柳谷智宣のAI ウォッチ!

OpenClawが火をつけた自律型AIエージェントブームは軽量化とセキュリティを競う群雄割拠の時代へ突入した

24時間常駐のAIエージェントを手軽に試してみよう[後編]

 本連載「柳谷智宣のAI ウォッチ!」では、いま話題のAI(生成AI)を活用したサービスを中心に取り上げていく。今回はOpenClawから枝分かれした自律型AIエージェントの全体像とセキュリティ課題を考える。
OpenClawから始まった自律型AIエージェントから多くの派生・代替プロジェクトが誕生した

 前編では、記憶を持つオープンソースのAIエージェント「Hermes Agent」を、Webブラウザー操作だけで動かす方法を紹介した。

 自律型AIエージェントは、あらかじめ指示を出しておくだけで、AIが調査や通知、ファイル操作を自律的にこなしてくれる。従来のチャットUIとは比べ物にならないほど、任せられるタスクの幅が広がる点で注目を集めている。この流れは、元をたどれば2026年初めに社会現象となった「OpenClaw」から始まった。

 後編となる今回では、OpenClawから枝分かれした自律型AIエージェントの全体像と、避けて通れないセキュリティの課題を解説しよう。

熱狂を経てエコシステムの中核となったOpenClawの現状

 OpenClawは、オーストリアの開発者ピーター・シュタインベルガー(Peter Steinberger)氏が2025年11月に個人プロジェクトとして公開した自律型AIエージェントだ。当初はチャット連携の小さなツールで、公開時の名称はAnthropicのClaudeにちなんだ「Clawdbot」だった。その後、Anthropicからの商標上の指摘を受けて「Moltbot」へ変わり、2026年1月30日に「OpenClaw」へと落ち着いた。

 SlackやWhatsAppなどのチャットに話しかけるだけで、AIがファイル操作や外部サービス連携をこなす手軽さが受け、GitHubのスター数は2026年初頭に爆発的に伸び、現在は38万を超えている。オープンソースとしては歴史的な規模と言ってよいだろう。なお、OpenClawのセットアップ方法は、本連載でも詳しく紹介している。

OpenClawはGitHub史上でも屈指のスター数を集めている

 このブームは一過性では終わらなかった。

 創設者のシュタインベルガー氏は2026年2月にOpenAIへ移籍し、プロジェクトの運営は「OpenClaw Foundation」に引き継がれた。ライセンスはMITのまま維持され、OpenAIに加えてGitHubやNVIDIAなどが資金面のスポンサーに名を連ねている。個人の週末プロジェクトが、わずか数カ月で企業が支える基盤へと姿を変えたのだ。

 とりわけNVIDIAの動きは早く、GTC 2026で、OpenClawをベースにした企業向けのセキュリティスタックである「NemoClaw」を発表した。中国でもTencentやZ.aiがOpenClaw対応のサービスを打ち出し、DeepSeekやWeChatと組み合わせる形で急速に広まった。その一方で、中国では2026年3月、政府機関や国有企業の一部で、職場端末へのOpenClaw導入を控えるよう警告・制限する動きも出ている。強力に推進する動きと警戒する動きが同時に進む点も、このジャンルの熱量を物語っている。

軽量化とセキュリティを競って枝分かれする派生エージェント

 OpenClawが道を切り開いたことで、その課題を克服しようとする派生・代替プロジェクトが次々と生まれた。前編で取り上げたNous Researchの「Hermes Agent」も、そのひとつだ。

 Hermes Agentは、遂行した作業を再利用可能な「スキル」としてため込み、使うほど賢くなる自己改善の仕組みを備える。多機能を追求するOpenClawに対し、Hermes Agentは「育てて使う助手」という別の思想で支持を集めている。

筆者はHermes Agentを常時稼働させ、助手のように進捗を管理してもらっている

 軽量化を突き詰めた代替プロジェクトも活発だ。

 香港大学のチームが開発した「Nanobot」は、小さく読みやすいコアを売りにした軽量な個人AIエージェント。MCP経由で外部ツールにつなぐ設計のため、本体を肥大化させにくい。

 さらに、セキュリティを重視しているのが「NanoClaw」だ。チャットのグループごとにOSレベルのコンテナで隔離し、万一ひとつが乗っ取られても他へ被害が及ばない設計になっている。ほかにも、Rustで書かれた数MBのバイナリで動く「ZeroClaw」や、10ドル程度の小型ボードやIoT機器での運用に絞った「PicoClaw」など、用途に応じた選択肢が短期間で出そろった。派手さよりも「自分の目的に合うか」で選べる時代に入ったのだ。

大きな権限が生むセキュリティリスクへの向き合い方

 自律型AIエージェントの便利さは、そのままリスクと表裏一体になっている。ファイルを読み書きし、コマンドを実行し、外部サービスにつながる以上、当然、その権限を渡す必要がある。OpenClawは初期設定だとユーザーとほぼ同じ権限で動くため、乗っ取られればSSHキーやクラウドの認証情報まで抜かれかねない。

 実際に問題も起きている。

 スキルを配布するマーケットプレイス「ClawHub」では審査が追いつかず、生産性ツールを装った悪意あるスキルが紛れ込んだ。Ciscoの研究チームがサードパーティ製スキルを検証したところ、利用者が気づかないうちにデータを外部へ送信し、プロンプトインジェクションを仕掛ける挙動が確認されている。認証をかけずにインターネットへ公開されたインスタンスも13万件以上見つかっており、外部から悪用される温床になっていた。

 これらの反省を踏まえ、その後のAIエージェントではさまざまな対応策が施されている。Hermes Agentは、危険なコマンドの実行前承認やコンテナによる隔離、認証情報のフィルタリングなど、多層の防御を設計段階から組み込んでいる。NanoClawのコンテナ隔離もそのひとつだ。

 前編で紹介したGMOペパボの「ロリポップ!AIエージェントクラウド」のようなマネージドサービスも、OSの根に近い部分にガードレールを設けることで、初心者でも比較的安全に試せる環境を用意している。

マネージドサービスなら非エンジニアでも手軽にAIエージェントをセットアップできる(画面は「ロリポップ!AIエージェントクラウド」)

 今後、自律型のAIエージェントを活用する際は、モデルの賢さよりも「どこまで権限を許し、誰が最終確認するか」という運用の設計がポイントとなるだろう。

自律型AIエージェントが日常の相棒になる未来

 課題は多いが、自律型AIエージェントの流れは止まらない。むしろ、進化の方向性ははっきりしてきた。

 ひとつは、本連載でも触れた相互運用性の広がりだ。拡張機能を共通規格の「MCP」で外部につなぐ設計が主流になり、本体は推論の中核だけに絞られていく。結果として、透明性が高まり、監査もしやすくなるだろう。

 もうひとつは、記憶とスキルの重要度が増していくことだ。単発の質問に答えるだけでなく、過去のやり取りを覚え、手順を再利用し、使うほど自分の仕事になじんでいく。すでに使い古された表現になりつつあるが、AIが頼れる助手に育っていくといってよい。

 そして、マネージドサービスの登場によって、これまで技術的なハードルで諦めていた人にも自律型AIエージェントを活用する入口が開かれたことも見逃せない。エンジニアでなくても、誰もが自分専用のAIエージェントを持てる時代が到来したのだ。

 当然のことだが、安全確保の工夫は欠かせない。しかし、自律型AIエージェントが日々の作業を肩代わりしてくれる未来は、もうすぐそこまで来ている。まずは手軽なところから、AIとの協働をぜひ体験してみてほしい。

著者プロフィール:柳谷 智宣

IT・ビジネス関連のライター。キャリアは26年目で、デジタルガジェットからWebサービス、コンシューマー製品からエンタープライズ製品まで幅広く手掛ける。近年はAI、SaaS、DX領域に注力している。日々、大量の原稿を執筆しており、生成AIがないと仕事をさばけない状態になっている。

・著者Webサイト:https://prof.yanagiya.biz/

柳谷智宣のAI ウォッチ! 記事一覧

プロと実践! ゼロから始めるバイブコーディング 記事一覧