「OpenClaw 危険」——検索するとこのキーワードが上位に出てきます。筆者は専用 Mac mini で OpenClaw を常時運用していますが、結論から言えばOpenClaw が危険になるのは設定不備のときだけです。適切に環境を整備し、権限を正しく設定すれば、20以上のチャネルを統合できる最強クラスの AI アシスタントとして安全に活用できます。
📑目次
- OpenClaw とは? ── 34万スター超の AI アシスタント
- OpenClaw 危険と言われる理由 ── 実際のインシデントと脅威
- 安全に運用するための6つのポイント【2026年版】
- 攻撃シナリオ × 防御の対応表
- 自分の OpenClaw が外部に露出していないか確認する方法
- 役割別エージェント分離の実例 ── 筆者の3エージェント構成
- セキュリティチェック機能は「気休め」? ── openclaw doctor の限界
- 筆者の運用構成(参考) ── 専用 Mac mini + 3エージェント + 自動バックアップ
- 関連記事
- よくある質問(FAQ) ── OpenClaw のセキュリティに関する疑問
- まとめ ── OpenClaw 危険は設定不備のときだけ
ただし「適切に整備する」のハードルは決して低くありません。OpenClaw 本体の設定に加え、専用環境の確保・常時バックアップ・機密情報の隔離など総合的なセキュリティ対策が求められます。本記事では、筆者の実体験をもとに「何が危険で、どう対策すればいいのか」を6つのポイントに整理して解説します。
📋 筆者の運用プロファイル(2026年4月時点)
- 運用開始:2026年3月(運用歴 約1ヶ月)
- 専用機:Mac mini M2 Pro 32GB(Mac Studio 移行で余った機材を OpenClaw 専用に転用)
- 稼働方式:LaunchAgent で常時起動
- 接続チャネル:Slack のみ(攻撃面を最小化)
- LLM プロバイダー:Azure OpenAI(月額 $50 前後)
- スキル:配布スキルは使わず、自作のみ(Obsidian 連携・DB 連携など)
- バックアップ:Acronis True Image で日次フルバックアップ
OpenClaw とは? ── 34万スター超の AI アシスタント
OpenClaw は、MIT ライセンスで公開されているセルフホスト型のパーソナル AI アシスタントです。自分のデバイス上で動作し、WhatsApp・Telegram・Slack・LINE など日常的に使うメッセージングチャネルと連携できるのが最大の特徴です。
| 項目 | 内容 |
|---|---|
| ライセンス | MIT(完全オープンソース) |
| GitHub スター | 34万超(2026年4月時点。1月に100k達成、3月に React を抜き OSS 史上最速級) |
| 対応チャネル | WhatsApp, Telegram, Slack, Discord, Signal, iMessage, LINE, Teams 他20以上 |
| 対応 AI モデル | OpenAI, Anthropic, Gemini, Ollama 等マルチプロバイダー |
| 主な機能 | ブラウザ操作(CDP)、音声操作、Canvas、モバイルアプリ(iOS/Android) |
| スキル(プラグイン) | ClawHub に約31,000件(2月初旬は2,857件、2月中旬は10,700件と急増。Cisco 調査時点で約31,000件) |
| 料金 | 無料(LLM の API 利用料は別途必要) |
出典:OpenClaw 公式サイト・GitHub リポジトリ(2026年3月時点)
Gateway ベースのローカルファースト・アーキテクチャを採用しており、すべてのデータは自分のデバイス上で処理されます。クラウドサービスに依存しない点はプライバシーの観点で大きなメリットですが、裏を返せばセキュリティは自分で責任を持つ必要があるということでもあります。
OpenClaw 危険と言われる理由 ── 実際のインシデントと脅威
⚠️ 結論:OpenClaw 自体はマルウェアではない。危険なのは「設定不備」と「過剰な権限」
20以上のチャネルに接続でき、ブラウザ操作やファイル管理まで行えるということは、設定を誤れば外部から悪用される可能性があるということです。筆者の経験では、初期設定でも致命的に危険になるわけではありませんが、追加対策なしの「インストールして即安全」とはいきません。カスタマイズや拡張を始めた瞬間に攻撃面が跳ね上がるのが実態です。
実際に報告されたセキュリティ脆弱性(CVE・GHSA)
| 脆弱性 ID | 概要 | 影響度 | 修正バージョン |
|---|---|---|---|
| GHSA-5wcw-8jjv-m286 | クロスサイト WebSocket ハイジャック(trusted-proxy モード)。未認証の外部サイトから管理者権限を奪取可能 | 高 | v2026.3.11 |
| GHSA-99qw-6mr3-36qr | ワークスペースプラグインの暗黙的自動読み込み。クローンしたリポジトリが許可なくコードを実行 | 高 | v2026.3.12 |
| CVE-2026-25253 | コミュニティ報告の脆弱性(詳細は修正後に公開) | 中 | 修正バージョン未公表 |
出典:GitHub Security Advisories・NVD(2026年3月時点)
コミュニティで確認されている脅威
- ClawHavoc ── OpenClaw を標的とした攻撃ツール(C2フレームワーク)。Koi Security の初期報告では、当時の ClawHub 全2,857件のうち341件(約12%、うち335件が ClawHavoc 由来)が汚染されていたことが確認されています。2026年2月16日時点ではマーケットプレイス拡大に伴い 10,700件以上中824件(約7.7%)に増加しており、絶対数は倍増しています。攻撃者は正規のスキルを模倣し、バックドアを仕込んだ偽スキルを配布していました。
- AMOS stealer(Atomic macOS Stealer) ── macOS の認証情報・暗号通貨ウォレット・ブラウザパスワードを窃取するマルウェアが、OpenClaw のスキルに偽装して配布されていた事例があります。macOS ユーザーは特に注意が必要です。
- メモリポイズニング ── 会話履歴に悪意ある指示を埋め込み、エージェントの振る舞いを操る攻撃
- サプライチェーン攻撃 ── 悪意あるスキル(プラグイン)を ClawHub 経由で配布する手口。ClawHavoc 事件で明らかになったように、公式マーケットプレイスであっても安全とは限りません。
- プロンプトインジェクション ── メッセージ経由で意図しないコマンドを実行させる攻撃
出典:Bitsight、Cisco Blogs(2026年2月時点)
Tencent が AI-Infra-Guard(AI レッドチーミングプラットフォーム)で OpenClaw 向けスキャナーを提供していることからも、セキュリティコミュニティが OpenClaw を「注意が必要なツール」と認識していることがわかります。
Agentic Blast Radius ── なぜ普通のマルウェアより怖いのか
CrowdStrike が提唱している概念に「Agentic Blast Radius(エージェンティック・ブラストレディウス)」があります。これは「OpenClaw のような自律エージェントが侵害されると、接続しているすべてのサービスに被害が一気に拡散する」という考え方です。
普通のマルウェアは1台のPCを乗っ取るだけですが、OpenClaw が乗っ取られると Slack・メール・GitHub・ブラウザ・bash・スマートホーム機器まで連鎖的に被害が広がります。筆者が接続チャネルを Slack のみに絞っているのは、まさにこの拡散経路を最小化するためです。
間接プロンプトインジェクション ── 受け取った文書から攻撃される
もう一つ知っておきたいのが「間接プロンプトインジェクション」です。攻撃者が直接 OpenClaw に話しかけるのではなく、メール本文・Web ページ・PDF・Notion ページなどに悪意ある指示文を埋め込んでおき、エージェントがそれを読み込んだ瞬間に実行してしまうという手口です。
CrowdStrike が公開した PoC では、メモアプリに埋め込まれた指示で仮想通貨ウォレットの資産を流出させる事例が報告されています。つまり、エージェントに「メールを要約して」と頼んだだけで、知らないうちに送金や情報送信が実行される可能性があるということです。後述する ③ 最小権限がこの攻撃への直接的な防御で、④ DM ポリシーは DM 経由の場合に有効な補助策として機能します。
豆知識:プロジェクト名の変遷(Clawdbot → Moltbot → OpenClaw)
OpenClaw を調べていると「Clawdbot」「Moltbot」という別名に遭遇することがあります。これは過去のプロジェクト名です。検索エンジンによってはまだ旧名で記事がヒットしますが、同じツールを指していると考えて問題ありません。
露出インスタンスの実態 ── 数字で見る OpenClaw のリスク
⚠️ セキュリティ調査で判明した深刻な露出状況
- Bitsight の調査では、2026年1月27日〜2月8日の累積で 30,000以上の OpenClaw インスタンスがインターネットに露出していることが確認されました。同時期に SecurityScorecard の STRIKE チームは 82カ国・最大135,000インスタンスを観測しており、3月末の Censys 調査では 63,070 件にまで減少したものの、依然として大規模な露出が続いています。
- Reddit r/MachineLearning に投稿された独立調査では、18,000の露出インスタンスをスキャンした結果、コミュニティスキルの約15%に悪意ある指示が含まれていたと報告されています。手法は base64 ペイロード・難読化 URL・外部エンドポイント参照のパターン検出で、削除されたスキルが別 ID で再投稿される「もぐら叩き」状態も指摘されています。
- Cisco AI Defense が 約31,000件のスキルを分析した結果、26%に何らかの脆弱性が見つかりました。Cisco は OpenClaw のようなセルフホスト型 AI エージェントを「個人向けAIエージェントはセキュリティの悪夢」と表現し、設定の自由度が高い反面、セキュリティの責任がすべてユーザーに委ねられることが最大のリスク要因だと警告しています。
出典:Bitsight、SecurityScorecard、Cisco Blogs、Reddit r/MachineLearning(2026年2〜3月時点)
安全に運用するための6つのポイント【2026年版】
筆者の経験では、以下の6つを押さえておけば OpenClaw を安全かつ便利に使えます。逆に言えば、これらをすべて整備するのはそれなりに手間がかかるため、一般的には敷居が高いのも事実です。
① 専用環境を用意する(最重要)
🏠 最重要 ── 普段使いの PC で動かさない
OpenClaw はメッセージングチャネルへの接続、ブラウザ操作、ファイルシステムへのアクセスなど、広範な権限を持ちます。普段使いの PC で動かすと、個人データや業務データと同居するリスクがあります。筆者は専用 Mac mini で運用していますが、これが最も安心できる構成だと実感しています。
- 推奨:専用の Mac ── 対応度が最も高く、TCC 権限管理が優秀(後述)
- 次点:Linux サーバー / VPS ── Docker / Kubernetes での隔離運用が可能
- Windows ── WSL2 経由のみ対応。セキュリティ境界が曖昧になりがち
- 仮想マシンやコンテナでの隔離も有効な選択肢
OpenClaw のインストール手順については「OpenClawのインストール方法【macOS・Linux・Windows対応】」で詳しく解説しています。
② macOS の TCC 権限管理を活用する
🛡️ Mac 推奨の最大の理由 ── OS レベルの権限制御
TCC(Transparency, Consent, and Control)は macOS のプライバシー保護フレームワークです。アプリがカメラ・マイク・画面録画・位置情報・連絡先・写真ライブラリなどにアクセスする際、ユーザーの明示的な許可が必要になります。
- OpenClaw の macOS アプリは TCC 権限マップを Gateway WebSocket 経由で公開 ── 各権限の状態を確認・制御可能
- 設定方法:システム設定 → プライバシーとセキュリティ → 各項目で OpenClaw のアクセスを個別に許可/拒否
- 不要な権限は必ずオフにする(例:チャット応答だけならカメラ・画面録画は不要)
- Linux には TCC 相当の仕組みがないため、コンテナや AppArmor / SELinux で代替する必要がある
③ エージェントの権限を最小限に設定する
🔒 最小権限の原則 ── 1エージェント1役割
「何でもできるエージェント」を1つ作るのではなく、役割ごとに権限を分けた複数のエージェントを設計するのが安全な運用の鍵です。筆者の運用では /elevated off 固定をデフォルトにしており、bash 実行が必要な作業は明示的に切り替える運用にしています。常時 elevated にしていないだけで、リスクの体感が大きく変わります。
- OpenClaw はセッション単位で権限を制御できる
/elevated on|offで bash アクセスのレベルを切り替え(筆者はoff固定)- マルチエージェント連携(
sessions_list/sessions_send/sessions_spawn)で協調動作 - 例:情報収集エージェント(読み取りのみ)+ 開発エージェント(ファイル操作可)+ 応答エージェント(チャットのみ)
エージェントの自動化設定については「OpenClaw で日々のタスクを自動化|SOUL.md 設定入門」も参考にしてください。
④ DM ポリシーとペアリングを正しく設定する
📩 外部アクセスの防壁 ── デフォルト設定を崩さない
OpenClaw はデフォルトで未知の送信者にペアリングコードを要求します。これは外部からの不正アクセスを防ぐ重要なセキュリティ機能です。
dmPolicy="open"+"*"をアローリストに入れると全開放 ── 絶対に避けることopenclaw doctorコマンドで危険な DM 設定を検出できる- ペアリングトークンは短命(short-lived)に設定されている(v2026.3.12〜)
- 不要なチャネルの接続は無効化しておく ── 使わないチャネルは攻撃面を増やすだけ
⑤ API キー・機密情報を安全に管理する
🔑 機密情報 ── 平文で渡さない、必ず暗号化経由
OpenClaw は複数の LLM プロバイダーの API キーを扱います。これらの機密情報の管理は最重要課題です。
- OAuth サブスクリプションと API キー認証プロファイルをサポート
- API キーのローテーションとフォールバック設定が可能
- 平文でキーを渡さない ── 環境変数や認証プロファイル経由で管理する
- ClawVault(Tophant AI 提供)などのセキュリティボールト連携も活用
.envファイルのパーミッション設定(chmod 600)も忘れずに- 万が一キーが漏洩した場合に備え、各 LLM プロバイダーで利用上限(usage limit)を設定しておく
- 筆者は Acronis True Image で日次フルバックアップを取得しており、万が一鍵や設定が壊れても即日復旧できる体制にしています
⑥ スキル(プラグイン)の信頼性を確認する
🧩 プラグイン ── 便利だが最大の攻撃面
ClawHub には2026年4月時点で約31,000件のスキルが公開されていますが、すべてが安全とは限りません。サプライチェーン攻撃の主な経路でもあります。
- ワークスペースプラグインの自動読み込みは v2026.3.12 で無効化された(明示的な信頼が必要)
- インストール前にスキルのソースコードと権限要求を確認する
- Clawbands(セキュリティミドルウェア)でスキル実行を監視する方法もある
- 信頼できる開発者のスキルのみを使用し、定期的にアップデートを確認する
- MCP(Model Context Protocol)サーバーとの連携も同様 ── 信頼できるサーバーのみ接続する(参考:MCP vs CLI:AIエージェント連携方式の比較)
筆者の方針:配布スキルは一切使わず、必要なものはすべて自作しています。Cisco AI Defense が約31,000件のスキルを分析した結果、26%に何らかの脆弱性が見つかっており、これだけの数を個別に審査するのは現実的ではありません。筆者が実際に作って運用しているのは Obsidian 連携と DB 連携で、コードを完全に把握できているスキルだけを動かす方針です。
攻撃シナリオ × 防御の対応表
「6つのポイント」と「実際に存在する攻撃」を照らし合わせると、どの対策が何を防いでいるのかが見えやすくなります。筆者の運用ではこの対応表を意識して、すべての攻撃経路に対して最低1つの防御が当たっている状態を目指しています。
| 攻撃シナリオ | 主な防御策 |
|---|---|
| 間接プロンプトインジェクション(メール/Web/PDF/Notion 経由) | ③ 最小権限(/elevated off)が主防御 + 閲覧対象の制限。④ DM ポリシーは DM 経由の場合のみ補助的に有効 |
| WebSocket ハイジャック(GHSA-5wcw-8jjv-m286) | 定期アップデート(v2026.3.11+)+ Origin 検証が主防御。② TCC は侵害後の被害抑制策 |
| 悪意あるスキル(Cisco の31,000件分析で26%に脆弱性) | ⑥ スキル審査(筆者は配布スキル不使用・自作のみ) |
| API キー漏洩 | ⑤ 認証プロファイル + chmod 600 + 利用上限設定 |
| ワークスペースプラグイン自動読み込み(GHSA-99qw-6mr3-36qr) | v2026.3.12 以降への更新 + 手動承認 |
| メモリポイズニング(会話履歴汚染) | ③ 最小権限 + 定期ログレビュー + セッション分離 |
| サプライチェーン攻撃(ClawHavoc 系) | ⑥ 配布スキル不使用 + AI-Infra-Guard スキャン |
出典:GitHub Security Advisories・Bitsight・Cisco Blogs・CrowdStrike の公開情報を筆者が整理(2026年4月時点)
自分の OpenClaw が外部に露出していないか確認する方法
「30,000件が露出している」と言われても、自分のインスタンスがその中に含まれていないかは別問題です。セルフホストで運用している以上、確認する責任はユーザー側にあります。筆者が実際に行っている確認手順を紹介します。
🔍 露出チェックのステップ
- ローカルで開いているポートを確認:
lsof -iTCP -sTCP:LISTEN -P -n | grep -i clawで OpenClaw が listen しているポート(既定は 18789)と bind アドレスを確認します。0.0.0.0ではなく127.0.0.1になっていることが望ましい状態です。 - ルーターのポート開放状況:家庭用ルーターの管理画面で UPnP・ポートフォワーディング設定に OpenClaw 関連のエントリがないかを確認します。意図せず開いていれば即座に閉じます。
- 外部からのアクセス確認:スマホをモバイル回線(Wi-Fi オフ)に切り替えて、自宅 IP に対して該当ポートにアクセスしてみます。応答が返る場合は露出しています。
- 第三者スキャナーの活用:Bitsight の Exposure Watchboard や Tencent の AI-Infra-Guard など、OpenClaw 向けのスキャナーが公開されています。自分の IP やドメインを入力して確認できます。
- 定期チェックを習慣化:OpenClaw は頻繁にアップデートされ、新機能で挙動が変わることがあります。月1回程度の頻度で再チェックするのがおすすめです。
筆者の場合、OpenClaw は専用 Mac mini の 127.0.0.1 でのみ listen させ、外部からのアクセスは Slack 経由のみに限定しています。これにより「インターネットから直接叩ける状態」を物理的に作らない設計にしています。
役割別エージェント分離の実例 ── 筆者の3エージェント構成
「最小権限」を実践するうえで一番効くのが、役割ごとにエージェントを分けておくことです。1つのエージェントにすべての権限を持たせると、侵害された瞬間に被害が全方位に広がります。筆者は次の3つに分けています。
① 情報収集用
役割:Web 検索・要約・調査
想定通りに動かすにはプロンプト設計の試行錯誤が必要で、しっかり設定しないと外しがちです。書き込み系の権限は一切持たせていません。
② 開発補助用
役割:コード補助・ファイル操作
/elevated off 固定で運用。bash が必要な作業はその都度明示的に切り替え、終わったらすぐ戻します。
③ チャット応答用
役割:Slack 上のメッセージ応答
使うチャンネルを物理的に固定し、それ以外のチャンネルや DM では一切動作しないように制限しています。
この3分割は厳密なベストプラクティスというより、「侵害されたときの被害範囲を3分の1に絞る」発想です。役割が混ざっていない分、あとから運用ログを見返すのも楽になります。
セキュリティチェック機能は「気休め」? ── openclaw doctor の限界
OpenClaw には openclaw doctor という設定診断コマンドや、ブラウザ Origin 検証(v2026.3.11〜)などのセキュリティ機能が組み込まれています。しかし筆者の経験では、これらだけに頼るのは危険です。
openclaw doctor を実行した画面。バージョンアップが頻繁なため、旧バージョンとの設定不整合で警告が出ることが多い筆者の運用でも openclaw doctor はちょこちょこ警告を出します。原因のほとんどは「頻繁なバージョンアップで旧バージョン時代の設定との不整合が残っているケース」です。セキュリティアドバイザリ(GHSA など)が出た場合は迷わず即アップデートするというのが筆者の基本方針で、これだけは絶対に後回しにしないようにしています。
| 機能 | できること | できないこと |
|---|---|---|
| openclaw doctor | 設定ミス・危険な DM ポリシー・古いバージョンの検出 | 実行時の悪意ある動作の検知、スキルのコード監査 |
| Origin 検証 | WebSocket ハイジャックの防止 | メモリポイズニング、プロンプトインジェクション |
| ペアリング認証 | 未認証ユーザーからのアクセス遮断 | 認証済みセッションの乗っ取り、内部からの攻撃 |
出典:OpenClaw 公式ドキュメント・GitHub Security Advisories の情報をもとに筆者が整理
セキュリティは「機能」ではなく「運用」です。openclaw doctor は最低限のチェックとして活用しつつ、定期的なアップデート(脆弱性修正が頻繁にリリースされている)と環境レベルの対策を併用するのが現実的な防御戦略です。
筆者の運用構成(参考) ── 専用 Mac mini + 3エージェント + 自動バックアップ
筆者は専用 Mac mini で OpenClaw を常時運用しています。ここでは実際の構成を紹介します。完璧ではありませんが、「OpenClaw 危険」と言われるリスクの大部分をカバーできている実感があります。
筆者の運用構成(2026年4月時点・運用歴 約1ヶ月)
専用ハードウェア
Mac mini M2 Pro 32GB を OpenClaw 専用機として運用。Mac Studio に主力を移行した際に余った機材を、新規購入ではなく転用しました。普段使いの Mac とは完全に分離しています。
常時稼働とチャネル
Gateway は LaunchAgent で常時起動。接続チャネルは Slack のみに絞り、攻撃面を最小化しています。WhatsApp や iMessage は接続していません。
日次バックアップ
Acronis True Image で日次フルバックアップを取得。OpenClaw の設定が壊れたり不整合が出たりしても、前日の状態に即日復旧できる体制です。
LLM とコスト
LLM プロバイダーは Azure OpenAI を採用。月額 API 利用料は約 $50 前後で安定しています。
- エージェント分離:情報収集用 / 開発補助用 / チャット応答用の3つに分けて運用(前章参照)
- スキル:配布スキルは使わず、必要なものはすべて自作(Obsidian 連携・DB 連携など)
- 権限:
/elevated offをデフォルトにし、bash が必要な作業のみ明示的に切り替え - アップデート:セキュリティアドバイザリが出たら即日適用が大原則
- 重要データ:機微な情報は Mac mini 上に置かない方針
運用歴はまだ約1ヶ月ですが、最初から専用機にしたことで「業務 PC を巻き込まない」という安心感を確保できました。Mac Studio への移行で余った Mac mini M2 Pro を転用しているので、初期投資はゼロです。今のところ大きなインシデントはありませんが、これは「危なくないように設定している」結果であって、運が良いわけではありません。
関連記事
📚 OpenClaw をもっと深く知る
よくある質問(FAQ) ── OpenClaw のセキュリティに関する疑問
Q1. OpenClaw はマルウェアですか?
いいえ。MIT ライセンスのオープンソースソフトウェアで、ソースコードは GitHub で完全公開されています。危険なのは OpenClaw 自体ではなく、設定不備や過剰な権限付与です。正しく設定すれば安全に利用できます。
Q2. Docker で動かせば安全ですか?
Docker でのコンテナ隔離は有効な対策の一つです。ただし、ボリュームマウントやネットワーク設定が不適切だと隔離の意味がなくなります。コンテナ内でも最小権限の原則は守る必要があります。macOS 上の Docker は VM レイヤーのオーバーヘッドがあるため、Mac での運用ならネイティブインストール + TCC 権限管理のほうが効率的です。
Q3. ClawHub のスキル(プラグイン)は安全ですか?
2026年4月時点で約31,000件のスキルが公開されていますが、すべてが安全とは限りません。Cisco AI Defense の分析では26%に何らかの脆弱性が見つかっています。v2026.3.12 以降、ワークスペースプラグインの自動読み込みは無効化され、明示的な信頼が必要になりました。インストール前にソースコードと権限要求を必ず確認してください。
Q4. 個人情報や業務データが漏洩するリスクは?
OpenClaw が接続する LLM プロバイダー(OpenAI, Anthropic 等)にデータが送信される可能性があります。機密データを扱う場合はローカル LLM(Ollama 等)の利用を推奨します。また、専用環境で運用し、API キーの管理と権限の最小化を徹底することで漏洩リスクを大幅に低減できます。
Q5. アップデートはどのくらいの頻度で行うべきですか?
セキュリティ修正が頻繁にリリースされているため、セキュリティ関連の修正は即日適用が理想です。少なくとも月1回はリリースノートを確認し、openclaw update --channel stable で最新版に更新してください。筆者は週1回のチェックを習慣にしています。
Q6. 一般ユーザーにとって安全運用のハードルは高いですか?
正直に言えば、ハードルは高いです。OpenClaw の設定だけでなく、専用環境の確保・バックアップ体制・API キーの管理・TCC 権限の理解など、総合的なセキュリティ知識が求められます。「インストールして即安全」とはいかないのが現状です。まずはインストールガイドを読み、専用環境を用意するところから始めることをおすすめします。
Q7. なぜ Mac での運用が推奨されるのですか?
macOS の TCC(Transparency, Consent, and Control)により、OS レベルでアプリごとの権限(カメラ・マイク・ファイルアクセス等)を細かく制御できるためです。OpenClaw は TCC 権限マップを Gateway 経由で公開しており、権限状態の確認・制御が容易です。Linux でも Docker や AppArmor で同等の隔離は可能ですが、macOS ほど簡単ではありません。また、OpenClaw の macOS ネイティブアプリは Voice Wake や Canvas など、Mac 限定の機能もサポートしています。
Q8. OpenClaw の代替ツールはありますか?
セキュリティを重視するなら、Claude Code(Anthropic)や Cursor のエージェントモードが代替候補です。ただし、OpenClaw ほどの自律性やメッセージングチャネルとの統合機能はありません。また、Docker コンテナ内で OpenClaw を軽量に実行する「NanoClaw」というフォークプロジェクトもあり、セキュリティ境界を明確にしたい場合に有効です。筆者は用途に応じて Claude Code と OpenClaw を使い分けています。コーディング中心の作業は Claude Code、日常のメッセージ管理やタスク自動化は OpenClaw という棲み分けです。
Q9. OpenClaw は Clawdbot や Moltbot と同じものですか?
同じプロジェクトです。Clawdbot → Moltbot → OpenClaw の順で名称が変わってきました。古い記事や検索結果では旧名で言及されていることがあるので、調べる際は3つの名前すべてで検索すると過去のセキュリティ情報も拾えます。
Q10. プロンプトインジェクションってどう起こるのですか?
直接的な攻撃は「攻撃者がエージェントに指示を送りつける」パターンですが、より厄介なのは「間接プロンプトインジェクション」です。メール本文・Web ページ・PDF・Notion ページなどに悪意ある指示文を仕込んでおき、エージェントがそれを読み込んだ瞬間に実行してしまうという手口です。「メールを要約して」と頼んだだけで、知らないうちに送金や情報送信が走るリスクがあります。最小権限と DM ポリシー設定がこの攻撃への直接的な防御になります。
Q11. 自分の OpenClaw が外部から露出していないか確認するには?
lsof -iTCP -sTCP:LISTEN -P -n | grep -i claw でリッスンポートと bind アドレスを確認するのが最初のステップです。0.0.0.0 ではなく 127.0.0.1 になっているのが理想です。次に家庭用ルーターのポートフォワーディング設定、最後にスマホのモバイル回線から外部疎通テストを行います。Bitsight Exposure Watchboard や Tencent AI-Infra-Guard など、第三者スキャナーの併用もおすすめです。詳しい手順は本文の「自分の OpenClaw が外部に露出していないか確認する方法」セクションを参照してください。
Q12. Linux や Windows でも安全に運用できますか?
運用可能ですが、Mac よりも追加の対策が必要です。Linux なら Docker / Podman でのコンテナ隔離 + AppArmor / SELinux の併用が現実的な選択肢です。Windows は WSL2 経由のみ対応しており、Linux の隔離手法をそのまま使う形になります。macOS の TCC のような OS レベルのプライバシー制御がない分、コンテナの境界をしっかり設計することが必要になります。筆者は Mac での運用しか試していませんが、Linux サーバーで動かす場合は専用 VPS を分けるのが安全です。
まとめ ── OpenClaw 危険は設定不備のときだけ
「OpenClaw 危険」の正体は、強力すぎるツールを正しく設定していないこと
設定次第で安全にも危険にもなります。以下の4つの柱を守れば、20以上のチャネルを統合できる最強の AI アシスタントとして安心して活用できます。
🏠 専用環境
普段使いの PC と分離し、OpenClaw 専用のデバイスで運用する
🔒 最小権限
エージェントごとに権限を分離し、不要なアクセスを排除する
🔑 機密情報管理
API キーの暗号化管理・ローテーション・利用上限の設定
💾 常時バックアップ
環境全体のバックアップと設定のバージョン管理で復旧に備える
ただし、これらをすべて整備するには相応のセキュリティ知識と手間が必要です。一般的には敷居が高いことは否定できません。
まずは専用環境の確保から始め、段階的にセキュリティを強化していくのが現実的なアプローチです。
筆者がこの1ヶ月の運用で「最も効果を感じている対策」を優先順位順にまとめると、次の4つに集約されます。① 定期的なアップデート(特にセキュリティアドバイザリは即日適用)、② 配布スキルへの注意(自作のみに絞る)、③ 重要なデータは PC 上に置かない、④ 定期的なバックアップ(Acronis True Image で日次)。この4つを守っているおかげで、運用開始から今までヒヤリとする場面はほぼゼロです。これは「危険がなかった」のではなく「危なくないように設定している結果」だと考えています。
公式サイト:openclaw.ai
著者
krona23
IT業界20年以上の実務経験を持ち、日本国内有数のPVを誇る大規模Webサービスで事業部長・CTOを複数社で歴任。Windows/iOS/Android/Webと技術の変遷を経験し、現在はAIネイティブへの変革に注力。DevGENTでは、AIコードエディタ・自動化ツール・LLMの実践的な使い方を日英西3言語で発信中。
コメントを残す