2026年1月29日、あるオープンソースプロジェクトが「OpenClaw」へと名称を変更しました。そこからわずか1週間で200万人が訪れ、GitHubのスター数は瞬く間に10万を突破。最初は単なるチャットボットの亜種だろうと高をくくっていましたが、実はTelegramやSlackから自分のPCのシェルコマンドやファイル操作を直接実行できる、常駐型のAIエージェント基盤だったのです。→過去の「柳谷智宣のAIトレンドインサイト」の回はこちらを参照。

今回はOpenClawについて解説し、実際にVPS(仮想プライベートサーバ)環境でタスクを自動化するところまでを紹介します。

  • 柳谷智宣のAIトレンドインサイト 第26回

    AIが手を動かしてタスクを完了させてくれるようになりました

OpenClaw、Slackから自宅のMacを直接操る常駐型AIエージェントの衝撃

開発者のPeter Steinberger氏が2025年11月に週末プロジェクトとして始めたこのツールは、当初「Clawdbot」や「Moltbot」と名乗っていました。それが商標の問題でOpenClawとしてリブランドされると、いきなり注目を集め始めました。

OpenClawは文章生成にとどまらず、「手足」を持っているのが特徴です。そして、PCの電源さえ入れていれば、自律型の万能AI秘書を自分のインフラで24時間稼働させることができます。

例えば、Telegramなどのチャットアプリからの遠隔操作で、どこにいても自宅PCやサーバを操れます。ローカルファイルの読み書きや整理、シェルコマンド実行、自律的なソフトウェアのインストールや自己修復など、OSへのアクセスも可能です。

さらにブラウザの自動操作によるフライト予約、受信トレイの整理、カレンダー管理も実現。開発面では、Claude Codeなどと連携したコード生成、自動テスト実行、GitHubでのPR作成、APIのコスト監視までお手のものです。

加えて、スケジュールを作成すれば、毎朝のタスク通知やニュース要約、画像・ドキュメントの解析、複数AIエージェントの並列実行による複雑なシステム構築まで、何でもできるのです。指示を待つだけでなく、自発的にエラーを検知してスマホへ報告してくるなど、プロアクティブ(能動的)な自動化環境が手に入ります。

しかし、便利さとセキュリティリスクは常にトレードオフの関係にあります。OpenClawはあまりに便利すぎる実行権限を持っているため、あっという間に攻撃者の格好の的となりました。

誰もがAIエージェントの力を手にした結果、ルータのポートを開け放しにする初心者が続出しました。Censysの調査によると、2026年1月31日の時点で、ローカルでの利用が前提のはずのGatewayがインターネット上に直接露出しているケースが2万1639件も確認されたといいます。

この脆弱性を狙った悪意のあるサイトを1回クリックしただけでGatewayのトークンが流出し、端末の操作権限を完全に奪われるという恐ろしいサイバー攻撃が多発したのです。一度権限を得てしまえば、Slackのプライベートメッセージの覗き見から、APIキーの持ち出しまで、やりたい放題できます。

拡張機能を提供する「ClawHub」も無事では済みませんでした。Koi SecurityやVirusTotalの報告によれば、2月上旬の段階で3000件以上のスキルが解析され、そのうち数百件が悪意のあるマルウェアを含んでいました。暗号資産の自動取引ツールなどを装い、環境変数から秘密鍵をかすめ取ろうとする「ClawHavoc」と呼ばれるキャンペーンです。

3月にはHuntressから、GitHub上に偽の「OpenClaw Windows版」リポジトリが作られ、情報窃取マルウェアが配布されていたという報告も上がっています。AIに自分のPCの全権を委ねるという行為が、いかにリスキーなことであるかがわかります。

脆弱性発覚から24時間での修正パッチに見る強靭な自浄作用

OpenClawの歴史に幕が下りるかと思いきや、コミュニティと開発陣は迅速に対応しました。重大な脆弱性の報告を受けた後、わずか24時間で修正版をリリースし、URLの確認モーダルを追加するなどの緊急対応を完了させました。

さらに2月7日には、問題の温床となっていたClawHub上のスキルをVirusTotalで毎日自動スキャンし、悪性と判定されたものをブロックする公式施策まで導入しています。開発者のSteinberger氏はその後OpenAIへの参画を表明し、プロジェクトを独立した財団へと移管する方針を明らかにしました。特定の企業に依存せず、巨大なコミュニティの目でコードを監視し、修正していくという自浄作用がユーザー離れを抑えました。

とはいえ、今でも公式ドキュメントには「スキャンですべてを防げるわけではない」と記載しています。プロンプトインジェクションやメモリ汚染といったAI特有の課題は、現在の技術では完全に防ぎ切れないからです。

Microsoftのセキュリティチームが指摘するように、OpenClawは「永続的な資格情報を持つ特権インフラ」として扱う必要があります。Gatewayは絶対に外に晒さないという泥臭い防衛策を徹底できるかどうかが、ツールを安全に運用できるかどうかの分かれ目となります。

環境を分ける方法としては、主に3つのアプローチがあります。1つ目は、使わなくなった古いPCを「OpenClaw専用機」として自宅で稼働させる方法です。物理的に分離できますが、ハードウェアの管理や電気代、家庭内ネットワークの設定がネックになります。

2つ目は、普段使っているPCの中に仮想マシン(VM)やDockerコンテナを構築する方法です。手軽に始められますが、ホストマシンのリソースを消費してしまい、設定ミスによるコンテナからの情報漏洩リスクもゼロではありません。

そして3つ目が、クラウド上のVPSを利用する方法です。自身のメイン環境から物理的にもネットワーク的にも完全に分離されたサーバをレンタルし、万が一マルウェアなどで環境が汚染されても、すぐに初期化して作り直せるのが最大のメリットです。今回は、このVPSを使った構築方法をご紹介します。

ConoHa VPSの「スタートアップスクリプト」で一撃構築

今回利用するサービスは、国内向けVPSとして人気の高い「ConoHa VPS」です。ConoHa VPSは、OpenClawの「スタートアップスクリプト(アプリケーションテンプレート)」を標準で提供しており、導入が簡単です。

OpenClawはメモリ2GBあれば動作しますが、いろいろと使い倒すなら4GB搭載しておくとよいでしょう。まずは時間課金で試してみて、24時間作業させたくなったら、月額契約に移行することをおすすめします。その際は、契約期間が長いほど割安になります。

  • 柳谷智宣のAIトレンドインサイト 第26回

    OSは「Ubuntu 24.04 LTS」、メモリは4GBを選択しました

OSは「Ubuntu 24.04 LTS」を選び、サーバの名前やパスワードを設定します。続けて「オプションを見る」をクリックしてオプションを開き、スタートアップスクリプトの「テンプレート」一覧から「OpenClaw」を選びます。自分のPCから接続するなら、セキュリティグループのメニューで「IPv4v6-SSH」を選んでおきましょう。

  • 柳谷智宣のAIトレンドインサイト 第26回

    「オプションを見る」からスタートアップスクリプトメニューを開き、「OpenClaw」を選びます

サーバの準備ができたら、割り振られたIPアドレスを利用して、ターミナルから接続します。Windows 11であれば「PowerShell」を使えばよいでしょう。

非エンジニアにとっては恐怖さえ感じる黒い画面ですが、最初の設定だけがんばりましょう。最終的には、チャットで操作できるようになります。

ConoHaのマニュアルを見ながらステップバイステップで進めていけばOKです。コマンドをコピペして、ターミナルに入力していきます。

OpenClawの初期設定もマニュアル通りでOKです。ポイントは、利用する生成AIのAPIキーを登録するところと、指示を出すためにチャットのBotトークンを登録するところです。

利用するAPIキーは、OpenAIやGemini、Claudeのウェブサイトから入手しておきましょう。クレジットカードの登録が必要になります。利用するAIモデルは自由に選べますが、コストの安いFlashモデルがおすすめです。

今回、利用するチャットサービスはTelegramにしました。こちらもマニュアル通りに新しいBotを作成し、Botトークンを入手します。こちらは利用料金はかかりません。

  • 柳谷智宣のAIトレンドインサイト 第26回

    OpenClawの初期設定で、利用する生成AIやチャットサービスのAPIキーなどを登録します

Web検索プロバイダーやスキルの設定は「Skip for now」で飛ばします。必要に応じて後で設定することも可能です。セットアップが完了したらOpenClawを起動し、Telegramで作成したBotに「/start」と入力してみましょう。ペアリングコードが表示されるので、SSH接続しているターミナルで連携させれば完了です。

  • 柳谷智宣のAIトレンドインサイト 第26回

    設定が完了したら、OpenClawを起動します

TelegramでOpenClawに何か話しかけてみましょう。まずは、OpenClawやユーザーの名前や性格を聞いてきます。今後は、このチャットでさまざまな指示を出します。

  • 柳谷智宣のAIトレンドインサイト 第26回

    TelegramでOpenClawに指示を出せるようになりました

例えば、ブログの自動投稿システムを構築してみましょう。WordPressのURLやユーザー名、アプリパスワードを教えて、毎朝10時にテーマに合った情報を検索し、記事を執筆し、投稿までするようにお願いします。この際、WordPressのメインログインパスワードを教えるのはリスキーなので、「アプリケーションパスワード」を利用してください。

  • 柳谷智宣のAIトレンドインサイト 第26回

    指定時刻に指定のテーマでブログ記事を自動投稿してくれました

設定したPCの電源を落としていても、指定時刻になれば、VPS上のOpenClawが自動でタスクを遂行してくれるのは感動ものです。もちろん、人間の目で確認するために下書きで止めておくといったことも可能です。

試しに、他のタスクも作成してみましょう。毎朝、前日に公開された生成AIに関する論文を検索し、ビジネスパーソンが興味を持ちそうなネタを探す、というものです。実際に筆者が行っているルーチンですが、これもお願いしてみました。

  • 柳谷智宣のAIトレンドインサイト 第26回

    やってほしいタスクを文章で指示するだけでOKです

ファイルの読み書きもできるので、ここではCSVに出力させるようにしました。さらに、データベースとして活用できるように、毎日同じファイルに追記させるよう指示します。 こちらも、問題なく動作し、CSVファイルを送信してきました。当初、英語になっていましたが、日本語にするよう指示するだけでOKです。OpenClawは指示を覚えておく仕組みを持っているので、今後はずっと日本語で作成してくれます。

  • 柳谷智宣のAIトレンドインサイト 第26回

    毎朝、更新されたCSVが送られてきます

ChatGPTやGeminiのチャットUIでも、ブログの原稿執筆や論文を検索させることは可能です。しかし、何もせずとも自動で動作し、別サービスであるWordPressに投稿したり、実ファイルへ追記したりしてくれるのが、AIエージェントのすごいところなのです。

確かに、1回につき5分、10分の時短にしかならないかもしれませんが、10個20個のAIエージェントを動作させることで、桁違いの業務効率化を実現できるのです。

OpenClawは、まだセキュリティ面でデメリットがあるのでメインPCで動作するのは避けた方がよいですが、それでも今のうちから触っておきたいところです。なるべく早くAIエージェントを利用する経験を積み、スキルを高めておくと将来に役立ちます。そもそも、現時点でもとても便利に活用できることも多いので、まずは触ってみてはいかがでしょうか。

柳谷智宣

柳谷智宣

やなぎや とものり

1972年12月生まれ。1998年からITライターとして活動しており、ガジェットからエンタープライズ向けのプロダクトまで幅広い領域で執筆する。近年は、メタバース、AI領域を追いかけていたが、2022年末からは生成AIに夢中になっている。 他に、2018年からNPO法人デジタルリテラシー向上機構(DLIS)を設立し、ネット詐欺の被害をなくすために活動中。また、お酒が趣味で2012年に原価BARを共同創業。

この著者の記事一覧はこちら