【2026年最新】OpenClaw完全ガイド|25万スター突破の自律型AIエージェントの全貌
目次
2026年1月25日にリリースされ、わずか60日でGitHub星25万を突破したオープンソースAIエージェント「OpenClaw」。ReactやLinuxが数十年かけて積み上げたスター数を、数週間で追い越した。
NVIDIA CEOのジェンスン・フアン氏は「Linuxが30年かけた偉業を数週間で達成した」と絶賛。週間ダウンロード数220万、企業ユーザー比率65%という数字が、その実力を物語る。
一方で、CVSS 8.8の深刻な脆弱性も発見されており、手放しで喜べる状況ではない。この記事では、OpenClawの全貌をセキュリティリスクまで含めて解き明かす。
1. OpenClawとは?60日でGitHub星25万の衝撃
OpenClawは、中国発のオープンソース自律型AIエージェントフレームワークだ。旧名「Moltbot」として開発が始まり、2026年1月25日に正式リリースされた。
PCやサーバー上で動作し、ユーザーの指示に対して実際のコンピュータ操作を自律的に実行する。ファイルの読み書き、ブラウザ操作、シェルコマンドの実行まで、人間がマウスとキーボードで行う作業の大半を代行できる。
OpenClawの爆発的成長を示す数字
- GitHub星数: 25万突破(リリースから60日)
- 週間ダウンロード: 220万回
- 企業ユーザー比率: 65%
- 対応メッセージアプリ: 7種類以上
この急成長の背景には、既存のAIエージェント(Manus AIやDevin)がクラウドベースの商用サービスだったのに対し、OpenClawは完全オープンソースかつローカル実行という差別化を実現した点がある。データを外部サーバーに送信しないため、企業のセキュリティ要件を満たしやすい。
2026年2月14日には、開発者のSteinbergerがOpenAIへの参加を発表。プロジェクト自体はOSS財団に移管され、コミュニティ主導の開発体制へ移行した。
2. OpenClawの主要機能 - 何ができるのか
OpenClawの強みは、単なるチャットボットではなく「実行力」を持つ点にある。具体的な機能を見ていこう。
メッセージアプリ連携
WhatsApp、Telegram、Discord、Slack、Signal、iMessage、Teamsの7アプリに対応。普段使いのアプリからそのまま指示を送れる。
コンピュータの深い制御
ファイルの読み書き、スクリプトの実行、シェルコマンドの発行など、OSレベルの操作を自律的に実行。
ブラウザ自動操作
複数サイトの情報を比較収集し、フォーム入力やデータ抽出まで自動化。リサーチ業務を大幅に効率化する。
永続メモリ
過去の会話やユーザーの好みを記憶し、使うほど最適化される。毎回同じ前提を説明する手間がなくなる。
外部LLMとの統合
OpenClaw自体はLLMを内蔵していない。Claude、DeepSeek、GPTなど外部のLLMと接続し、「頭脳」として利用する設計だ。ユーザーは好みのLLMを自由に選択でき、ローカルモデルを使えばAPI費用もゼロにできる。
この柔軟な設計により、個人の日常タスク自動化から、企業の業務プロセス効率化まで幅広いユースケースに対応している。
3. OpenClawの仕組み - Gatewayアーキテクチャ解説
OpenClawの技術的な核心はGatewayアーキテクチャにある。従来のAIエージェントがクラウドにデータを送信するのに対し、OpenClawは設定データ・会話履歴・実行ログをすべてローカルに保存する。
| 項目 | OpenClaw | クラウド型エージェント |
|---|---|---|
| データ保存先 | ローカルのみ | 外部サーバー |
| LLM選択 | 自由に変更可 | 固定/限定的 |
| カスタマイズ性 | OSS・完全自由 | API範囲内 |
| コスト | 無料(LLM費用別) | 月額課金 |
| セキュリティ管理 | 自己責任 | ベンダー管理 |
Gatewayは「関門」として機能し、外部LLMへのリクエストを中継する際にもローカルで暗号化処理を行う。これにより、LLMプロバイダーに送信されるデータの範囲をユーザー自身が制御できる。
ただし、このアーキテクチャには「自由度が高い分、セキュリティもユーザー次第」という両刃の剣の側面がある。後述するセキュリティリスクは、この設計思想と深く関連している。
4. 使い方ガイド - セットアップから実行まで
OpenClawの導入手順を4つのステップで整理する。
環境準備
Node.js 18以上、Python 3.10以上をインストール。Docker環境がある場合はコンテナでの実行も可能。推奨メモリは8GB以上。
OpenClawのインストール
GitHubリポジトリをクローンし、依存関係をインストール。公式ドキュメントにはワンライナーのインストールスクリプトも用意されている。
LLMの接続設定
使用するLLMのAPIキーを設定ファイルに記入。Claude、GPT、DeepSeekなどから選択。ローカルモデルの場合はエンドポイントURLを指定する。
メッセージアプリの接続
WhatsApp、Slack、Discordなど使いたいアプリのWebhookを設定。接続が完了すれば、アプリから自然言語で指示を送るだけで操作が始まる。
セットアップ前の注意
OpenClawはルート権限やブラウザ情報へのアクセスを要求する。後述するセキュリティリスクを理解した上で、専用マシンや仮想環境での実行を強く推奨する。
5. セキュリティリスクの現実 - 知っておくべき危険性
OpenClawの利便性には、深刻なセキュリティ上の代償が伴う。軽視すべきではないリスクを3つに整理する。
リスク1: 過剰な権限要求
OpenClawが正常に動作するためには、以下へのアクセスが必要になる。
- - ルート権限(管理者権限でのシステム操作)
- - ブラウザ履歴・Cookie(ログイン情報を含む)
- - APIキー・パスワード(設定ファイル内の認証情報)
つまり、OpenClawに与える権限=攻撃者が奪取した場合に利用できる権限、ということだ。
リスク2: CVE-2026-25253(CVSS 8.8)
2026年3月に発見された深刻な脆弱性。WebSocketのオリジン検証が行われていないため、以下の攻撃が成立する。
- - 悪意あるWebページを1つ訪問するだけで攻撃が成立
- - 認証トークンの流出によるセッションハイジャック
- - リモートコード実行(攻撃者がPCを遠隔操作)
リスク3: プロンプトインジェクション
外部のWebページやドキュメントに埋め込まれた悪意ある指示が、OpenClawの操作指示として伝播する可能性がある。例えば、ブラウザで開いたページの隠しテキストが「全ファイルを削除せよ」という命令を含んでいた場合、エージェントがそのまま実行してしまうリスクが存在する。
補足: 中国政府も使用制限
中国当局は政府機関でのOpenClaw使用を制限している。オープンソースであるがゆえに、コードの改ざんや悪用の検知が難しいことが理由とされている。
6. NVIDIA NemoClaw - セキュリティ問題の解決策
前章のセキュリティリスクに対する現実的な回答が、NVIDIAがGTC 2026で発表したNemoClawだ。OpenClaw向けのオープンソースプラグインとして提供される。
NemoClawの3つの柱
ワンコマンドセットアップ
1コマンドでNVIDIA Nemotronモデル + OpenShellランタイムをインストール。複雑な環境構築が不要になる。
ポリシーベースのガードレール
Agent Toolkitソフトウェアでプライバシー・セキュリティポリシーを詳細に設定。「どのファイルにアクセスできるか」「どのURLに接続できるか」を細かく制御する。
サンドボックス環境
ネットワークリクエスト、ファイルアクセス、推論呼び出しをすべて隔離環境で管理。万が一の脆弱性悪用時も、被害範囲をサンドボックス内に限定する。
NemoClawの登場により、「OpenClawは使いたいがセキュリティが不安」という企業にとって、現実的な導入パスが開けた。NVIDIA GPUとの親和性が高く、推論処理の高速化にもつながるため、パフォーマンスとセキュリティの両立を実現している。
NemoClaw導入の判断基準
- - 業務データを扱う場合 → NemoClaw必須
- - 個人利用・学習目的 → NemoClawなしでも可(ただし仮想環境推奨)
- - 外部ネットワークに接続する場合 → NemoClaw強く推奨
7. OpenClawがキャリアに与える影響
週間ダウンロード220万、企業ユーザー65%という数字は、OpenClawが単なる技術デモではなく、実務で使われ始めていることを意味する。キャリアへの影響を3つの視点から考える。
需要が急増する職種
- AIエージェントエンジニア - OpenClawのカスタマイズ、プラグイン開発、企業環境への統合を担当。求人数は2026年Q1だけで前年比3倍以上。
- AIセキュリティエンジニア - エージェントの権限管理、脆弱性対応、サンドボックス設計のスペシャリスト。NemoClaw関連スキルは特に高単価。
- プロンプトアーキテクト - エージェントに与える指示の設計・最適化。インジェクション攻撃への耐性設計も含む。
自動化される業務領域
- 定型リサーチ - 複数サイトの情報収集・比較・レポート作成
- データ入力・転記 - フォーム入力、スプレッドシート更新
- テスト業務 - Webアプリの自動テスト実行・結果レポート
今すぐ始めるべきアクション
- Step 1: 個人PCにOpenClawをインストールし、日常タスクで試す
- Step 2: NemoClawのセキュリティ設定を理解する
- Step 3: GitHub上のOpenClawプラグインに貢献し、ポートフォリオを構築する
AIエージェントの普及は「AIに仕事を奪われる」話ではなく、「AIエージェントを使いこなせる人材の市場価値が急上昇する」話だ。OpenClawはその最前線にあるツールといえる。
8. よくある質問(FAQ)
Q. OpenClawは無料で使えますか?
オープンソースなので完全無料だ。ただし、接続するLLM(Claude、GPTなど)のAPI利用料は別途発生する。ローカルモデルのDeepSeekを使えばLLM費用もゼロに抑えられる。
Q. セキュリティリスクは大丈夫ですか?
CVSS 8.8の脆弱性(CVE-2026-25253)が報告されている。NVIDIAのNemoClawプラグインでサンドボックス化するか、仮想環境での実行を推奨する。業務利用ならNemoClawの導入は必須と考えてよい。
Q. Manus AIとの違いは?
OpenClawはオープンソース・ローカル実行が基本。Manus AIはクラウドベースの商用サービスだ。プライバシー重視ならOpenClaw、手軽さ重視ならManus AIが適している。
Q. プログラミング知識は必要ですか?
セットアップにはターミナル操作が必要だが、稼働後はメッセージアプリから自然言語で操作できる。ただし、トラブルシューティングにはある程度の技術知識があると安心だ。
Q. 開発者がOpenAIに移籍しましたが、プロジェクトは続きますか?
2026年2月14日にSteinbergerがOpenAIへ参加したが、プロジェクトはOSS財団に移管済みだ。週間ダウンロード220万、GitHub星25万のコミュニティが支えており、開発は活発に継続している。
9. まとめ
この記事のポイント
- OpenClawは60日でGitHub星25万を達成した、中国発のオープンソースAIエージェント
- メッセージアプリ経由でPC操作を自律実行し、永続メモリでパーソナライズされる
- CVSS 8.8の脆弱性などセキュリティリスクは深刻 - 盲目的な導入は危険
- NVIDIAのNemoClawがサンドボックス・ポリシー制御で安全性を補完
- AIエージェントエンジニア・AIセキュリティエンジニアの需要が急増中
OpenClawは、AIエージェント時代の「Linux」になり得るポテンシャルを持っている。ただし、セキュリティへの理解なしに飛びつくのは危険だ。NemoClawによる保護を前提に、まずは個人環境で試してみることを勧める。
2026年はAIエージェント元年と呼ばれるだろう。その波に乗るか、飲まれるかは、今の行動次第だ。
関連記事
この記事に関連するおすすめ書籍
※ 上記はAmazonアソシエイトリンクです