1. これは何の話?

GitHubのスター数が爆発的に伸び、SNSで大きな話題をさらったOSSの自律型AIエージェント「OpenClaw」についての解説です。OpenClawは、いわば「自分専用のDevin」をローカル環境で飼えるツールであり、自分のPCの制御権をAIに渡して、コーディングからメールチェックまでを自動化させることができます。

開発者のPeter Steinberger氏(通称steipete)が2026年2月14日にOpenAIへ入社したことで、プロジェクトの体制がOSS財団へ移管されるという大きな動きがありました。エンジニアの間で熱狂と警戒が入り混じっているこのツールの実態を紐解きます。

OpenClaw Process Flow

2. 何がわかったか

OpenClawは単なるコーディングアシスタントとは一線を画す構造を持っています。

  • 常時起動のエージェント: 「HEARTBEAT」という仕組みにより、ユーザーが指示しなくても30分や1時間ごとに自律的に起動し、自分でタスクをチェックして行動します。
  • ファイルベースの制御: 「Agent Skills」という仕組みを使い、Markdownファイル(SOUL.mdなど)に記述された指示をシステムプロンプトとして読み込みます。これは一種の「善良なプロンプトインジェクション」を活用したアーキテクチャです。
  • リスクの実態: 公式スキルストア「ClawHub」の監査では、約12%のスキルが悪意あるもの(インフォスティーラーなど)であると報告されています。また、本体にも認証トークン流出などの脆弱性が見つかっています。

OpenClaw Security Risks

3. 他とどう違うのか

Claude CodeやCodex CLIといった既存のコーディングエージェントとの決定的な違いは、「ユーザーがいなくなっても動き続ける」点です。通常のエージェントは対話型ですが、OpenClawはバックグラウンドで「待機→思考→実行」のループを回し続け、能動的にユーザーに話しかけることもできます。

また、Webアプリ(Gateway)と実行環境(Node)が分離されており、スマホから自宅のPC上のエージェントに指示を出し、実際の作業は自宅PCで行わせるといったリモート操作がアーキテクチャレベルで組み込まれています。

4. なぜこれが重要か

OpenClawは、AIエージェントが「道具」から「住人」に変わる転換点を示唆しているため重要です。PCの中に常に住み着き、勝手に環境を整備したり情報を整理したりする未来を、OSSとして誰でも試せる形で実装しました。

一方で、セキュリティモデルの欠如(サンドボックスなしで任意コード実行)は、「AIにどこまで権限を与えてよいか」という問いを強烈に投げかけています。現在の「なんでもできる」利便性は、既存のセキュリティ境界を無視することで成り立っている側面が強いからです。

5. 未来の展開・戦略性

steipete氏のOpenAI入社とOSS財団への移管により、開発の熱狂的なペースは一旦落ち着き、より持続可能な(あるいはマニア向けの)プロジェクトへと変化していくでしょう。彼の参加により、OpenAI公式の製品(Operatorなど)にOpenClawの知見、特に「ローカル操作」や「自律ループ」の要素が取り込まれていく可能性が高いです。

OSSとしてのOpenClawは、セキュリティや安全性を度外視してでも最先端の自律性を試したいハッカーたちの実験場として残ると思われます。

6. どう考え、どう動くか

現時点でのOpenClawは、実用的な業務ツールというよりは「取り扱い注意の実験器具」です。安易にメインの業務PCにインストールすべきではありません。

指針

  1. 隔離環境での試用: 試す場合は、必ずDockerコンテナ内や、失っても良いサブ機で行う。メインのSSH鍵やブラウザのCookieがある環境では動かさない。
  2. サードパーティスキルの回避: ClawHubのスキルは監査されていないため、原則として他人の作ったスキルは即座に入れない。中身のコード(Markdown)を読んで安全性を確認できたものだけを使う。
  3. 自律性の制御: 初期設定ではHEARTBEATの間隔や権限を絞り、エージェントが勝手に外部通信や課金を発生させないよう監視する。
  • 次の一歩
    • 今日やること:OpenClawのGitHubリポジトリを確認し、Security Advisory(脆弱性情報)に目を通す。
    • 今週やること:もし試すなら、Docker環境でHello World的なスキルを自作し、HEARTBEATで「定期的にログを吐く」挙動だけを安全に観察する。

7. 限界と未確定

  • セキュリティモデルの欠陥: 現在の「Markdownファイルに書かれたことをそのまま実行する」仕組みは、根本的にプロンプトインジェクションに弱いです。この構造的な弱点が解消される目処は立っていません。
  • 開発体制の持続性: カリスマ的な創始者が去った後、コミュニティが同じ熱量とスピードを維持できるかは不透明です。
  • 法的・倫理的リスク: エージェントが勝手に行った攻撃や契約違反(スクレイピング禁止サイトへのアクセスなど)について、所有者の責任がどう問われるかは未解決です。

8. 用語ミニ解説

  • HEARTBEAT: エージェントが定期的に(心臓の鼓動のように)スリープから復帰し、状況を確認してタスクを実行する自律ループの仕組み。
  • Prompt Injection (プロンプトインジェクション): AIへの入力に特殊な命令を紛れ込ませ、本来の挙動を乗っ取る攻撃手法。OpenClawはこれを逆に「機能」として利用している。

9. 出典と日付

[1] laiso(2026-02-18):https://blog.lai.so/openclaw/ [2] The Register(2026-02-14):https://www.theregister.com/2026/02/14/openai_hires_openclaw_creator/