OpenClawは2025年11月に公開されたオープンソースのAIエージェントツールで、わずか60日でGitHub 25万スターを獲得し、月間アクティブユーザーは2,600万人を超えました。ローカルで動き、ファイル操作・シェル実行・ブラウザ操作・メッセージ送信までを自律的に行う、いわば「何でもできるAIアシスタント」です。

しかし「何でもできる」は「何でもしでかす可能性がある」と同義です。2026年に入ってからセキュリティ上の問題が次々と明らかになり、監査で512件の脆弱性が見つかっています。

私はClaude Codeでセキュリティ運用（permissions設計・Hooks・MCP管理）を実務で行っており、その知見はOpenClawの安全な運用にも直接転用できます。この記事では、OpenClawの概要とリスク、そしてビジネスで安全に使うための具体的な対策を解説します。

OpenClawの概要と急成長の背景

OpenClawはオーストリア人開発者Peter Steinberger氏が開発し、当初「Clawdbot」の名前で公開されました。2026年1月に「OpenClaw」に改名し、同年2月にSteinberger氏がOpenAIに入社。プロジェクトは独立財団に移管されています。

急成長の理由は明確です。無料・オープンソースで、LLMを実際のソフトウェアに接続できるからです。WhatsApp・Telegram・Slack・Discord・iMessageなど主要メッセージアプリと連携し、100以上の組み込みスキルを備えています。

GitHub 25万スター超、月間2,600万ユーザー。この規模のプロジェクトがセキュリティ問題を抱えている事実は、ビジネスで利用を検討する方にとって無視できません。

明らかになったセキュリティリスク

512件の脆弱性と9件のCVE

2026年1月に実施されたセキュリティ監査では、512件の脆弱性が発見され、うち8件がCriticalに分類されました。

特に深刻なのが以下の脆弱性です。

• CVE-2026-25253（ClawBleed）：CVSS 8.8。悪意あるリンク1つでリモートコード実行が可能。公開時点で40,000以上のインスタンスが脆弱な状態で露出していた
• CVE-2026-32922：CVSS 9.9。トークンのスコープ制限をバイパスし、管理者権限を奪取できる
• CVE-2026-29607 / CVE-2026-28460：コマンド承認システムをバイパスする脆弱性。同日公開

2026年3月18〜21日の4日間だけで9件のCVEが一斉に公開されるという異例の事態も発生しています。

サプライチェーンの問題

OpenClawのスキルマーケットプレイス「ClawHub」にも問題があります。セキュリティ研究者の調査によると、10,700のスキルのうち820以上が悪意のあるスキルだと報告されています。数週間前の324件から急増しており、対策が追いついていない状況です。

Claude Codeのセキュリティ知見が転用できる理由

私はClaude Codeを業務で使う中で、以下のセキュリティ運用を実践してきました。

• プロジェクト単位のpermissions設計：案件の機密性に応じてallow/denyを調整
• Hooksによる品質・セキュリティチェックの自動化：成果物生成時に事前定義したチェックリストと照合
• MCP接続の必要性判断：「本当に必要か」「水際でのセキュリティ対策が取れるか」を基準に接続を管理。不要なMCPは外す

これらの知見は、OpenClawの安全な運用設計にそのまま活かせます。AIエージェントのセキュリティは、「できることを制限して安全に使う」設計が核心です。

実際に起きたインシデントから学んだこと

Claude Codeで実際に経験したインシデントがあります。クライアントのWebサイト制作中、完成前なのでrobots.txtで検索エンジンからのインデックスを禁止していたところ、AIが勝手にインデックスを許可する状態に変更してプッシュしてしまったのです。

この経験から、AIエージェントに「何をさせないか」を明確に定義するpermissions設計の重要性を痛感しました。OpenClawでも同じ原則が適用されます。

OpenClawを安全に使うための5つの対策

1. 実行範囲を最小限に制限する

OpenClawはデフォルトで広範な権限を持ちます。ファイルアクセス・ネットワーク・シェル実行の許可範囲を必要最小限に設定してください。NVIDIAが提供する「MoClaw」のように、できることを制限したラッパーの活用も有効です。

2. ClawHubのスキルを精査する

820以上の悪意あるスキルが報告されています。公式または信頼できる開発者のスキルのみを使用し、不明なスキルはインストールしないことが鉄則です。Claude CodeのMCP管理と同じ発想で「本当に必要か」を判断してください。

3. バージョンを常に最新に保つ

2026年3月だけで9件のCVEが修正されました。自動アップデートを有効にし、パッチ適用を怠らないことが基本です。

4. ネットワークを分離する

重要データがあるネットワークとは分離し、サンドボックス環境で動作させることを推奨します。外部通信の監視も併せて行いましょう。

5. 操作ログを記録・監査する

OpenClawが実行した全操作のログを保存し、定期的に監査してください。想定外の操作がないか確認する仕組みが必要です。

ビジネスでの導入判断

現時点でのOpenClawは、個人利用・検証環境から始めるべきフェーズです。エンタープライズ環境での本番利用にはリスクが高いと判断しています。

一方で、OpenClawの検索ボリュームは月間50,000を超えており、感度の高いユーザーが積極的に情報を探しています。セキュリティリスクを理解した上で「できる範囲を制限して安全に使う」設計ができることが、導入支援の価値になるでしょう。

まずはClaude Codeのようにセキュリティ設計が成熟したツールでAIエージェントの運用経験を積み、その知見をOpenClawに転用するアプローチを推奨します。

Claude CodeClaude Codeのセキュリティ運用｜法人開発で実践している7つの対策

Claude CodeAIエージェントとは？ChatGPTとの違いを実務者が解説【2026年最新】AIエージェントとは何か？ChatGPTやCopilotとの違い、2030年526億ドル市場の最新データ、実務での活用例をAI業務効率化の受託開発者が解説。導入の始め方まで網羅。

AI業務効率化AIエージェント、結局誰が得をする？中小企業が「使う側」で勝つ方法AIエージェントで本当に得をするのは誰か。月2.5万円のツール投資で年間数百万円の業務価値を生み出す中小企業の実績とROIを公開。