目次
2026年のAIツール界隈で最も話題になっているプロジェクトの一つがOpenClawです。GitHubのスター数は24万を超え、「史上最速で成長したGitHubプロジェクト」とも呼ばれています。
WhatsAppやSlackなどのメッセージアプリからAIに指示を出し、メール返信・ファイル操作・スマートホーム制御まで自動化できるこのツール。しかし、実際に何ができて何が危険なのか、正確に理解している人は意外と少ないのではないでしょうか。
この記事では、OpenClawの基本から仕組み、Claude Codeとの違い、そしてセキュリティ上の注意点まで解説します。
1. OpenClawとは何か
OpenClawは、セルフホスト型のオープンソースAIアシスタントです。自分のマシン上で動作し、大規模言語モデル(LLM)と日常のツール・サービスを接続するプラットフォームとして機能します。
チャットボットとの最大の違いは、OpenClawが実際に「行動」できる点です。ファイルの読み書き、メッセージの送信、Webブラウジング、スクリプトの実行、外部APIの呼び出しなど、ユーザーの指示に基づいてタスクを自律的に実行します。
もともと2026年1月に「Clawdbot」としてリリースされ、72時間でGitHubスター6万を獲得。同年2月に「OpenClaw」にリブランドされ、CLI・Dockerサンドボックス・ClawHub(スキルマーケットプレイス)が導入されました。
ポイント
OpenClawは「AIチャットボット」ではなく「AIエージェント」です。質問に回答するだけでなく、ファイル操作やメッセージ送信など、現実世界で行動を起こせます。AIエージェントの基本概念についてはAIエージェントとは何かで解説しています。
2. なぜここまで話題なのか
OpenClawがここまで急速に広まった理由は、主に3つあります。
① 完全無料・オープンソース
OpenClaw自体にライセンス料はかかりません。必要なのはLLMのAPIキーだけです。Claude、GPT-4、Llama 4、DeepSeekなど、好みのモデルを使えます。
② メッセージアプリから使える
WhatsApp、Slack、Discord、Telegram、Signal、Google Chat、iMessage(BlueBubbles経由)など、50以上のプラットフォームに対応。新しいアプリを覚える必要がなく、普段使っているチャットアプリからAIに指示を出せます。
③ 「自己改善」するエージェント
OpenClawは、ユーザーのタスクに応じて自らコードを書いて新しいスキルを作成できます。たとえば「毎朝ニュースをまとめて」と頼むと、ニュース取得→要約→送信のスキルを自分で作って自動化してくれます。この点が「AGI(汎用人工知能)に近い」と注目されている理由です。
3. OpenClawの主な機能
| 機能カテゴリ | できること |
|---|---|
| メッセージング | WhatsApp・Slack・Discord等からの指示受付・自動返信 |
| ファイル操作 | ローカルファイルの読み書き・整理・検索 |
| Web操作 | Webブラウジング・スクレイピング・フォーム入力 |
| メール | メールの読み取り・返信下書き・自動送信 |
| スケジュール | カレンダー確認・会議のスケジューリング |
| スマートホーム | 照明・エアコン等のIoTデバイス制御 |
| 開発 | シェルコマンド実行・Git操作・CI/CD連携 |
| スキルシステム | 5,700以上のコミュニティ製スキルをインストール可能 |
注目すべきは永続メモリです。ローカルのMarkdownファイルにデータを保存するため、週単位・月単位でユーザーの好みや文脈を保持し続けます。
4. 3層アーキテクチャの仕組み
OpenClawのアーキテクチャは3つの層で構成されています。LLMに「記憶させる」「安全に動かす」といった課題を、プロンプトの工夫ではなく、構造化された実行環境で解決するのが特徴です。
ゲートウェイレイヤー(Gateway Layer)
最も基礎的な層です。AIモデルに対して、ファイルの読み書き、スクリプト実行、ブラウザ制御、APIコールなどの能力をセキュアなサンドボックス内で提供します。すべての操作はローカルのWebSocketゲートウェイを経由します。
エージェントレイヤー(Agent Layer)
永続メモリとユーザー設定を管理する層です。データはローカルのMarkdownファイルとして保存されるため、手動での確認・編集も容易です。スキルシステム(ブラウジング、ファイル管理、アプリ制御など5,700以上)もこの層で動作します。
統合レイヤー(Integration Layer)
AIモデルと50以上のサードパーティサービス(メッセージアプリ、スマートホーム、生産性ツール、音楽プラットフォームなど)を橋渡しする層です。ユーザーはWhatsAppやSlackなど好みのチャネルからOpenClawに指示を出せます。
5. Claude Codeとの違い
OpenClawとClaude Codeはどちらも「AIエージェント」ですが、設計思想が根本的に異なります。
スコープの違い
Claude Codeはソフトウェア開発に特化しています。コードの読み書き、テスト実行、Git操作、デプロイに最適化されており、メールを読んだり会議をスケジュールしたりする機能はありません。
一方、OpenClawは日常生活全般の自動化プラットフォームです。メール返信、スケジュール管理、SNS投稿、スマートホーム制御、ニュースまとめなど、幅広いタスクを処理できます。
モデルの柔軟性
Claude CodeはAnthropicのClaudeモデル専用ですが、OpenClawはClaude・GPT-4・Llama 4・DeepSeekなど、複数のLLMに対応しています。Ollamaを使えばローカルモデルでも動作するため、APIコストを抑えたい場合の選択肢があります。
セキュリティモデル
Claude Codeは、Anthropicが管理するインフラ上で動作し、2層の許可システムで安全性を担保します。OpenClawはセルフホストのため、セキュリティの責任はすべてユーザー側にあります。この違いは後述のセキュリティの節で詳しく説明します。
使い分けのポイント
コーディング中心ならClaude Code、日常タスクの自動化ならOpenClaw。両方使うユーザーも多く、目的に応じた使い分けが現実的です。
6. 料金とAnthropicの方針変更
OpenClaw自体は完全に無料のオープンソースです。ただし、実際に使うにはLLMのAPIキーが必要で、その利用料はモデル提供者(Anthropic、OpenAI等)に支払います。
Anthropicの方針変更(2026年4月)
2026年4月4日、Anthropicは重要な方針変更を発表しました。Claude Code(Pro/Max)のサブスクリプション枠を使ったOpenClawの利用をブロックしたのです。
それまでは、月額$20のClaude Proサブスクリプションで、Claude Code経由でもOpenClaw経由でもClaudeモデルを使えていました。しかし方針変更後は、OpenClawなどのサードパーティ製ハーネスからClaudeを使う場合、APIの従量課金(pay-as-you-go)が必要になりました。
| 利用方法 | 変更前 | 変更後 |
|---|---|---|
| Claude Code(公式) | サブスクに含まれる | 変更なし |
| OpenClaw経由 | サブスクに含まれる | API従量課金が必要 |
この変更の背景には、OpenClawユーザーによるサブスクリプション枠の大量消費があったとされています。Anthropicとしては、定額制のサブスクリプションを想定以上に消費するサードパーティ経由の利用を制限する必要があったと考えられます。
7. セキュリティ上の注意点
OpenClawを使う上で、セキュリティのリスクを正しく理解することは極めて重要です。
報告されている脆弱性
2026年1月、セキュリティ研究者によってCVE-2026-25253(CVSS 8.8)というリモートコード実行(RCE)の脆弱性が発見されました。この脆弱性を通じて、攻撃者がOpenClawが動作するマシンで任意のコードを実行できる可能性がありました。
さらに深刻なのは、4万以上のOpenClawインスタンスがインターネット上に公開されており、そのうち63%が認証なしで外部からアクセス可能な状態だったことです。
悪意あるスキルの問題
セキュリティ企業Bitdefenderの調査により、ClawHub(OpenClawのスキルマーケットプレイス)に登録されているスキルのうち824以上(約20%)が悪意あるものであることが判明しました。主にAMOSインフォスティーラー(情報窃取マルウェア)を配布するスキルが確認されています。
警告:利用時に必ず確認すべきこと
- OpenClawをインターネットに公開しない(ローカルネットワーク内で運用)
- 認証を必ず設定する
- ClawHubのスキルは信頼できるもののみインストール
- Dockerコンテナ内で実行してホストを保護する
- 脆弱性情報を定期的にチェックし、最新版に更新する
8. 向いている人・向いていない人
| タイプ | OpenClawが向いている | Claude Codeが向いている |
|---|---|---|
| 目的 | 日常の雑務を自動化したい | 開発作業を効率化したい |
| 技術力 | サーバー・Docker運用ができる | ターミナル操作ができる |
| 予算 | APIキーの従量課金でOK | 月額定額で使いたい |
| セキュリティ | 自己責任で管理できる | 運営元に任せたい |
| プラットフォーム | WhatsApp等から使いたい | IDE/ターミナルで十分 |
OpenClawは「サーバー運用経験があり、日常タスクの自動化を求めるパワーユーザー」に最適です。一方、開発に集中したい、セキュリティを運営に任せたい場合は、Claude Codeの方が合っています。
なお、両方を併用するユーザーも増えています。「開発はClaude Code、それ以外はOpenClaw」という使い分けは合理的な選択です。
FAQ
OpenClawは無料ですか?
OpenClaw自体は完全に無料のオープンソースソフトウェアです。ただし、AIモデルを動かすためのAPIキーが必要で、その利用料は各モデル提供者(Anthropic、OpenAIなど)に従量課金で支払います。Ollamaを使ったローカルモデルであれば、APIコストもゼロにできます。
OpenClawでClaudeモデルを使えますか?
はい、AnthropicのAPIキーを設定すれば使えます。ただし、2026年4月以降、Claude Pro/Maxのサブスクリプション枠でOpenClawを使うことはできなくなりました。API従量課金(pay-as-you-go)での利用が必要です。
OpenClawは安全ですか?
セルフホスト型のため、セキュリティはユーザーの設定と運用に依存します。過去にリモートコード実行の脆弱性(CVE-2026-25253)が発見されたほか、ClawHubのスキルの約20%が悪意あるものだったという報告もあります。Dockerコンテナ内での実行、認証の設定、信頼できるスキルのみのインストールなど、基本的なセキュリティ対策は必須です。
OpenClawとClaude Codeは何が違いますか?
最大の違いは用途です。Claude Codeはソフトウェア開発に特化したAIエージェントで、コードの読み書き・テスト・デプロイに最適化されています。OpenClawは日常生活全般の自動化プラットフォームで、メール・スケジュール・スマートホーム・SNSなど幅広いタスクに対応します。セキュリティ面では、Claude CodeはAnthropicが管理し、OpenClawはユーザーの自己責任です。
