1. 天秤AI by GMO
  2. 天秤AI メディア
  3. 生成AI
  4. OpenClawとは?メッセージアプリにAIを接続するOSS——便利さの裏にあるリスクも解説

生成AI

OpenClawとは?メッセージアプリにAIを接続するOSS——便利さの裏にあるリスクも解説

-

-

OpenClawとは?メッセージアプリにAIを接続するOSS——便利さの裏にあるリスクも解説
目次

[]

  1. 「あのアプリにもAIがほしい」を実現するプラットフォーム
  2. 10以上のチャンネルに同時接続する「Gateway」の仕組み
  3. コーディングエージェント内蔵で「ただのチャットボット」ではない
  4. 50種類以上のスキルで「できること」が広がる
  5. セキュリティ——便利さの裏に潜むリスク
  6. 報告されている脆弱性
  7. ClawHubの悪意あるスキル
  8. セットアップとセキュリティ設定
  9. 基本のインストール
  10. 必ず行うべきセキュリティ設定
  11. 利用上の注意
  12. LLMの認証は「APIキー」を使ってください
  13. バージョンは必ず最新に
  14. ClawHubのスキルは慎重に
  15. まとめ

【著者プロフィール】

佐藤傑(さとう・すぐる)

株式会社Uravation代表取締役。早稲田大学法学部在学中に生成AIの可能性に魅了され、X(旧Twitter)で活用法を発信(@SuguruKun_ai、フォロワー6万人超)。「生成AIガチ勢」として企業向け研修や開発支援を展開。OpenClawをVPS上で運用し、SlackとLINE経由で毎日AIを活用中。



📌 この記事の要点

  • OpenClawは、WhatsApp・Slack・LINE・Discordなど10以上のメッセージアプリにAIアシスタントを接続できるオープンソースプラットフォームです
  • コーディング支援や情報検索まで、チャット越しにAIに依頼できる強力なツールですが、セキュリティ面では重大な脆弱性が報告されています
  • Claude ProやChatGPT PlusのサブスクリプションをBOT経由で使うと、利用規約違反でアカウント停止のリスクがあります。LLMの利用にはAPIキー(従量課金)を推奨します
  • 導入時にはDockerサンドボックスやアクセス制御の設定が不可欠です。デフォルト設定のまま使うのは危険です

「あのアプリにもAIがほしい」を実現するプラットフォーム

仕事ではSlack、家族とはLINE、海外の友人とはWhatsApp——日常的に複数のメッセージアプリを使い分けている方は多いのではないでしょうか。

「このアプリの中でAIに質問できたら便利なのに」。OpenClawは、そんな理想を実現するオープンソースプラットフォームです。2025年11月にオーストリアのPeter Steinberger氏が公開し、2026年初頭にはGitHubスター数180,000超・週間訪問者200万人超に急成長しました。

公式サイト: https://openclaw.ai

10以上のチャンネルに同時接続する「Gateway」の仕組み

OpenClawの中核にあるのが、Gatewayと呼ばれるアーキテクチャです。メッセージアプリとAIエージェントの間に立つ「交通整理役」で、仕組みは次の通りです。

  • ユーザーがWhatsAppで「明日の東京の天気を教えて」と送信
  • GatewayがメッセージをAIエージェントに転送
  • AIが生成した回答をGateway経由でWhatsAppに返す

この処理がすべて自分のマシン上で完結するのが特徴です。

標準でWhatsApp、Telegram、Discord、Slack、Google Chat、Signal、iMessage、WebChatなど20以上のチャンネルに対応しており、プラグインを追加すればLINE、Microsoft Teamsなどさらに拡張できます。


OpenClawのGatewayアーキテクチャの概念図

OpenClawのGatewayアーキテクチャ

コーディングエージェント内蔵で「ただのチャットボット」ではない

OpenClawが注目される理由のひとつが、Pi Agentというコーディングエージェントの統合です。テキスト会話だけでなく、ファイルの読み書き、コードの生成・実行、Webブラウジング、画像認識といった高度なタスクに対応しています。

メッセージアプリ越しに「このPythonスクリプトのバグを直して」「昨日のミーティングのメモをまとめて」といった依頼も可能です。

対応LLMはAnthropic Claude(Opus / Sonnet)、OpenAI GPT、Google Gemini、AWS Bedrockなど。利用には各プロバイダーのAPIキーを設定します(認証方式の注意点は後述の「利用上の注意」を参照してください)。

50種類以上のスキルで「できること」が広がる

OpenClawには50種類以上のスキル(プラグイン)が同梱されています。

  • apple-reminders — リマインダーと連携したToDoの管理
  • github — GitHubのIssueやPRをメッセージから操作
  • notion / obsidian — ナレッジベースとの連携
  • weather — 天気予報の取得
  • camsnap — カメラ撮影とAIによる画像分析

ClawHub(https://clawhub.com)というレジストリから追加スキルをインストールすることもできます。ただし、ClawHubのスキルには悪意あるものが混入しているケースが確認されています(後述)。信頼できるスキルかどうかを確認してからインストールしてください。


OpenClawのスキル一覧画面

OpenClawのスキル一覧

セキュリティ——便利さの裏に潜むリスク

OpenClawはセルフホスティング方式で、すべてのメッセージ処理は自分のデバイス上で行われます。クラウドにデータを預けずに済むのは魅力ですが、その反面、セキュリティの責任もすべて自分にあります


セキュリティリスクを示すイメージ図

セルフホスティングのセキュリティリスク

報告されている脆弱性

2026年初頭、OpenClawの急速な普及とともに、深刻なセキュリティ問題が相次いで報告されました。

  • 1クリックRCE(CVE-2026-25253、CVSS 8.8): 攻撃者が用意したリンクをクリックするだけで、ゲートウェイトークンが流出し、遠隔からコードを実行される脆弱性。v2026.1.29で修正済み
  • ClawJacked攻撃: OpenClawがデフォルトで公開するWebSocketインターフェースを、悪意あるWebサイトから乗っ取られる脆弱性。v2026.2.25で修正済み
  • 公開インスタンスの大量露出: 設定ミスにより認証なしで外部公開された結果、セキュリティ調査機関により約13万台のOpenClawインスタンスがインターネット上に露出していることが確認されました

ClawHubの悪意あるスキル

スキル配布マーケットのClawHubでは、セキュリティ企業の調査により多数の悪意あるスキルが確認されています。これらはマルウェア(Atomic macOS Stealer等)を配布するもので、インストールするとクレデンシャルや暗号資産ウォレット情報が窃取される危険があります。

スキルをインストールする際は、作成者の信頼性やコミュニティの評価を十分に確認してください。

セットアップとセキュリティ設定

OpenClawを使うなら、セキュリティ設定を正しく行うことが前提です。「動けばOK」ではなく、以下の手順に沿って導入してください。

基本のインストール

# 1. インストール
npm install -g openclaw@latest
# 2. 初期設定ウィザード
openclaw onboard --install-daemon
# 3. メッセージアプリにログイン(例: WhatsApp)
openclaw channels login

必ず行うべきセキュリティ設定

設定ファイル(~/.openclaw/openclaw.json)を編集し、以下を設定します。

1. Dockerサンドボックスの有効化

OpenClawはコードの生成・実行機能を持つため、サンドボックスを有効にしないとAIが生成したコードがホストマシンに直接影響を与える可能性があります。デフォルトではサンドボックスは無効("off")のため、明示的に有効化が必要です。

{
  "agents": {
    "defaults": {
      "sandbox": {
        "mode": "non-main",
        "scope": "session"
      }
    }
  }
}

Dockerがインストールされていることが前提です。まだの場合はDocker公式サイトからインストールしてください。

2. ゲートウェイのバインドアドレスを制限

ゲートウェイのデフォルトはlocalhostですが、設定変更やDocker環境で0.0.0.0にバインドしてしまい、インターネットから直接アクセスされる事例が多数報告されています。明示的にloopbackを指定し、認証トークンを設定することを推奨します。

{
  "gateway": {
    "bind": "loopback",
    "auth": {
      "mode": "token",
      "token": "ここに十分な長さのランダム文字列を設定"
    }
  }
}

3. ペアリング認証の確認

未知の送信者からのDMにペアリングコードを要求する仕組みが有効になっているか確認してください。無効のまま運用すると、第三者があなたのAIアシスタントに指示を送れてしまいます。

{
  "channels": {
    "whatsapp": {
      "dmPolicy": "pairing"
    }
  }
}

設定後、openclaw security audit --deep を実行すると、設定の安全性を自動チェックできます。

利用上の注意

LLMの認証は「APIキー」を使ってください

OpenClawはOAuth認証(ブラウザログイン方式)にも対応していますが、Claude ProやChatGPT PlusなどのサブスクリプションをBOT経由で利用する行為は、各社の利用規約に違反します

実際に、2026年1〜2月にかけて大規模なアカウント停止が発生しました。

  • Anthropic(Claude): Consumer Terms of Serviceの第3条で、APIキー以外の自動アクセスを明確に禁止。OpenClawやOpenCode経由でClaude Pro/Maxを使ったユーザーのアカウントが一斉に停止されました
  • Google(Gemini): OpenClaw経由でAI Ultraプランを使ったユーザーのGoogleアカウント全体(Gmail・YouTube・Drive・Photos含む)が永久停止される事態が発生。返金・事前警告なしでした

LLMを接続する際は、Anthropic APIOpenAI APIから取得したAPIキー(従量課金)を使用してください。サブスクリプションのOAuth認証を第三者ツールで使い回すことは避けるべきです。

バージョンは必ず最新に

前述の通り、OpenClawではセキュリティ修正が頻繁にリリースされています。少なくともv2026.2.25以降を使用してください。npm update -g openclaw で更新できます。

ClawHubのスキルは慎重に

スキルマーケットのClawHubでは悪意あるスキルの混入が確認されています。スキルをインストールする際は、作成者・スター数・最終更新日を確認し、不明なスキルは避けてください。

まとめ

OpenClawは、AIアシスタントをいつものメッセージアプリに統合するという魅力的なビジョンを持つプラットフォームです。10以上のチャンネルへの同時接続、コーディングエージェントの内蔵、50種類以上のスキルなど、機能面では非常に強力です。

一方で、2026年初頭には重大な脆弱性が相次いで報告され、大手企業が使用を禁止するなど、セキュリティ面での課題が浮き彫りになりました。

使いこなせれば非常に便利なツールですが、導入する際はDockerサンドボックスの有効化、ゲートウェイのアクセス制限、LLMのAPIキー利用など、セキュリティ設定を正しく行うことが前提条件です。「動けばOK」ではなく、安全に動かす意識を持って利用しましょう。

この記事を共有:
  • facebook
  • line
  • twitter
天秤AI by GMOイメージ

最新のAIが勢ぞろい! 天秤AI by GMOなら、最大6つのAIを同時に試せる!

無料天秤AI by GMOを試す