てつblog

グラフ

話題の自律型AIエージェント「OpenClaw」とは? 活用法と危険性、そして私が使わない理由

2026年2月27日

話題の自律型AIエージェント「OpenClaw」とは? 活用法と危険性、そして私が使わない理由

最近、GitHubで凄まじい勢いでスターを獲得し、Tech界隈で大きな話題を呼んでいる「OpenClaw」をご存知でしょうか? 元々は「Clawdbot」や「Moltbot」という名前で呼ばれていたこのオープンソースのプロジェクトは、単なるチャットボットの枠を超え、私たちのPCを自律的に操作してくれる強力なAIアシスタントです。

今回は、このOpenClawの概要や具体的な活用法、そして裏に潜む深刻なセキュリティリスクについて解説します。最後に、なぜ私が現時点でOpenClawの利用を見送っているのか、その理由についてもお話しします。

OpenClawとは何か?


OpenClawは、ローカル環境(自分のPCやサーバー)で動作するオープンソースの自律型パーソナルAIアシスタントです。

最大の特徴は、AIが単にテキストの回答を返すだけでなく、実際に「行動」を起こせる点にあります。

  • 多様なメッセージングアプリに対応: WhatsApp、Telegram、Slack、Discordなどから、まるで人間のアシスタントにチャットするようにAIに指示を出せます。
  • PCの直接操作が可能: シェルコマンドの実行、ファイルの読み書き、ブラウザの自動操作など、システムに対する深いアクセス権を持っています。
  • 豊富なプロバイダー対応: ClaudeやGPT-4、Gemini、ローカルモデルなど、多様なLLM(大規模言語モデル)を頭脳として選択可能です。

OpenClawの強力な活用法


OpenClawは、日常の煩雑なタスクを自動化するための「AI従業員」として機能します。以下はその代表的な活用例です。

  • ファイル整理とデータ入力: 領収書の画像を読み取って自動でスプレッドシートにまとめたり、ダウンロードフォルダ内のファイルを種類ごとに整理して移動させたりできます。
  • メール・スケジュール管理: 受信トレイを監視して重要なメールを要約し、返信の下書きを作成したり、カレンダーの空き枠を見つけて予定を調整したりすることが可能です。
  • コーディングとシステム監視: 開発者向けには、バグの修正、テストの実行、DevOpsの自動化などが可能です。エラーが発生した際に自律的に修復を試みることもできます。
  • Webリサーチとブラウザ操作: 特定の製品の価格を複数のサイトで比較したり、Webサイトをスクレイピングしてレポートを作成したりといったブラウザ操作を自動で行います。

潜む危険性:セキュリティ専門家が危惧する「悪夢」


しかし、OpenClawの強みである「PCの深い権限を持つこと」は、そのまま致命的な弱点にもなります。セキュリティ専門家からは「悪夢」と評されるほどの懸念点が指摘されています。

  1. システムの完全な乗っ取りリスク: OpenClawはコマンド実行権限を持つため、誤った設定でインターネットに公開してしまうと、攻撃者に乗っ取られPC内のデータを盗まれたり、破壊されたりする可能性があります。
  2. 間接的プロンプトインジェクション: AIが読み込んだメールやWebサイトに悪意のある指示(プロンプト)が隠されていると、AIがそれを自分への命令だと誤認して実行してしまい、意図せずシステムファイルを削除したり機密情報を外部に送信したりする危険性があります。
  3. 悪意あるスキルの流通: OpenClawの機能を拡張する「スキル」をダウンロードできるプラットフォーム(ClawHub)には、情報窃取ツール(マルウェア)が仕込まれたスキルが多数発見されており、サプライチェーン攻撃の温床となっています。

私がOpenClawを利用しない理由


OpenClawは非常に便利そうで、強い興味を惹かれます。しかし、私は現在、以下の理由から利用を見送っています。

「PCの深い権限(ファイル操作やコマンド実行)をAIに渡すことになる」ことに危機感を感じているからです。

もしOpenClawが誤作動を起こしたり、外部からの悪意ある攻撃によって予期せぬコマンドを実行してしまったりした場合、私にはそれを即座に察知して対処する専門的な知識や技術がありません。

問題が起きて、自分の大切なデータが消えたり、システムが取り返しのつかないことになったりするかもしれないと考えると、怖くて利用に踏み切れないのが本音です。

もちろん、技術は日々進歩しています。今後、安全性がより高まり、専門知識がなくても安心して利用できるような保護の仕組みが整ったときには、導入を再考するかもしれません。

OpenClaw と Antigravity の違い


私がよく利用しているGoogleのコードエディタ「Antigravity」でも、ファイル操作やコマンド実行が可能です。
では、何故私が「Antigravity」は利用して「OpenClaw」は使用しないのか?

指示の粒度と「解釈の余地」の違い

AIに対する命令の抽象度が、そのままリスクの大きさに直結します。

OpenClaw:【ゴール指向型(マクロ指示)】

  • 指示のスタイル: 「このプロジェクトのバグを直して」「TODOアプリを完成させて」といった抽象的で大きなゴールを与えます。
  • AIの行動: AI自身が「ゴールに到達するには何が必要か?」を計画し、サブタスク(ファイルの検索、修正、テスト実行、再修正…)を勝手に生成・実行します。
  • 危険性:
    • 手段を選ばない: 「エラーが消えない」→「じゃあ、この邪魔なファイルを消してみよう」という短絡的な解決策をAIが独自に判断し、実行してしまうリスクがあります。
    • 暴走の連鎖: 最初の判断ミスが次のミスを呼び、ユーザーが気づかないうちにプロジェクト全体が破壊される可能性があります。

Antigravity:【タスク指向型(マイクロ指示)】

  • 指示のスタイル: 「この関数の引数を変更して」「ここをリファクタリングして」といった具体的で小さなタスクをその都度与えるのが基本です。
  • AIの行動: ユーザーのカーソル位置や開いているファイルを文脈として、局所的な修正案を提示します。
  • 危険性:
    • 範囲の限定: 指示が具体的であるため、AIが「関係ないフォルダを全削除する」ような突飛な行動に出る確率が構造的に低くなります。

行動許可と「Human-in-the-loop」の違い

最も決定的な違いは、「実行ボタンを誰が押すか」です。

OpenClaw:【事後報告(Full Autonomy)】

  • 許可プロセス: 最初に「実行権限」を渡すと、あとは全自動です。AIがコマンドを発行するたびに、ユーザーに「これ実行していい?」とは聞きません(設定によりますが、基本は自律性が売りです)。
  • ループ構造: 思考 → コマンド決定 → 実行 → 結果確認 → 次の思考 というループを高速で回します。
  • 危険性:
    • 制止不能: rm -rf(削除)コマンドが生成された瞬間、即座に実行されます。ユーザーが画面を見て「あ、待って!」と言ったときには、もう手遅れです。
    • 幻覚(ハルシネーション)の即時実行: AIが「こうすれば直るはず」と誤解した場合、その誤った仮説に基づく破壊的なコマンドがノータイムで実行されます。

Antigravity:【事前承認(Diff Review)】

  • 許可プロセス: AIはコードを書きますが、それをファイルに保存する前に「Diff(差分)」としてユーザーに提示します。ユーザーが「Apply(適用)」や「Accept(承認)」を押して初めて、ファイルが書き換わります。
  • ループ構造: 思考 → 提案(プレビュー) → ユーザー確認 → 実行 です。
  • 危険性:
    • ブレーキが存在: もしAIが「全行削除」を提案しても、ユーザーはプレビュー画面で真っ赤になったコードを見て「Reject(却下)」できます。
    • コマンド実行の制限: 基本的にコード編集が主であり、シェルコマンド(ファイルの移動や削除など)の実行には、より慎重な確認ステップや制限が設けられていることが多いです。

ガードレール(安全装置)の実装レベル

システム内部で、どのような「防波堤」が築かれているかの違いです。

OpenClaw:【プロンプト依存の防御】

  • 仕組み: 「重要なファイルを消さないでください」というシステムプロンプト(言葉)でAIを制御していることが多いです。
  • 脆弱性: LLM(大規模言語モデル)は、確率的に言葉の指示を無視したり、忘れたりすることがあります(プロンプトインジェクションやコンテキストあふれ)。
  • 結果: 言葉による「約束」が破られた瞬間、生身のOSコマンドが実行されてしまいます。

Antigravity:【システム依存の防御】

  • 仕組み: AIの出力以前に、IDEのプログラム自体が危険な操作をブロックするようにハードコードされている可能性が高いです。
  • 堅牢性: 例えば、「プロジェクトルート外のファイルアクセスはOSレベルで禁止」「rm コマンドは特定の確認ダイアログを通さないとAPIが受け付けない」といった、AIの意志に関係ない物理的な制限がかけられています。
  • 結果: AIがどれだけ「消したい!」と叫んでも、システム側が「それは許可されていない操作です」と弾くことができます。

危険性の比較図

比較項目 OpenClaw (自律エージェント) Antigravity (IDE統合型)
指示の出し方 「任せるからやっといて」



(ゴールだけ指示、過程はAI任せ)		 「ここをこうして」



(手順を指示、過程を人間が管理)
実行のタイミング 即時実行



(思考 → 実行までのラグがない)		 確認後実行



(思考 → 人間 → 実行)
ミスの防ぎ方 発生してから気づく (事後) 発生前に止める (事前)
安全装置 AIへの「言い聞かせ」(ソフト) プログラムによる「制限」(ハード)
例えるなら 暴走するかもしれない有能な部下



(目を離すと何をするか分からない)		 指示待ちの正確なオペレーター



(許可するまでボタンを押さない)

まとめ

OpenClawは、AIが私たちの代わりにPCを操作し、自律的にタスクをこなす「次世代のアシスタント」の可能性を明確に示しました。しかし、その圧倒的な利便性の裏には、システムを危険に晒す重大なリスクが潜んでいます。

AIエージェントを導入する際は、その仕組みとリスクを正しく理解し、自分の技術力や用途に見合っているかを慎重に判断することが求められます。