GitHub(ギットハブ)でひっそりと10万以上のスターを集めたプロジェクトが、AI分野で最も急速に広まった実験の1つへと変貌した。PSPDFKitの創業者ピーター・シュタインベルガーが開発したAIエージェントClawdbot(旧名称)は、ほとんどのAIツールがいまだ実現できていないことを約束して注目を集めた。それは、メッセージベースのインターフェースを使って単に会話するだけでなく、実際に行動を起こすというものだ。この約束がプロジェクトを単なる好奇心の対象から一大現象へと押し上げた。同時に、トラブルの渦中へと追い込むことにもなった。
OpenClawに改名──注目のローカルAIエージェントが、セキュリティ研究者・企業・規制当局から厳しい目を向けられる存在に
米国時間1月26日の週初めにAnthropic(アンソロピック)との商標紛争が起きた後、シュタインベルガーはプロジェクト名をMoltbot(モルトボット)に変更し、さらに米国時間1月29日遅くの発表でOpenClaw(オープンクロー)へと再びリブランドした(筆者はシュタインベルガーにコメントを求めている)。名称変更のたびに、認知度とリスクは拡大していった。
かつては巧みなローカルAIアシスタントとして位置づけられ開発が始まったものが、今やセキュリティ研究者、企業、規制当局から厳しい目を向けられている。彼らは、急速な普及、深いアクセス権限、そして詐欺師が悪用しやすい混乱という、同じパターンがこのツールにも現れていると見ているのだ。
OpenClawが実際に行うこと
ほとんどのAIツールは、ターミナルやウェブブラウザー上において、利用者の質問に対してテキストを返すだけだ。だが、OpenClawは異なる。これは「エージェント」であり、ユーザーのコンピューター上でタスクを実行できる。しかも、WhatsApp(ワッツアップ)、Telegram(テレグラム)、Discord(ディスコード)、Slack(スラック)、Teams(チームズ)など好みのメッセージングプラットフォームを通じて、OpenClawとやり取りできる。
「カレンダーを確認してフライトを変更して」といった簡単なメッセージで、ブラウザーを開く、ボタンをクリックする、ファイルにアクセスする、メッセージを送信する、コマンドを実行するといった実際のアクションを起こせる。システムはユーザーのマシン上でローカルに動作するが、推論処理のためにクラウドベースのAIモデルに接続する。その魅力は「コントロール」能力にある。データは手元に残り、自分のマシンが作業を行う。
管理者権限相当が必要な場合があり、実害を引き起こす可能性も
開発者にとってこのアイデアは強力だが、一般ユーザーにとってはリスクを伴う。
機能するために、OpenClawは動作するシステムへの深いアクセス権を必要とすることが多く、時には(手元のマシンにおいて)管理者権限、いわゆる「sudo」権限に相当するものが必要となる。つまり、時間を節約できるツールが、誤用されたり、誤解されたり、侵害されたりすれば、実害を引き起こす可能性もあるということである。
OpenClawが急激に広まった理由──低コストな個人向けローカルAI環境
OpenClawの急速な普及の一因は、低コストながら高性能なMac Miniを含む自分のマシンで実行できるというアイデアにあった。実物およびAI生成の両方の画像がすぐにソーシャルメディアで出回り、サーバーのように積み重ねられたMac Miniの列がAIエージェントの群れを実行している様子が示された。これは新しい種類の個人向けAIインフラ──安価でローカル、大手クラウドプロバイダーから独立──であるという含意があった。しかし現実はそれほど単純ではない。
設定ミスが原因でアクセス可能な状態で放置、認証情報や設定データが漏洩
エージェントをローカルで実行してもリスクはなくならない。リスクが移転するだけである。クラウドベンダーを信頼する代わりに、ユーザーはアップデート、権限、ネットワーク露出、セキュリティ設定に責任を負うことになる。研究者が記録した露出されたOpenClawのコントロールパネルの多くは、ハッキングされたわけではない。単に設定ミスがあっただけだ。
Axios(アクシオス)の報道によると、数百ものMoltbotのコントロールインターフェースがオープンインターネット上でアクセス可能な状態で放置され、チャットログ、APIキー(外部サービスへの認証に使う秘密の文字列)、場合によってはリモートでコマンドを実行できる機能までが露出していた。Bitdefender(ビットディフェンダー)も同様の調査結果を確認し、インターネットに面したダッシュボードから認証情報や設定データが漏洩していると報告した。攻撃者にとって、これは開け放たれた扉だ。
