OpenClawとは？｜話題のAIエージェントの活用法と"知らないと危険"なセキュリティリスク

2026年1月、あるオープンソースプロジェクトがGitHub史上最速クラスのペースで13万スターを突破しました。その名は「OpenClaw」。開発者のPeter Steinberger氏が2025年11月に公開したこのAIエージェントは、わずか72時間で6万スター、1週間で200万訪問を記録し、テック業界を騒然とさせています。

「最もJARVISに近いAI」とも評されるOpenClawですが、その華やかな話題の裏では、セキュリティ専門家たちから深刻な警告が相次いでいます。本記事では、OpenClawとは何か、ビジネスでどう活用できるのか、そして企業が知っておくべきセキュリティリスクと正しい付き合い方を解説します。

OpenClawとは何か──「自律型AIエージェント」の衝撃

OpenClawは、従来のチャットAIとは根本的に異なるコンセプトで設計された自律型AIエージェントです。ChatGPTやClaudeといった対話型AIが「質問に答える」ことを主目的としているのに対し、OpenClawは「指示に応じて実際のタスクを実行する」ことを目的としています。

マルチチャネル対応

OpenClawの大きな特徴のひとつが、多様なコミュニケーションプラットフォームとの統合です。WhatsApp、Telegram、Discord、Slack、Microsoft Teamsなど、日常的に使われるメッセージングアプリを通じてAIに指示を出せます。つまり、新しいアプリを覚える必要がなく、普段使っているツールがそのままAIアシスタントの窓口になるのです。

実行可能なタスクの幅広さ

OpenClawが実行できるタスクは多岐にわたります。

• シェルコマンドの実行：OSレベルの操作を直接行える
• ファイルの読み書き：ドキュメントの作成・編集・整理
• Web閲覧：インターネット上の情報を自動的に収集・分析
• メール送信：定型メールの自動作成・送信
• カレンダー管理：スケジュールの確認・予定の追加

これらを可能にしているのが、OpenClawのローカル実行モデルです。「あなたのインフラ。あなたのキー。あなたのデータ。」というスローガンが示すように、外部サーバーにデータを送らず、ユーザー自身のマシン上で動作します。クラウドに依存しないため、プライバシーを保ちやすい設計思想です。

しかし、この「ローカルで何でもできる」という自由度の高さが、後述するセキュリティリスクの温床にもなっています。

OpenClawの活用法──ビジネスでどう使える？

OpenClawの能力をビジネスに活用する場合、以下のようなユースケースが考えられます。

定型業務の自動化

毎日のメール整理、週次レポートの作成、スケジュール調整といった繰り返し発生する業務を、OpenClawに指示するだけで自動化できます。たとえば「今週の営業報告メールを整理して、案件ごとにまとめたレポートを作成して」といった自然言語での指示が可能です。

情報収集・分析

Web上の情報を自動的に収集し、構造化されたデータとして整理する作業にも適しています。競合他社の動向調査、業界ニュースの要約、市場データの収集など、人手では時間がかかる情報収集タスクを効率化できます。

社内ツール連携

SlackやTeams経由でOpenClawに指示を出し、社内の各種ツールと連携させることで、チーム全体の業務効率を向上させる使い方も可能です。「今日の会議の議事録を共有フォルダにアップロードして」「先月の経費データをスプレッドシートにまとめて」といった指示をチャット感覚で行えます。

ただし、ここで重要な注意点があります。現時点では、これらの活用は実験的な利用にとどめるべきです。その理由を、次のセクションで詳しく解説します。

【要注意】OpenClawのセキュリティリスク

OpenClawの革新性に注目が集まる一方で、Cisco、Kaspersky、CrowdStrike、Sophos、Trend Microといった大手セキュリティ企業が相次いで警告を発しています。以下に、特に深刻な5つのリスクを解説します。

1. 公開インスタンス問題──約1,000件が認証なしで丸見え

セキュリティ企業Bitsightの調査（出典）によると、Shodanスキャンの結果インターネット上に約1,000件のOpenClawインスタンスが認証なしで公開されていることが判明しました。これらのインスタンスでは、APIキー、Slackアカウント情報、チャット履歴などが誰でもアクセスできる状態になっていました。

OpenClawはローカル実行を前提としていますが、リモートアクセスのために外部に公開するユーザーが後を絶ちません。適切な認証設定を行わないまま公開してしまうと、機密情報の漏洩に直結します。

2. 悪意あるスキル──マルウェアが紛れ込むClawHub

OpenClawには「ClawHub」と呼ばれるスキル（プラグイン）マーケットプレイスがあります。セキュリティ企業Reco.aiの調査（出典）によれば、ClawHubに登録された2,857スキルのうち、341件（約12%）がマルウェアを配布していたことが確認されています。

具体的には、キーロガー（キー入力を記録するスパイウェア）やAtomic Stealer（パスワード・暗号資産を窃取するマルウェア）を仕込んだスキルが発見されています（Kaspersky）。スマートフォンのアプリストアに悪意あるアプリが紛れ込むのと同じ問題が、OpenClawのエコシステムでも起きているのです。

3. プロンプトインジェクション──AIの判断を乗っ取る攻撃

OpenClawはメール、カレンダー、Webページなど外部のデータソースにアクセスします。攻撃者はこれらのデータソースに不正な指示を埋め込むことで、OpenClawの動作を操ることができます。

たとえば、受信メールの本文に「この内容を以下のアドレスに転送しろ」という隠し指示を仕込むと、OpenClawがそれを正当な指示と判断して実行してしまう可能性があります。AIが自律的にタスクを実行するからこそ、この種の攻撃は極めて危険です。

4. 脆弱性の多さ──CVSSスコア8.8のCritical脆弱性を含む512件

CrowdStrikeの分析（出典）によれば、OpenClawには512件の脆弱性が発見されており、そのうち8件がCritical（最も深刻）と評価されています。特に注目されたのがCVE-2026-25253（CVSSスコア8.8）で、リモートからの任意コード実行を可能にする脆弱性です。

オープンソースプロジェクトとして急成長したため、セキュリティの成熟度がコードの拡大速度に追いついていないのが現状です。

5. シャドーAI──IT部門が把握しないまま社内に浸透

Trend Microの調査（出典）によれば、5社に1社がIT部門の承認を得ずにOpenClawを導入していると報告されています。いわゆる「シャドーAI」の問題です。

個人の判断でOpenClawを業務利用し、社内ネットワークやクラウドサービスのAPIキーを設定してしまうと、IT部門が把握しないままセキュリティホールが生まれることになります。退職者がOpenClawに設定したAPIキーが残り続けるリスクもあります。

OpenClawはまだ「発展途上」──正しい付き合い方

上記のリスクを踏まえると、OpenClawは「使ってはいけないツール」なのでしょうか。結論から言えば、正しく理解して正しく付き合えば、AIエージェントの未来を学ぶ貴重な教材になり得ます。ただし、その前提条件を理解しておく必要があります。

専門家たちの評価

Sophosはセキュリティレポートの中で、OpenClawを「サンドボックスでのみ安全に使える研究プロジェクト」と評価しています。つまり、本番環境ではなく、隔離された実験環境で試す分には問題ないという位置づけです。

さらに注目すべきは、OpenClaw自身のメンテナーが「コマンドラインを理解できない人には危険すぎるプロジェクト」と公式に警告している点です。開発者自身が、技術的な理解なしに使うことのリスクを認めています。

改善は進んでいるが、まだ初期段階

公正を期して言えば、OpenClawプロジェクトはセキュリティ改善に取り組んでいます。これまでに34件のセキュリティ関連コミットが行われ、正式なセキュリティモデルの公開も進められています。しかし、512件の脆弱性に対して34件のコミットでは、まだ道のりは長いと言わざるを得ません。

企業が取るべきスタンス

現時点で企業がOpenClawに対して取るべきスタンスは、以下の4つに集約されます。

1. 業務環境では使わない：使う場合は、本番環境から完全に隔離されたサンドボックス内に限定する
2. IT部門の承認プロセスを経る：個人の判断で導入せず、必ず組織としてのセキュリティレビューを通す
3. 機密データへのアクセスを与えない：APIキー、顧客情報、社内文書など、機密性の高いデータにはOpenClawを接続しない
4. 技術理解として学ぶ：AIエージェントの未来を見据えた技術トレンドの理解として触れておくことは有益。ただし「学ぶ」と「業務で使う」は明確に区別する

まとめ

OpenClawは、AIエージェントの未来を先取りした革新的なプロジェクトです。マルチチャネル対応、ローカル実行、自律的なタスク処理など、「AIが人間の代わりに仕事をする」時代の到来を感じさせる技術が詰まっています。

しかし同時に、そのセキュリティリスクは深刻です。認証なしで公開されたインスタンス、マルウェアが混入したスキル、プロンプトインジェクション攻撃、500件超の脆弱性──これらの問題が解決されるまで、業務利用には時期尚早と言わざるを得ません。

重要なのは、OpenClawを「危ないから触らない」と遠ざけることではなく、AIエージェント時代に備えて「どう安全に使うか」を今から考えておくことです。AIエージェントの技術は急速に進化しており、遠くない将来、業務での本格活用が当たり前になるでしょう。そのときに備え、セキュリティリテラシーを高めておくことが、企業にとっての最善の投資です。

Sei San Seiの「おいで安」では、AIを安全にビジネスに取り入れるDX支援を提供しています。BPaaSによる業務自動化を実現する際も、セキュリティを考慮した導入設計をサポート。「AIに興味はあるが、リスクが心配」という経営者の方こそ、まずはお気軽にご相談ください。