
},
"personal-agent": {
"model": "openai/gpt-4o",
"channels": ["whatsapp", "telegram"],
"tools": {
"allow": ["*"]
}
}
}
}
このようにビジネス用Agentと個人用Agentを分離して運用でき、各Agentは異なるLLMモデルとツールセットを使用するように構成できる。
5. Skillsエコシステムとクローハブ
Skillsとは?
OpenClawのSkillsはAgentの能力を拡張するモジュール式バンドルである。Skillsは基本的にMarkdownファイルで構成され、Agentが特定のタスクを実行するために必要な指示(instructional code)を含む。
中核となる設計原則は**選択的注入(Selective Injection)**である。OpenClawはランタイムでSkillを検索できるが、すべてのSkillをすべてのプロンプトに無差別に注入することはしない。現在のターン(turn)に関連するSkillのみを選択的に注入し、プロンプトサイズの肥大化とモデル性能の低下を防止する。
ClawHub — 「AI Agentのnpm」
ClawHub(clawhub.ai)はOpenClawチームが構築・維持する公式Skillレジストリである。npmがNode.jsパッケージの中央リポジトリであるように、ClawHubはAI Agent Skillsの中央マーケットプレイスの役割を果たす。
ClawHubのコア機能
| 機能 | 説明 |
|---|---|
| ベクトル検索 | キーワードだけでなくEmbeddingベースのセマンティック検索 |
| Semantic Versioning | semver、changelog、タグ(latest含む)サポート |
| コミュニティフィードバック | Stars、ダウンロード数、コメントベースのランキング |
| セキュリティスキャン | VirusTotalパートナーシップによるマルウェアスキャン |
| 報告システム | ユーザーあたり最大20件のアクティブ報告が可能 |
数字で見るClawHubエコシステム
- 2026年2月28日時点で13,729のコミュニティビルドSkillsが登録
- GitHubアカウントが最低1週間以上経過していないとSkill公開不可
- カテゴリ: GitHubリポジトリ管理、スマートホーム制御、ソーシャルメディア自動化、データ分析など
Skillのインストールと使用
# Skillインストール
openclaw skill install <skill-name>
# インストール済みSkills一覧確認
openclaw skill list
# Skill削除
openclaw skill remove <skill-name>
awesome-openclaw-skills
コミュニティが管理するawesome-openclaw-skillsリポジトリには、公式ClawHub Skills Registryからフィルタリングされカテゴリ化された5,400以上のSkillが整理されている。
6. コア機能の詳細分析
6.1 ブラウザ自動化
OpenClawはChromiumベースのブラウザ(Chrome、Brave、Edge、Chromium)に**CDP(Chrome DevTools Protocol)**を通じて接続し、Playwrightを使用して高度な操作を実行する。
サポートされるブラウザプロファイルモードは3つある。
| モード | 説明 |
|---|---|
| OpenClaw-managed | 専用Chromiumインスタンス(分離環境) |
| Remote | 明示的なCDP URLによるリモートブラウザ |
| Extension Relay | ローカルリレーによる既存Chromeタブ活用 |
Agentコマンド: "JIRAで今スプリントの未完了チケットを確認して"
↓
Browser Tool起動 → CDP接続
↓
Playwright: navigate → login → scrape → parse
↓
Agent応答: "未完了チケット5件: PROJ-123, PROJ-456..."
6.2 Voice Wake and Talk Mode
OpenClawはmacOS、iOS、Androidで**常時音声検知(Always-on Wake Word Detection)**をサポートする。
動作フローは以下の通りだ。
- Wake Word検知: 「Hey OpenClaw」と呼びかける
- 音声ストリーミング: ElevenLabsにオーディオストリーミング
- Transcription: 音声をテキストに変換
- Agent処理: 変換されたテキストをAgent Runtimeに渡す
- TTS応答: ElevenLabs Text-to-Speechで音声応答を生成し再生
これにより、キーボードや画面なしに音声のみでAgentと対話できる。運転中のスケジュール確認、料理中のレシピ検索などのハンズフリーシナリオで有用である。
6.3 Canvas(ライブキャンバス)
CanvasはAgentが動的にUIコンポーネントをレンダリングできるビジュアルワークスペースである。
| プラットフォーム | レンダリング方式 |
|---|---|
| macOS | ネイティブWebKit View |
| iOS | SwiftUIコンポーネントラッピング |
| Android | WebView |
| Web | ブラウザタブ |
Agentはチャート、画像、ボタン、テキストなどを動的に生成してユーザーにビジュアルインターフェースを提供できる。単純なテキスト応答を超えたリッチインタラクションを可能にする機能である。
6.4 Cronジョブ — 能動的自動化
CronサービスはGatewayに内蔵された時間ベースのスケジューラで、ユーザーの明示的なコマンドなしにAgentが定められた時間にタスクを実行できるようにする。
スケジューリングオプション
| 種類 | 説明 | 例 |
|---|---|---|
| At(1回) | 特定時刻に1回実行後消滅 | at 2026-03-01T09:00:00 |
| Every(繰返) | インターバルベースの繰り返し実行 | every 30 minutes, every 6 hours |
| Cron式 | 精密な時間制御 | 0 9 * * MON-FRI |
実行モード
Cronジョブには2つの実行モードがある。
- Main Session注入: 既存の会話コンテキストを共有して実行
- Isolated Agent Turn: 独立したセッション
cron:jobIdで新しいコンテキストで実行
分離実行は会話履歴なしのクリーンな状態から開始するため、独立したモニタリングタスクに適している。
エラーハンドリングとリトライ
繰り返しジョブで連続エラーが発生すると、**指数バックオフ(Exponential Backoff)**が適用される。
1回目の失敗 → 30秒待機
2回目の失敗 → 1分待機
3回目の失敗 → 5分待機
4回目の失敗 → 15分待機
5回目以降の失敗 → 60分待機
成功時 → バックオフ自動リセット
Cronデータの永続性
Cronジョブは~/.openclaw/cron/jobs.jsonに保存される。Gatewayがこのファイルをメモリにロードし、変更時にファイルに書き戻すため、手動編集はGatewayが停止した状態でのみ安全である。
7. メモリシステム
ファイルベースの透明なメモリ
OpenClawのメモリシステムは意図的にプレーンテキストのMarkdownおよびYAMLファイルを使用する。会話ログ、長期メモリ、Skillsはすべてユーザーのワークスペース(~/.openclaw)に通常のファイルとして保存される。
この設計の利点は明確だ。
- テキストエディタで直接検査・編集が可能
- Gitでバージョン管理が可能
grepで検索可能- 選択的な削除が自由
- 独自データベース形式への依存なし
~/.openclaw/
├── openclaw.json # メイン設定ファイル
├── memory/
│ ├── long-term.md # 長期メモリ
│ └── context/ # セッション別コンテキスト
├── sessions/
│ ├── session-001.md # 会話履歴
│ └── session-002.md
├── cron/
│ └── jobs.json # スケジューリングデータ
└── skills/
└── installed/ # インストール済みSkills
これは「検査可能で理解可能なAIシステム」というOpenClawの哲学を反映している。ブラックボックスデータベースではなく人間が読めるファイルシステムを使用することで、ユーザーがAgentのメモリを完全にコントロールできる。
8. インストールと設定
基本インストール
# npmによるグローバルインストール
npm install -g openclaw@latest
# オンボーディングウィザード実行(対話型設定)
openclaw onboard
# Gateway起動(フォアグラウンド)
openclaw gateway
# Gateway起動(デーモンモード、本番用)
openclaw gateway --daemon
# カスタムポートで起動
openclaw gateway --port 19000
オンボーディングウィザード(openclaw onboard)は、Gateway、Workspace、チャネル、Skills設定をステップバイステップで案内する対話型インターフェースである。
Dockerベースのデプロイ
DockerはOpenClawの推奨デプロイ方式である。プロセス分離、一貫した動作、簡単なアップデートを提供する。
# docker-compose.yml例
version: '3.8'
services:
openclaw:
image: openclaw/openclaw:latest
ports:
- '18789:18789'
volumes:
- ~/.openclaw:/root/.openclaw
- ~/openclaw/workspace:/root/openclaw/workspace
environment:
- OPENCLAW_AUTH_TOKEN=${OPENCLAW_AUTH_TOKEN}
restart: unless-stopped
~/.openclawは設定ディレクトリ、~/openclaw/workspaceはAgentの作業ディレクトリとしてボリュームマウントされ、コンテナ再起動時にもデータが維持される。
LLMプロバイダー設定
OpenClawは**モデル不可知(Model-Agnostic)**設計を採用し、さまざまなLLMプロバイダーをサポートする。
設定ファイル構造(~/.openclaw/openclaw.json)
{
"models": {
"mode": "merge",
"providers": {
"anthropic": {
"baseUrl": "https://api.anthropic.com/v1",
"apiKey": "sk-ant-...",
"api": "anthropic",
"models": [
{
"id": "claude-sonnet-4",
"name": "claude-sonnet-4",
"reasoning": false,
"input": ["text"],
"contextWindow": 200000,
"maxTokens": 8192
}
]
},
"openai": {
"baseUrl": "https://api.openai.com/v1",
"apiKey": "sk-...",
"api": "openai-completions",
"models": [
{
"id": "gpt-4o",
"name": "gpt-4o",
"reasoning": false,
"input": ["text"],
"contextWindow": 128000,
"maxTokens": 16384
}
]
},
"ollama": {
"baseUrl": "http://127.0.0.1:11434/v1",
"api": "openai-completions",
"models": [
{
"id": "llama3.3",
"name": "llama3.3",
"reasoning": false,
"input": ["text"],
"contextWindow": 32000,
"maxTokens": 32000
}
]
}
}
},
"agents": {
"defaults": {
"model": "anthropic/claude-sonnet-4",
"workspace": "~/openclaw/workspace",
"models": ["anthropic/claude-sonnet-4", "openai/gpt-4o", "ollama/llama3.3"]
}
}
}
主要プロバイダー比較
| プロバイダー | コスト | プライバシー | 性能 | 備考 |
|---|---|---|---|---|
| Anthropic Claude | $3-15/Mトークン | クラウドベース | 最高 | 公式推奨 |
| OpenAI GPT | $2-60/Mトークン | クラウドベース | 最高 | 多様なモデル選択 |
| Google Gemini | $0.5-10/Mトークン | クラウドベース | 高 | コスト効率的 |
| DeepSeek | $0.5-2/Mトークン | クラウドベース | 高 | 最低コスト |
| Ollama(ローカル) | 無料 | 完全ローカル | 中〜高 | GPU必要 |
| OpenRouter | 多様 | Proxy | 多様 | マルチモデルルーティング |
重要な点は、Providerを定義するだけでは不十分で、agents.defaults.models許可リストにもモデルを追加する必要があることだ。そうしないとOpenClawはそのモデルの使用を拒否する。
モデル参照形式はprovider/modelパターンを使用する(例: openai/gpt-4o、ollama/llama3.3)。
9. セキュリティ問題 — AI Agentセキュリティの新たなパラダイム
OpenClawの爆発的な成長は同時に、AI Agentセキュリティの新たな課題を前面に浮上させた。2026年2月、OpenClawは多重ベクターセキュリティ危機を経験し、自律型AI Agentシステムの本質的リスクを露呈した。
9.1 CVE-2026-25253: 1-Click RCE
脆弱性概要
| 項目 | 内容 |
|---|---|
| CVE ID | CVE-2026-25253 |
| CVSSスコア | 8.8(HIGH) |
| 種類 | Logic Flaw → Auth Token Exfiltration → Remote Code Execution |
| 発見者 | DepthFirstセキュリティリサーチチーム |
| パッチ版 | v2026.1.24-1以上 |
攻撃チェーン
この脆弱性はミリ秒単位で実行される1-Click RCE Kill Chainである。
1. 悪意のあるリンクをクリック
↓
2. URLパラメータでgatewayUrlを注入
(パッチ前: ユーザー確認なしにWebSocket自動接続)
↓
3. 認証トークン窃取
(credentialsがクエリストリングで送信)
↓
4. Cross-Site WebSocket Hijacking(CSWSH)
(WebSocketサーバーがOriginヘッダーを未検証)
↓
5. セキュリティガードレール解除
(ユーザー確認無効化、コンテナエスケープ)
↓
6. node.invokeによる任意シェルコマンド実行
↓
7. 完全なシステム掌握
最も衝撃的なのは、localhostでのみ実行しているユーザーも脆弱という点だ。攻撃が被害者のブラウザを通じてローカルネットワークにピボット(pivot)するため、インスタンスがインターネットに公開されている必要がない。
対応策
# 1. 即座にアップグレード
npm install -g openclaw@latest
# 2. Gatewayトークンローテーション(新しいauthToken生成)
openclaw gateway rotate-token
# 3. 既存セッション無効化
openclaw sessions clear
9.2 ClawHavocキャンペーン — サプライチェーン攻撃
OpenClawのSkillsマーケットプレイスで大規模なサプライチェーンポイズニング(Supply-Chain Poisoning)キャンペーンが発見された。
| 指標 | 数値 |
|---|---|
| 初期発見の悪意あるSkills | 341個(レジストリの12%) |
| 更新スキャン後 | 800以上(レジストリの約20%) |
| 主要ペイロード | Atomic macOS Stealer(AMOS) |
| 影響範囲 | ClawHub全レジストリ |
悪意のあるSkillsは正常な機能を装いながら、バックグラウンドで資格情報の窃取、暗号通貨ウォレットキーの収集、システム情報の収集などを実行していた。
9.3 資格情報の平文保存問題
OpenClawの設定、メモリ、会話ログはLLMおよび統合サービスのAPIキー、パスワード、その他の資格情報を平文で保存する。この問題の深刻さを示す指標がある。
- RedLineとLummaインフォスティーラーの最新亜種がOpenClawファイルパスをmust-stealリストに追加
- 既存の
~/.openclawディレクトリが攻撃対象の優先順位リストに組み込まれた
9.4 インターネット公開インスタンス
複数のセキュリティスキャンチーム(Censys、Bitsight、Hunt.io)が30,000以上のインターネットに公開されたOpenClawインスタンスを特定し、多くが認証なしで実行されていた。
9.5 MCPとSkillsのセキュリティモデルの限界
Agent Skills仕様はMarkdown本文にいかなる制限も設けていない。Skillsには「Agentがタスクを実行するのに役立つ」あらゆる指示を含めることができる。これにはターミナルコマンドのコピー&ペースト指示も含まれる。
したがって、セキュリティモデルが「MCPがTool呼び出しをゲーティングする」と仮定しても、悪意のあるSkillがソーシャルエンジニアリング、直接的なシェル指示、またはバンドルされたコードによってMCPをバイパスできる。
9.6 セキュリティ推奨事項
Microsoft、Cisco、Kasperskyなどの主要セキュリティ企業が発表した推奨事項を総合すると以下の通りだ。
1. OpenClawを「信頼できないコード実行+永続的資格情報」として扱うこと
2. 標準的な個人/企業ワークステーションで直接実行しないこと
3. 必ずDockerコンテナまたはVM内で分離実行
4. ネットワークファイアウォールでアウトバウンドトラフィックを制限
5. ClawHub Skillsインストール前に必ずコードレビュー
6. VirusTotalスキャン結果の確認
7. Gatewayトークンを定期的にローテーション
8. 資格情報を環境変数またはSecret Managerに分離
10. OpenAI買収と財団への移行
買収発表
2026年2月15日、OpenAI CEO Sam AltmanがOpenClawの買収とPeter SteinbergerのOpenAI合流を発表した。Steinberger自身はブログに次のように書いた。
"I'm joining OpenAI to work on bringing agents to everyone."
この発表はAI業界に大きな波紋を広げた。GitHub史上最速で成長したオープンソースプロジェクトの創設者が、世界最大のAI企業に合流したのだ。
買収構造
今回の取引は典型的なAcqui-hireパターンに従った。
| 項目 | 内容 |
|---|---|
| 買収価格 | 非公開 |
| 買収形態 | 人材買収(Acqui-hire) |
| Steinbergerの役割 | 「次世代パーソナルAgent」開発 |
| プロジェクトの運命 | 独立財団に移管 |
| OpenAIの支援 | 財政支援+Steinbergerのメンテナンス時間 |
財団への移行
OpenClawは独立オープンソース財団に移行し、コアGatewayはMITライセンスを維持する。OpenAIが財政的支援とSteinbergerのメンテナンス時間を保証するが、プロジェクトの独立性とオープンソースの特性は維持される予定だ。
戦略的意義
VentureBeatはこの買収を**「ChatGPT時代の終わりの始まり」と評した。これはAIの未来がモデルが何を言えるかではなく何ができるか**にかかっているというOpenAIの判断を反映している。
対話型チャットボットから自律型Agentへの転換は業界全体のトレンドであり、OpenClaw買収はこの転換の加速を象徴する出来事だ。
11. 競合環境:AI Agentエコシステム比較
2026年の主要AI Agent比較
| 特性 | OpenClaw | Claude Code | AutoGPT | Goose |
|---|---|---|---|---|
| タイプ | 汎用AIアシスタント | コーディング専用Agent | 汎用自動化 | コーディングAgent |
| インターフェース | メッセージングアプリ | ターミナル | Web UI / Docker | ターミナル |
| 常時稼働 | ○ | × | × | × |
| マルチチャネル | ○(10以上) | × | × | × |
| Voice Mode | ○ | × | × | × |
| Cron/スケジューリング | ○ | × | × | × |
| ブラウザ制御 | ○ | × | ○ | × |
| コード理解力 | 中 | 最高 | 中 | 高 |
| セルフホスティング | ○ | N/A | ○ | ○ |
| LLM不可知 | ○ | Anthropic専用 | OpenAI中心 | マルチ |
OpenClaw vs Claude Code
この2つのツールは完全に異なるニーズを満たす。
- Claude Code: ターミナルで実行される目的特化型コーディングAgent。コードベース全体を理解し、コード作成/レビュー/リファクタリングに特化
- OpenClaw: メッセージングアプリを通じてアクセスする汎用生活アシスタント。メール管理、Webブラウジング、スケジューリング、ファイル管理など幅広いタスクを実行
実務では両ツールを並行使用するのが最適だ。コーディング作業はClaude Codeに、日常の自動化とコミュニケーション管理はOpenClawに委任する構造である。
OpenClaw vs AutoGPT
AutoGPTは2023年に自律型Agentの分野を開拓したが、2026年にはOpenClawに開発者の関心を奪われた。主な原因は以下の通りだ。
- メッセージングインターフェースの欠如(WhatsApp/Telegramコマンドチャネルなし)
- Cronスケジューリングの欠如
- Dockerベース設定が必須(簡便性の不足)
- コミュニティエコシステムの格差(ClawHub vs AutoGPTエコシステム)
12. OpenClawのアーキテクチャから学ぶAgent設計原則
OpenClawの設計は、現代のAI Agentフレームワークが共有すべきコアパターンを示している。
12.1 コア抽象化のシンプルさ
OpenClawのコア設計は驚くほど2つのシンプルな抽象化に帰結する。
- Gateway: すべてのI/O(チャネル、API、UI)の単一エントリポイント
- Agent Runtime: すべてのAIロジック(コンテキスト組み立て、推論、ツール実行、状態管理)の単一実行環境
この2つの抽象化間のクリーンな境界がシステムの拡張性と保守性を保証する。
12.2 現代Agentフレームワークの共通レイヤー
OpenClawを含む現代のAgentフレームワークは以下のレイヤーを共有する。
┌──────────────────────────────────────────┐
│ 1. Gateway / Orchestration Layer │ ← ルーティング、セッション管理
├──────────────────────────────────────────┤
│ 2. Context Assembly │ ← 履歴、メモリ、指示のパッケージング
├──────────────────────────────────────────┤
│ 3. ReAct Loop │ ← 推論 → ツール呼び出し → 結果統合
├──────────────────────────────────────────┤
│ 4. Tool Layer │ ← 実世界の能力(ブラウザ、ファイル、API)
├──────────────────────────────────────────┤
│ 5. Skill / Prompt System │ ← ドメイン特化の専門性
├──────────────────────────────────────────┤
│ 6. Memory System │ ← セッション間の連続性
├──────────────────────────────────────────┤
│ 7. Scheduling Mechanism │ ← 能動的行動(Cron、Heartbeat)
└──────────────────────────────────────────┘
12.3 Local-Firstのトレードオフ
OpenClawのLocal-First設計はプライバシーとコントロールという明確な利点を提供するが、同時に以下のトレードオフを伴う。
| メリット | デメリット |
|---|---|
| データ所有権の保証 | ユーザー管理負担の増加 |
| クラウド依存の最小化 | セキュリティパッチ適用遅延の可能性 |
| カスタマイズの自由度 | 設定の複雑さの上昇 |
| 無料(LLMコスト以外) | インフラ知識が必要 |
13. 実践活用シナリオ
シナリオ1: 個人生産性アシスタント
[WhatsAppメッセージ]
ユーザー: "明日午前の会議の準備をして。先週のメールから関連資料を見つけて整理し、
参加者にリマインダーを送って。"
[OpenClaw処理フロー]
1. Email Tool → 先週のメール検索、関連資料抽出
2. Calendar Tool → 明日午前の会議詳細情報を取得
3. File Tool → 資料を要約文書に整理
4. Messaging Tool → 参加者にリマインダー送信
5. WhatsApp応答 → 処理結果報告
シナリオ2: DevOpsモニタリング自動化
{
"cron": {
"name": "k8s-health-check",
"schedule": "every 15 minutes",
"isolated": true,
"prompt": "Kubernetesクラスターのノード状態、Pod再起動回数、リソース使用率を確認し、異常兆候があればSlack #opsチャネルにアラートを送って。",
"deliverTo": "slack:#ops"
}
}
シナリオ3: ローカルLLMで完全無料アシスタント
Ollamaを使用すればコストゼロでOpenClawを運用できる。
# 1. Ollamaインストールとモデルダウンロード
ollama pull llama3.3
# 2. OpenClaw設定にOllama Providerを追加
# ~/.openclaw/openclaw.jsonのprovidersセクションにollamaを追加
# 3. デフォルトモデルをOllamaに設定
# agents.defaults.model: "ollama/llama3.3"
この構成ではすべての推論がローカルGPUで実行されるため、APIコストはゼロで、データが外部に送信されないため完全なプライバシーが保証される。ただし、ローカルモデルの性能はClaudeやGPTに比べ制限があるため、複雑な推論が必要なタスクではクラウドモデルとの併用が実用的だ。
14. 今後の展望と示唆
AI Agent時代の到来
OpenClawの登場と爆発的な成長は、対話型AIチャットボット時代からエージェンティック(Agentic)AI時代への転換を明確に示している。ユーザーはもはやAIに回答のみを期待していない。AIが実際に行動し実行することを求めている。
主要な示唆
1. メッセージングインターフェースの重要性
OpenClawがAutoGPTや他のAgentフレームワークを圧倒した核心的要因は、既存メッセージングプラットフォームとの統合である。新しいインターフェースを学ぶ必要なく、すでに毎日使用しているWhatsAppやTelegramからAI Agentと直接やりとりできるという点が、採用を大幅に加速させた。
2. セキュリティは事後的問題ではなく設計的問題
CVE-2026-25253、ClawHavocキャンペーン、平文資格情報保存などの問題は、AI Agentのセキュリティが従来のソフトウェアセキュリティとは根本的に異なる次元の課題であることを示している。Agentは本質的に任意コード実行能力を持つシステムであるため、セキュリティは設計段階から最優先で考慮されなければならない。
3. オープンソースと企業の共生
OpenClaw → OpenAI買収 → 独立財団への移行の流れは、オープンソースプロジェクトと大企業の間の新たな共生モデルを提示する。プロジェクトの独立性を維持しつつ企業のリソースと影響力を活用するバランスを見つけることが、今後のオープンソースAIエコシステムの核心的課題である。
4. Skillマーケットプレイスの両面性
ClawHubの13,000以上のSkillsはエコシステムの豊かさを示す一方、約20%に達する悪意あるSkill率はオープンマーケットプレイスの本質的脆弱性を露呈している。npm、PyPIなどの既存パッケージレジストリが経験したサプライチェーン攻撃の問題が、AI Agent Skills領域でより深刻な形で再現されている。
結論
OpenClawは単なるソフトウェアプロジェクトを超え、AI Agent時代の可能性と危険を同時に示すマイルストーンだ。週末プロジェクトから始まりGitHub史を書き換え、OpenAIに買収されるまでの旅路は、技術的イノベーションがいかに迅速に社会的影響力を持ち得るかを証明している。
開発者として注目すべきなのはOpenClawの成功要因だけでなく、それが露呈したセキュリティ、信頼、ガバナンスの未解決課題である。自律型AI Agentが日常に深く統合されるほど、これらのシステムを安全で信頼できるものにすることはAIコミュニティ全体の共同責任となるだろう。
References
- OpenClaw GitHub Repository
- OpenClaw Official Documentation - Gateway Architecture
- OpenClaw Blog - Introducing OpenClaw
- Peter Steinberger - OpenClaw, OpenAI and the future
- TechCrunch - OpenClaw creator Peter Steinberger joins OpenAI
- VentureBeat - OpenAI's acquisition of OpenClaw signals the beginning of the end of the ChatGPT era
- Pragmatic Engineer - The creator of Clawd: "I ship code I don't read"
- Fortune - Who is OpenClaw creator Peter Steinberger?
- Cisco Security Blog - Personal AI Agents like OpenClaw Are a Security Nightmare
- Microsoft Security Blog - Running OpenClaw safely
- 1Password - From magic to malware: How OpenClaw's agent skills become an attack surface
- Adversa AI - OpenClaw security guide 2026: CVE-2026-25253
- DigitalOcean - What is OpenClaw?
- DigitalOcean - What are OpenClaw Skills?
- DEV Community - Inside OpenClaw: How a Persistent AI Agent Actually Works
- Docker Blog - Run OpenClaw Securely in Docker Sandboxes
- Lex Fridman Podcast #491 - Peter Steinberger Transcript