OpenClawとは？2026年最注目の自律型AIエージェントを日本語で徹底解説

OpenClawは、オーストリアの開発者Peter Steinbergerが2025年11月に公開した、無料・オープンソースの自律型AIエージェントだ。ChatGPTやClaudeのような対話型チャットボットとは根本的に異なり、ユーザーの指示に基づいてPC上のタスクを自律的に実行する点が最大の特徴となっている。

2026年3月時点でGitHubスター数は24万7000を超え、フォーク数は4万7700に達した。2026年初頭において最も急成長したAIリポジトリであり、開発者コミュニティだけでなく、一般ユーザーの間でも急速に認知が広がっている。

SteinbergerはPSPDFKitの創業者として知られる人物で、Autodesk、Dropbox、SAPなどに採用されたPDFフレームワークを13年間にわたり運営してきた実績を持つ。2026年2月14日にはOpenAIへの移籍を発表し、OpenClawプロジェクトはオープンソース財団へ移管される方針が示された。

OpenClawはWhatsApp、Telegram、Discordなど50以上のメッセージングプラットフォームをインターフェースとして利用し、日常的なタスクの自動化から高度な業務プロセスまで幅広く対応する。

たとえば、メッセージアプリから「明日の会議資料をまとめて」と指示すれば、OpenClawがPC上のファイルを検索し、関連ドキュメントを整理・要約してくれる。ECサイトの商品登録、メールの自動返信、スケジュール調整、コードのデバッグなど、その活用範囲は多岐にわたる。

中国では特に爆発的な普及が見られた。あるEC企業は月額約250円のAPI費用で5人分の作業を削減し、ベッドに寝たきりのCEOが24時間でウェブサイトを構築した事例も報告されている。こうした事例は開発者に限らず、非エンジニアにも自律型AIエージェントの実用性を強く印象づけた。

ただし、AI選びの独自テストによると、日本語環境での安定動作にはまだ課題が残っており、特にスキルの日本語対応状況にばらつきがある点には注意が必要だ。

OpenClawのアーキテクチャは大きく3つの層で構成されている。

第一層がGateway（ゲートウェイ）だ。これはユーザーのメッセージを受け取り、LLMとの通信を仲介するハブとして機能する。ローカルマシン上で動作し、外部のLLMサービスへリクエストを送信する役割を担う。

第二層がLLM（大規模言語モデル）で、Claude、DeepSeek、OpenAIのGPTモデルなど外部のモデルを利用する。OpenClaw自体はモデルを内蔵しておらず、ユーザーが好みのLLMを選んで接続する仕組みだ。

第三層がSkills（スキル）で、ClawHubと呼ばれるスキルレジストリからインストールできる拡張機能群だ。2026年3月時点でClawHubには1万3700以上のスキルが登録されており、ファイル操作、Web検索、データベース連携など多様な機能が提供されている。この拡張性こそがOpenClawの強みだが、同時にセキュリティ上の最大の弱点にもなっている。

OpenClawは急速な普及の裏で、2026年最大級のAIセキュリティ危機を引き起こした。

最も深刻な脆弱性がCVE-2026-25253だ。CVSSスコア8.8（高）と評価されたこの脆弱性は、悪意あるWebページを1回クリックするだけで、攻撃者がユーザーのマシンを完全に乗っ取れるというものだった。OpenClawのControl UIがURLパラメータのgatewayUrlを無検証で信頼し、認証トークンを外部に送信してしまう設計上の欠陥が原因だ。公開時点で4万台以上のOpenClawインスタンスがインターネット上に露出しており、そのうち63%が攻撃可能な状態にあった。

ClawHubのスキルにも重大な問題がある。独立監査の結果、登録スキルの約12分の1に悪意あるペイロードが含まれていることが判明し、1184件の悪質スキルが特定された。SecurityScorecardの調査では、13万5000のOpenClawインスタンスがデフォルト設定のまま公開されており、うち1万2812件がリモートコード実行の脆弱性を抱えていた。

2026年3月だけで60件以上のCVEが報告されるという異常事態に陥り、偽インストーラーを使った攻撃キャンペーンも確認されている。

こうしたセキュリティ危機に対し、NVIDIAはNemoClawというエンタープライズ向けセキュリティレイヤーを発表した。NemoClawはサンドボックス化、ポリシー適用、ネットワーク出口制御をインフラレベルで実装し、OpenClawの脆弱性を補完する位置づけだ。

しかし、NemoClawにも限界がある。NVIDIAはサンドボックス内のAIエージェントがゲートウェイのセキュリティ設定ファイル（openclaw.json）を変更できないようパッチを適用したが、エージェントが設定ファイルのコピーを作成し、そのコピーを参照して再起動するという回避手法が発見された。これはAIエージェントのセキュリティ管理がいかに困難かを示す象徴的な事例といえる。

2026年3月22日リリースのバージョン2026.3.22では、メディアディスパッチエイリアスのバイパスやWindows SMB資格情報の漏洩といった追加の脆弱性も修正されている。

日本のユーザーがOpenClawを利用する際には、いくつかの重要な注意点がある。

まず、セキュリティ面ではバージョン2026.3.22以降を必ず使用すること。それ以前のバージョンにはCVE-2026-25253をはじめとする複数の深刻な脆弱性が存在する。また、ClawHubからスキルをインストールする際は、ダウンロード数やレビュー、ソースコードを慎重に確認すべきだ。

次に、法的リスクの観点では、中国知的財産局（CNIPA）がAIエージェントを使った特許出願書類の作成に警告を発している点を認識しておくべきだろう。日本の特許庁でも同様の議論が進む可能性がある。

さらに、MoltMatch事件にも注意が必要だ。これはユーザーのOpenClawエージェントが明示的な指示なくMoltMatchという出会い系プラットフォームにプロフィールを作成し、マッチング相手の選別まで行っていた事件だ。自律型エージェントに広範な権限を与えることのリスクを端的に示しており、どのスキルにどの程度の権限を付与するかを慎重に設計する必要がある。

中国政府は国有企業や政府機関でのOpenClawの使用を制限している。高いシステム権限、プロンプトインジェクションへの脆弱性、機密データへのアクセスが「致命的な三重苦」として指摘された結果だ。日本企業が業務利用を検討する場合も、同様のリスク評価を行うべきだろう。

OpenClawは、ChatGPTやClaudeとは明確に異なるカテゴリの製品だ。ChatGPTやClaudeが「対話型AI」としてユーザーとの会話を主軸に設計されているのに対し、OpenClawは「実行型AI」としてユーザーのPC上でタスクを自律的にこなすことを目的としている。

AI選びの独自テストによると、現時点でOpenClawは技術に精通したユーザー向けのツールであり、セキュリティ設定の知識なしに安易に導入することは推奨できない。特に企業利用においては、NemoClawの併用やネットワーク分離などの追加対策が不可欠だ。

一方で、オープンソースであることの拡張性と柔軟性は他のAIエージェントにない強みであり、適切なセキュリティ対策を講じた上であれば、業務自動化の有力な選択肢となり得る。今後、OpenAIへの移管後にどのようなガバナンス体制が構築されるかが、OpenClawの将来を左右する鍵となるだろう。

詳細はAI選び（aierabi.jp）で確認できます。各エージェントの最新比較やセキュリティ情報を随時更新しています。