GitHub で急拡大した AI エージェント「OpenClaw」とは?そしてセキュリティ上まず気を付けたいこと
こんにちは、ゼノクリース合同会社の齋藤です。このコラム記事では、最新の Web セキュリティに関する内容を紹介し、企業のサイトや運用環境を守るための考え方と実践方法をご紹介します。
今回は OpenClaw の概要と、セキュリティ上まず気を付けておきたいことについて解説します。
この記事の著者
ゼノクリース合同会社 代表(Web)
斎藤 智樹
X:@TomokiSaito0920
スタンディングテックのWEB開発コース主任講師を務める。
OpenClaw とは何か
もし AI が、自分が寝ている間も社内チャットやメール、カレンダー、ファイルに触れてタスクを遂行してくれるようになっていたら、ということを想像してみてください。
それが、最近急速に広がっている OpenClaw です。OpenClaw は自分の端末で動かす個人向けの AI アシスタントで、2026 年 3 月初頭の時点では GitHub で約 26.5 万スターに達しています。
OpenClaw の GitHub リポジトリ – https://github.com/openclaw/openclaw
OpenClaw は、「質問に答える AI」ではなく、「人間の代わりに常時稼働する AI」です。GitHub リポジトリの README でも、自分のデバイス上で動く personal AI assistant と説明されており、Slack や Discord など、普段使っているチャネルから話しかけることができます。
OpenClaw を動かし続ける Heartbeat
OpenClaw を普通のチャットボットと分ける大きなポイントが Heartbeat です。
これは、一定間隔でエージェントを起こして見回らせる定期実行に近い仕組みです。公式ドキュメントでは、通常は 30 分ごと、一部の構成では 1 時間ごとに Heartbeat が走ります。
Heartbeat が来ると、OpenClaw は HEARTBEAT.md があればその内容を読み、必要な作業を 1 回のやり取りぶんとしてまとめて処理します。例えば、「緊急メールを確認する」「次の 2 時間の予定を見る」「バックグラウンド作業が終わっていたら要約する」といったチェックリストを置く想定です。何もなければ HEARTBEAT_OK を返します。
この機能によって、OpenClaw は「ユーザーが話しかけたときだけ動く AI」ではなく、「放っておいても定期的にチャット、予定、通知、タスクを見にいける AI」として動作します。ここが、普通のチャット AI よりも便利な点であり、扱いが難しい点でもあります。
OpenClawで、セキュリティ上まず気を付けておきたい4つのチェックポイント
OpenClaw をフル権限で自分の普段使っている PC で動かすと、自分が寝ている間にも AI が自動で作業をしてくれるため、非常に強力です。これは夢のある話ではあるのですが、リスクが大きいため推奨しません。
OpenClaw を動かす前に、まずは以下のことを確認しておきましょう。
チェックポイント1) 何につながっているかをきちんと確認する
公式の FAQ でも、~/.openclaw 以下には config、資格情報、auth profile、会話履歴などの機微情報が入る前提になっています。
どのチャットと繋がっているか、メールやカレンダーに触れられるか、保存領域の権限は適切か、外部公開していないかを確認します。
外部公開していないかというのは、Discord や Slack 経由で、他の人が自分の PC に繋がっている OpenClaw を使えるようになっていないかということです。
チェックポイント2)Heartbeat を理解しないまま、広い権限を渡さない
Heartbeat が有効だと、OpenClaw は定期的に自分で動きます。しかも 1 回 1 回が通常のやり取りと同じような本番の処理です。便利だからといって、最初からメール、カレンダー、ファイル、実行系ツールまで全部つなぐと、事故が起きたときの影響も一気に大きくなります。
慣れるまでは別の PC など、自分が普段使っているアカウントに物理的に入れないような環境で動かしてみると良いでしょう。
チェックポイント3)「個人の便利ツール」を、そのまま他の人が使えるようにしない
先ほどの話とも繋がっていますが、OpenClaw のドキュメントでは 1 ユーザー 1 Gateway、できれば 1 ユーザー 1 ホスト / 1 OS ユーザーに近い分離が推奨されています。
共有利用をするなら信頼範囲ごとに Gateway を分ける、外部公開を避ける、使ってよいスキルだけを許可する方式で運用する、openclaw security audit を回す、といったことまで考えなければなりません。さらに慣れてから行うのが良いでしょう。
チェックポイント4)公開スキルをそのまま信用しない
OpenClaw の機能を拡張するには「スキル」と呼ばれるプラグインを追加します。スキルは SKILL.md というマークダウンファイルを中心に構成されており、公開マーケットプレイスの ClawHub から誰でもインストールできます。
npm や pip のようなエコシステムを想像すると分かりやすいです。また、Claude などの Agent Skills に近いです。
便利な仕組みですが、ここが現在かなり攻撃に使われている面でもあります。
有名なパスワード管理ツールである 1Password のブログで、面白い表現がありました。
「マークダウンファイルが危険だとは誰も思わない」という心理が悪用されているということです。
npm や pip のサプライチェーン攻撃と構造的には同じですが、AI エージェントのスキルの場合はコードだけでなくドキュメント自体が実行可能な指示になり得るという点で、より見抜きにくい側面があります。
対策として、インストール前にスキルのソースを読むことは心がけると良いでしょう。特に外部 URL へのアクセスやシェルコマンドの実行を含むものは要注意です。人気やダウンロード数だけが信頼の根拠ではありません。
まとめ
今回は OpenClaw の概要と、使い始める前に気を付けておきたいセキュリティ上のポイントを紹介しました。
次回は実際に OpenClaw を使った時の様子を紹介したいと思います!
最新コラム、最新ニュース、おすすめセミナー等を毎月配信する公式メルマガ
「月刊KUSANAGI」の配信購読はこちら。
WordPress, KUSANAGI, Webに関する最新情報などをお見逃さずに。
【この記事の著者】
ゼノクリース合同会社 代表(Web)
齋藤智樹
在学中から高校や予備校、IT 企業に携わり、講師とソフトウェアエンジニアとして活動。
大学卒業後 (2020年4月〜) はフリーランスエンジニアとして活動を始め、以下のような幅広い業務を行う。2021年3月に、業務を拡大させるためにゼノクリース合同会社を設立。スタディングテックの WEB 開発コース主任講師も務める。
GMOプライム・ストラテジーでは、Web担当者様、IT担当者様などの
お役立ち資料やYouTube動画を公開しています。ご興味ある方はぜひご覧ください。
