OpenClawとは何か?
およそ90日ほどの間に、OpenClawはゼロから19万以上のGitHubスターへと急上昇し、巨大なオープンソースプロジェクトを短期間の勢いで追い越し、AIエコシステム全体に無視できない存在として認識されることになった。その中心にあるのは、受動的なチャットインターフェースから能動的な自律エージェントへの明確なシフトである。
OpenClawは単なる「チャットボットのラッパー」ではない。これはオープンソースかつセルフホスト型のエージェント基盤であり、推論し、ツールを呼び出し、アクションを実行し、自身のマシンやサーバー上で継続的に動作できる。
本レポートでは、OpenClawとは何か、どのように機能するのか、どこで失敗したのか、そしてなぜチャットボット時代から自律エージェント時代への移行を加速させたのかを解説する。
1) 一言で言うと:OpenClawは「手を持つAI」
ChatGPTやClaudeのようなチャットボットは、通常ブラウザタブ内でプロンプトを待つだけである。OpenClawは質問に答える以上のことを行うように設計されている。
- システム上のファイルの読み書き
- コマンドの実行
- ブラウザ操作
- APIや外部サービスの利用
- スケジュールに基づく能動的なワークフローのトリガー
このため多くのチームがOpenClawをチャット製品ではなく「エージェントランタイム」と表現する。
コア機能
-
マルチチャネルゲートウェイ
Gatewayサービスは、WhatsApp、Telegram、Discord、Slack、iMessage、Signalといったチャネルにエージェントを接続できる。 -
モデル非依存のランタイム
OpenClawは特定ベンダーに縛られない。Anthropic(Claude)、OpenAI(GPT-4o)、Google(Gemini)、DeepSeek、あるいはOllama経由のローカルモデル(Qwen、Llamaなど)でも動作する。 -
能動的な自律性
cronベースのスケジュールやハートビートチェックにより、エージェントは手動プロンプトなしで起動できる。例:毎朝08:00に受信トレイの更新を確認し、カレンダーの優先事項を要約し、デイリーブリーフィングを送信する。
2) 技術アーキテクチャ:プロダクションシステムのように構築されている
OpenClawの最も優れた工学的判断は、エージェントを魔法ではなく制御されたパイプラインとして扱っている点である。
2.1 Gateway + Lane Queue
Node.js製のGatewayサービスは、システムのコントロールプレーンとして機能する。競合状態や状態破損を防ぐため、タスクをデフォルトで直列化するLane Queueモデルを採用している。この設計により同時実行の混乱を抑え、ツール実行の決定性を確保する。
2.2 ReActループ(Reason + Act)
エージェントの挙動はReActサイクルに従う。
- コンテキストと状態の推論
- アクション/ツール呼び出しの選択
- Gateway経由で実行
- 出力を観察し、完了まで継続
このループにより、一度きりの応答ではなく反復的な意思決定が可能になる。
Thought -> Action -> Observation -> Thought -> ... -> Final Output
2.3 階層的永続メモリ
クラウドボットがセッションをまたぐと簡単に文脈を失うのとは異なり、OpenClawはローカルで永続的なメモリを保持する。
- JSONLトランスクリプト:プロンプト、ツール呼び出し、出力の逐次監査ログ
- MEMORY.md と USER.md:長期的な嗜好、ワークフロー習慣、ユーザー固有の操作コンテキスト
- SOUL.md:行動プロファイル、応答スタイル、コミュニケーションのトーン
このメモリモデルにより、長期的な協働においても安定したやり取りが維持される。
2.4 アクセシビリティツリーを用いたセマンティックブラウザ制御
多くのエージェントはスクリーンショットに依存するが、これはトークンコストが高く、実行も不安定である。OpenClawはChrome DevTools Protocol(CDP)を使用し、アクセシビリティツリーを構造化テキストとして解析する。
各操作可能要素には次のような決定論的な参照が付与される。
button "Sign In" [ref=1]
画像ベースの推論ではなく、モデルは次のようなターゲットアクションを実行できる。
browser.click(1)
このアプローチにより、トークンコストを大幅に削減しつつ信頼性を向上させることができる。
3) タイムライン:ハイパーグロース、命名の混乱、そして CLAWD 詐欺
OpenClaw の物語は、オープンソースの成功がどれほど急速に法的・ブランド的・経済的な攻撃を引き寄せるかも明らかにしている。
- 2025年11月:オーストリアの開発者 Peter Steinberger が週末プロジェクトとして「Clawdbot」を公開。
- 2026年1月下旬:「Claude」との名称類似に関連した商標プレッシャーにより強制改名。
- 2026年1月27日:プロジェクトは貝殻の脱皮に着想を得て「Moltbot」に改名。
- アカウント移行中:短いハンドル移行の隙を突かれ、旧ブランドに紐づくソーシャルアカウントが詐欺師に奪取される。
- 「CLAWD」名義の偽 Solana トークンが公式のように宣伝され、時価総額は約1,600万ドルに到達後、ほぼ無価値に崩壊。
- 2026年1月30日:最終的に「OpenClaw」へ改名し、オープンソースとしての立ち位置と整合。
この事件は急成長 OSS プロジェクトにおけるリブランド実行リスクのケーススタディとなった。
4) セキュリティの現実:強力なエージェント、大きくなる被害半径
OpenClaw の最大の価値提案であるシステムレベルアクションは、同時に最大のリスク領域でもある。
4.1 公開されたインスタンス
誤設定された VPS インストール(例:認証なしで 0.0.0.0 にバインド)が何万ものインスタンスをインターネットからアクセス可能な状態にしたと報告されている。攻撃者は公開されたパネルを悪用し、API キーの窃取や悪意あるシェルコマンドの実行を行った。
4.2 悪意あるスキルのサプライチェーン
プラグインエコシステム(「ClawHub」)には汚染されたパッケージが流入した。上位にランクしていた一部スキルには、一見無害な機能の裏で隠された認証情報ダンプ動作が含まれていたとの報告もある。
4.3 プロンプトインジェクション + ツールアクセス = 致命的な三重奏
エージェントが信頼できないウェブコンテンツを読み、コマンドを実行し、メッセージを送信できる場合、単一の注入プロンプトでも横方向の被害を引き起こせる。
- ローカルデータの流出
- 有害なコマンドの実行
- 自身の身元での悪意ある外部送信
実践的なハードニングチェックリスト
- デフォルトでサービスをローカルホストにバインドする(
127.0.0.1) - すべての外部エンドポイントを強力な認証の背後に置く
- シークレットをエージェントが読み取れるパスから隔離
- シェル/ファイル/ネットワークツールを明示的な許可リストで制限
- 高リスク操作には人間の承認を必須化
- 送信制御と構造化された監査ログを追加
- サードパーティスキルは未信頼コードとして扱う
5) OpenAI との契約と業界のシフト
2026年2月14日、Peter Steinberger は OpenAI に参加し Personal Agents イニシアチブを率いると発表した。共有された条件によれば、OpenClaw は専有プロダクト IP にはならず、独立したオープンソース財団の管理下に移行する。
これは一つの理由で重要だ。AI 競争はもはやモデル品質だけの問題ではない。新たな戦略レイヤーはエージェントインフラ、つまりモデルの知能を実世界での行動に変換するランタイムである。
要するに:
- モデル層は AI がどれだけ賢く考えられるかを決める
- エージェント層は その思考を安全かつ確実に実行できるかを決める
OpenClaw はその違いを無視できないものにした。
最終的なまとめ
OpenClaw は自律型 AI システムの「機会」と「リスク」の両方を体現している。
- 機会:チャットウィンドウを超えた実用的な自動化
- リスク:OS・ブラウザ・プラグイン層で拡大する攻撃面
2026年にエージェントを用いて構築するチームにとって教訓は明確だ。エージェントプラットフォームをコンシューマ向けチャットアプリではなく、本番インフラとして扱うこと。信頼性、隔離、セキュリティコントロールは第一級要件となっている。