OpenClawは尖っている
(AIをチャットに召喚した)

by
  • OpenClawはWhatsAppリレーツールとして始まり、自分のマシンで動かせる個人AIアシスタントに育ったプロジェクトです。
  • チャットアプリを操作画面にしたまま、メール整理やブラウザ操作などの実作業を任せられる点が支持されました。
  • ただし公式ドキュメント自体が「単一ユーザー向け」と明記しており、技術者以外が使うと危険な場面があります。
  • 強力な道具である分、使い手の理解と責任を強く求める、C言語的な性格のソフトウェアです。

関連記事

1. AIエージェントがGitHubで大人気になった

2026年3月時点で、OpenClaw は GitHub 上で約26.9万スターを集める巨大プロジェクトになっています。
ただ、その受け止められ方はかなり割れています。

OpenClawは尖っている 26.9万 GitHub Stars 評価は二極化 自分専用AI秘書 がついに実用に ! 強すぎる権限 危うい実験 個人ハッカーツールが大衆の前へ OpenClaw — Personal AI Assistant
  • ある人には「自分専用のAI秘書がついに実用になった」道具に見え、
  • 別の人には「強すぎる権限を持った危うい実験」に見える。

このズレは偶然ではなく、OpenClaw の出自そのものから来ていると思います1234

1.1. OpenClawの「未来感」

OpenClawが支持された点は、「AI が本当に仕事をする」感覚です。

自分のマシンや VPS で動かせて、WhatsApp や Telegram など、すでに使っているチャットアプリをそのまま操作口にできます。
しかも単なる会話ではなく、メール整理、予定確認、ブラウザ操作、ファイル更新のような実作業まで任せられる。
この応答性が、強い魅力として受け止められました。

WIRED は 2026年1月時点で、Silicon Valley で急速に広がる存在として取り上げ、MacStories は「個人AIアシスタント観を変えた」とまで評価しました567

1.2. 扱いを誤ると大惨事

一方で、否定的な評判も同じくらい強いです。

OpenClaw そのものの公式セキュリティ文書が、「これは単一の信頼された運用者のための個人アシスタント・モデルであり、敵対的な複数ユーザーが同じゲートウェイを共有する前提ではない」と明記しています。
製品側が最初から「これは普通のマルチユーザー SaaS の安全境界ではない」と宣言しているわけです89

この前提を知らずに「便利なAIをみんなで使えるツール」と思って使うと、大火傷に10
好意的なレビューでさえ、ほぼ共通して「技術者向け」と述べていますHackceleration, “OpenClaw Review 2026”[/efn_note]11
Reuters は中国当局による注意喚起を報じ、The Verge や Tom’s Hardware は悪性 skill の問題を取り上げ、Oasis Security はローカルで動く OpenClaw を外部サイトから乗っ取れる脆弱性を報告しました12

1.3. OpenClaw は「万人向けアプリ」ではない

OpenClaw を見て「なぜ最初から一般ユーザー向けにもっと安全で簡単にしなかったのか」と問うのは、半分は正しいですが、半分は筋違いでもあります。

このプロジェクトは、最初から公共インフラを目指したのではなく、、自分用の道具を拡張していった結果のだからです。
公式の VISION.md も、プロジェクトが “Warelay -> Clawdbot -> Moltbot -> OpenClaw” と進化したと書いています13

OpenClaw は、「個人が自分のために飼う AI」です。
いわば C 言語や Perl のようなプロダクトで、強い力を与える代わりに、使い手の理解と責任を強く要求するということです14

2. 原型は小さな WhatsApp リレーだった

OpenClawの初期コミットをたどると、その原型は現在とはかなり違います。

原型は小さなWhatsAppリレーだった warelay WhatsApp リレーCLI Nov 2025 常駐サービス heartbeat 再接続制御 Nov 26 Clawd誕生 AIエージェント プロアクティブ Nov 27 OpenClaw 多チャネル 多機能化 2026 「チャットを入口にローカル処理を起動する」発想は初期から不変 warelay → Clawdbot → Moltbot → OpenClaw

初期のコミット 16dfc1a (Nov 24, 2025)で登場するのは warelay という名前の TypeScript 製 CLI でした。
README の見出しは “WhatsApp Relay CLI (Twilio)” でした1516
この段階の warelay は、Twilio 経由で WhatsApp にメッセージを送る、受ける、Webhook で処理する、という小さな通信ツールです。

ただし、ここで既に重要な芽があります。
~/.warelay/warelay.json に設定したコマンドを実行して、その出力を返信に使えるようになっていたのです。
ここに「チャットを入口にしてローカルの処理を起動する」発想がありました。
つまり、OpenClaw の原型は、メッセージ受信をトリガーにして外側の処理を動かす橋だったのです17

2.1. 常時応答するAIとのチャットリレー

その後、2025年11月26日のコミット baf20af では、WhatsApp Web 用の処理に heartbeat と再接続制御が加わり、単発の便利CLIから「常時動く小さなサービス」へ一段変わっていきます18

さらに 2025年11月27日の 549ad27 では、README に「自分の pro-active assistant, Clawd(Claude のもじり) を warelay で動かしている」と書かれます19
ここで、単なる WhatsApp 中継ではなく、メッセージから開発者自身のAIエージェントを動かす基盤として使われるようになったわけです2021

さらに、AIエージェントに「24/7 で Mac 上で動く」「専用フォルダに記憶やメモを置く」「Gmail や Google Calendar、Obsidian、GitHub、ブラウザ操作、音声出力などを使う」といった性格が与えられます。
heartbeat でバッテリー、予定、メール、サーバー状態、旅行予定などを見ることが明言され、「heartbeat は check-in ではなく real work のためだ」と説明されます2223

この流れをまとめると、OpenClaw は次の順で育ったことになります。

  1. WhatsApp を入口にした小さな relay ツール
  2. 常駐し続けるための再接続・監視を持ったサービス
  3. 開発者本人のための proactive なAIエージェントのチャットUI
  4. それを一般化し、多チャネル・多端末・多機能に広げた OpenClaw

3. OpenClawのアーキテクチャ(自然言語ファースト)

OpenClaw の面白さは、単に機能が多いことではありません。
構造の考え方に独特さがあります。

アーキテクチャ:自然言語ファースト 入口(チャット) WhatsApp Telegram Discord Slack AIエージェント 常駐・継続動作 作業ディレクトリ =記憶 設定文書群 AGENTS.md SOUL.md TOOLS.md BOOT.md USER.md IDENTITY.md AIの行動設計が ソースコードと運用文書の中間に置かれる チャット画面 → AIエージェント → Markdownで設定

3.1. AIエージェントをチャットの中に住まわせた

現在の README は、OpenClaw を「自分のデバイスで動かす personal AI assistant」と説明し、WhatsApp、Telegram、Slack、Discord など既存のチャット画面をそのまま入口にする、と述べています。

OpenClaw が独自の大きな UI を作るのではなく、すでに人が慣れているDiscordなどのチャットをそのまま操作画面にしているのがポイントです24

チャット欄の中に AIエージェント を住まわせたことで、「個人アシスタント」として自然に日常に溶け込ませることに成功しました。
最初のWhatsApp relay の構造がそのまま発展した結果だとわかります25

3.2. 「設定」をMarkdown文書群として持つ

一般的なアプリなら、AI の人格や権限は設定ファイルやデータベースに閉じ込めます。
しかし OpenClaw は、AI の振る舞いを「人が読める文書」と「作業ディレクトリ全体」で表現しています。

OpenClaw の workspace.ts は、AGENTS.mdSOUL.mdTOOLS.mdIDENTITY.mdUSER.mdHEARTBEAT.mdBOOTSTRAP.md などのファイルを bootstrap 群として扱い、新規ワークスペースではそれらを seed し、必要なら git init まで行います26

しかも、この文書群には専用フォルダを用意し、そこに記憶や手順、自己紹介、利用可能な道具を書くことで、会話のたびにその前提を再利用できる。
プロンプトを毎回 API に投げるだけの応答とは違って、作業ディレクトリを「記憶」として「継続的な運用体」としてAIエージェントが動く仕組みになっているのです27

3.3. 起動手順や定期確認もMarkdown文書

OpenClaw には BOOT.md があり、boot.ts はこれを読み込んで boot check を実行します。

BOOT.md にメッセージ送信が必要なら message tool を使い、問題がなければ SILENT_REPLY_TOKEN だけ返せと指示しています28

これも、面白い設計です。
普通なら起動時チェックは全部コードに埋め込みます。
しかし、OpenClaw はそこを一部、文書で記述できる運用手順にしている。

heartbeat も文書として持てるので、「起動時に何を見るか」「定期的に何を見るか」がコードから少し離れた場所で編集できます。
結果として、AI の行動設計がソースコードと運用文書の中間に置かれているのです。

公式 docs が単一の trust boundary を前提としているのも、レビューの多くが技術者向けだと指摘するのも、初期コミットが開発者自身の WhatsApp relay として始まっているのも、全部この読みを補強しています。2930313233

4. 大規模化と安全性

もちろん、規模が大きくなれば、初期前提のままでは済まない。
安全性や社会的責任が増えるのは当然です343536

OpenClaw は公式にも security audit、threat model、VirusTotal 連携など、安全性の強化を進めています。

4.1. シェルコマンドから専用ツールに置き換えている

初期の warelay ではシェルでの command 実行が中心でした。
それが、強力でそして危険の伴う自由度を提供していました。

そこから OpenClaw は、より大きなシステムになるにつれて、できるだけ明確な操作体系に整理しようとしています37
現在の公式 docs は、OpenClaw が browser、canvas、nodes、cron などの first-class tools を持ち、古い openclaw-* skill 群を置き換えつつあると説明しています。
「typed, no shelling」とも書かれており、「何でもシェルで雑にやる」形から、意味のはっきりした道具に寄せるように移行しているわけです38

OpenClaw は多数のチャネルや拡張を持ちますが、plugin-sdk/acpx.ts には “Narrow plugin-sdk surface” と明記されています。
拡張の数は増やしても、各拡張に見せる面はむやみに広げない方針です39

5. まとめ

OpenClaw は個人用ハッカーツールが、そのままの気質で大衆の前に出てしまったプロジェクトです。
だからこそ魅力も強く、摩擦も大きい。
その両方を認めたうえで受け取るのが、いちばん現実的だと思います。

  1. 2026年3月初旬時点で、OpenClaw は React(約243K スター)を抜き、GitHub 史上で集約系リポジトリを除く一般ソフトウェアとして最多スターのプロジェクトになりました。ゼロから到達するまでわずか4か月未満でした。 – OpenClaw Surpasses React to Become the Most-Starred Software Project on GitHub
  2. GitHub stargazers page, openclaw/openclaw
  3. OpenClaw README
  4. Peter Steinberger, “Introducing OpenClaw”
  5. プロジェクト作者の Peter Steinberger は2026年2月14日にOpenAIへの参加を発表しました。OpenAI CEOのSam Altmanは「次世代のパーソナルエージェントを牽引する」と述べ、OpenClaw はオープンソース財団として独立を維持することになっています。 – OpenClaw creator Peter Steinberger joins OpenAI
  6. WIRED, “Moltbot Is Taking Over Silicon Valley”
  7. MacStories, “OpenClaw Showed Me What the Future of Personal AI Assistants Looks Like”
  8. 「信頼された単一ユーザー」前提が崩れた事例として、2026年2月には MoltMatch(AIエージェント向けのマッチングサービス)を通じた同意問題が報じられました。カリフォルニア在住の学生 Jack Luo は、OpenClaw をアシスタントとして設定したところ、エージェントが自律的に彼のプロフィールを作成し、出会い相手を探し始めていたことを後から知りました。 – AI agent creates dating profile for user without consent
  9. OpenClaw Docs, Security
  10. OpenClaw のメンテナー自身も Discord 上で「コマンドラインの実行を理解できないなら、このプロジェクトは安全に使うには危険すぎる」と警告しています。 – OpenClaw – Wikipedia
  11. Cybernews, “OpenClaw Review 2026: How Does It Work?”
  12. この脆弱性(ClawJacked)は、ブラウザの JavaScript が localhost の WebSocket ゲートウェイに接続できる仕様を悪用するもので、パスワードのブルートフォースにレート制限が適用されていませんでした。OpenClaw チームは高深刻度と分類し、報告から24時間以内にバージョン 2026.2.25 でパッチを公開しています。 – ClawJacked: OpenClaw Vulnerability Enables Full Agent Takeover
  13. OpenClaw VISION.md
  14. Cisco のセキュリティチームはこの性質を「機能面では画期的だが、セキュリティ面では悪夢だ」と評しています。強力さと危うさが同じ設計から来ているという点で、この評価は的を射ています。 – OpenClaw & MoltBot: The First AI Agent Security Nightmare | Astrix Security
  15. Commit f6dd362, Initial commit
  16. Commit 16dfc1a, “Add warelay CLI with Twilio webhook support”
  17. Commit 16dfc1a, “Add warelay CLI with Twilio webhook support”
  18. Commit baf20af, “web: add heartbeat and bounded reconnect tuning”
  19. プロジェクトは当初「Clawd」という名前でしたが、Anthropic から商標に関して見直しを求められ「Moltbot」に改名。その後「Moltbot」が語呂に合わないとして2026年1月30日に「OpenClaw」へ再改名されました。 – Introducing OpenClaw — OpenClaw Blog
  20. Steinberger は後のブログ投稿で「自分の母親でも使えるエージェントを作ること」が次のミッションだと述べており、OpenAI へ参加した動機もここにあると語っています。個人的なツールから出発したプロジェクトが、大衆向けへのスケールという課題に自覚的に向き合い始めた転換点でもあります。 – OpenClaw, OpenAI and the future | Peter Steinberger
  21. Commit 549ad27, README に Clawd が現れる更新
  22. Commit c43cdc5, Clawd の personality と powers を記述した更新
  23. Commit 8d4b31a, heartbeat が実作業をすることを明記した更新
  24. OpenClaw README
  25. このアーキテクチャが生んだ副産物の一つが Moltbook です。2026年1月に Matt Schlicht が立ち上げた Moltbook は、人間ではなく AI エージェントだけが投稿できる SNS で、OpenClaw エージェントたちが自律的に参加・書き込みを行うことで一気に普及しました。これも「チャット面を操作口にする」発想の延長線上にある現象です。 – OpenClaw – Wikipedia
  26. src/agents/workspace.ts
  27. OpenClaw のメモリ設計では memory/YYYY-MM-DD.md に追記形式で日次ログを残し、当日と前日のログがセッション開始時に自動で読み込まれます。長期記憶は MEMORY.md に手動でキュレーションする設計で、ベクトルデータベースは採用していません。 – 210,000 GitHub Stars in 10 Days: What OpenClaw’s Architecture Teaches Us | Medium
  28. src/gateway/boot.ts
  29. OpenClaw Docs, Security
  30. Hackceleration, “OpenClaw Review 2026”
  31. Cybernews, “OpenClaw Review 2026: How Does It Work?”
  32. Commit 16dfc1a, “Add warelay CLI with Twilio webhook support”
  33. Commit 549ad27, README に Clawd が現れる更新
  34. OpenClaw Blog, “OpenClaw Partners with VirusTotal for Skill Security”
  35. OpenClaw CLI docs, Security audit
  36. OpenClaw threat model docs
  37. 「シェルで何でも実行できる」設計の危うさは実際に顕在化しています。2026年1月に ClawHub マーケットプレイスで発生した ClawHavoc キャンペーンでは、正規のスキルに偽装した1,000件超のマルウェアが検出され、macOS 向けの AMOS スティーラーを配布していました。VirusTotal との連携もこの問題を受けた対策の一環です。 – ClawHavoc Poisons OpenClaw’s ClawHub With 1,184 Malicious Skills
  38. OpenClaw Docs, Tools
  39. src/plugin-sdk/acpx.ts