OpenClaw（旧ClawdBot）とは何だったのか｜爆速で19万スター、爆速でセキュリティ崩壊した話

Q: OpenClaw（旧ClawdBot）とはどんなツールですか？

WhatsApp・Telegram・Discord・SlackなどのメッセージアプリとAIモデル（Claude、GPT等）を接続するゲートウェイツールです。50以上のプラットフォームに対応し、単なるQ&Aではなく24時間自律的にタスクを実行する「エージェント」として設計されています。2025年11月の公開後、3日でGitHubスター60,000を超えました。

Q: OpenClawにはどのようなセキュリティリスクがありますか？

認証なしで公開されたインスタンスがShodanで1万7,903件見つかり、APIキー・Botトークン・会話履歴が漏洩しました。偽VS Code拡張機能でのマルウェア配布、スキルストア経由の悪意あるコード配布リスク、仮想通貨詐欺なども発生しています。

Q: OpenClawを安全に使うには何を確認すればいいですか？

認証設定がデフォルトで「なし」になっていないか、リバースプロキシ経由でlocalhost認証がバイパスされないか、APIキーがログや設定ファイルで平文保存されていないか、プラグイン/スキルのインストール元が信頼できるかを確認してください。特にAPIキーが流出すると課金が青天井になる可能性があります。

わさび

OpenClaw（旧ClawdBot）とは何だったのか｜爆速で19万スター、爆速でセキュリティ崩壊した話

AI・自動化

2026.03.04 2026.02.20

📋 セキュリティチェック指示書（クリックで展開）

.claude/commands/ に保存して /コマンドで実行

---
description: "OpenClaw（旧ClawdBot）とは何だったのか｜爆速で19万スター、爆速でセキュリティ崩壊した話 — セキュリティチェック"
---

# OpenClaw（旧ClawdBot）とは何だったのか｜爆速で19万スター、爆速でセキュリティ崩壊した話

この指示書は https://akahara-vlab.com/openclaw-clawdbot-security-risks/ の内容に基づくセキュリティチェックリストです。

## 概要

ClawdBot→Moltbot→OpenClawと3回改名し、GitHub19万スターを獲得したAIエージェントツール。しかしAPIキー流出・マルウェア・仮想通貨詐欺と問題が続出。仕組み・経緯・セキュリティリスクを整理した。

## 使い方

1. このテキストを `.claude/commands/security-openclaw-clawdbot-security-risks.md` に保存
2. Claude Codeで `/security-openclaw-clawdbot-security-risks` と入力して実行

## チェック指示

上記の記事で解説されているセキュリティ上の注意点をもとに、現在のプロジェクトを診断してください。
問題があれば具体的な修正案を提示してください。
記事URL: https://akahara-vlab.com/openclaw-clawdbot-security-risks/

※ 平文なので中身を確認してから使ってください。安全性は目視で確認できます。

わさびです。

2026年1月から2月にかけて、AIエージェント界隈で一番話題になったツールがある。ClawdBot。今はOpenClawという名前になっている。3回改名して、GitHubスター19万超え。でもその裏で、セキュリティ問題が山積みになっていた。

今回はこのツールが何なのか、何が起きたのか、何が危険なのかを整理する。

OpenClaw（旧ClawdBot）とは
3回改名した経緯
セキュリティ問題が深刻だった
AnthropicがOAuth認証を締め出した
開発者がOpenAIに移籍した
PicoClaw — 超軽量版の登場
この話から何を考えるか
参考

OpenClaw（旧ClawdBot）とは

iOS向けPDFフレームワーク「PSPDFKit」の開発者として知られるPeter Steinbergerが、2025年11月に週末プロジェクトとして作ったツール。最初は「WhatsApp Relay」という名前だった。

やっていることはシンプルで、WhatsAppやTelegram、Discord、SlackなどのメッセージアプリとAIモデル（Claude、GPT、DeepSeekなど）を接続するゲートウェイ。チャットアプリ経由でAIエージェントを動かせるようにする仕組みだ。

ローカルで動くボットがAIのAPIを叩いて、メッセージアプリに返す。50以上のプラットフォームに対応していて、単なるQ&Aじゃなく、24時間自律的にタスクを実行する「エージェント」として設計されている。

3回改名した経緯

この手のツールで3回も名前が変わるのは珍しい。

1つ目の名前「ClawdBot」は2025年11月から使われていた。公開初日にGitHubスター5,000、3日で60,000を超えた。TechCrunchやHacker Newsでも取り上げられて、完全にバイラルになった。

ところが2026年1月27日、Anthropicから「Clawdは商標的にClaudeと紛らわしい」と通知が来て改名を求められた。Discordコミュニティで投票した結果、「Moltbot」に決まった。ロブスターは脱皮（molt）して成長するから、という理由だ。

この改名がまず最初のトラブルを引き起こした。Twitterのハンドル @clawdbot を手放した10秒後に、詐欺師がそのアカウントを奪取した。

で、Moltbotという名前は2日しか持たなかった。1月30日には「発音しにくい」という理由でOpenClawに再改名。「Open（オープンソース）」+「Claw（ロブスターの爪）」。今度は事前にセキュリティ対策を準備してからの移行だった。

セキュリティ問題が深刻だった

ここからが本題。このツール、急成長した分だけセキュリティの穴も大きかった。

APIキーと会話履歴の大量流出

Shodanで検索すると、認証なしで公開されているOpenClawインスタンスが17,903件見つかった。

何が見えたかというと、AnthropicのAPIキー、TelegramのBotトークン、SlackのOAuth認証情報、そして数ヶ月分の会話履歴。WebSocketのハンドシェイクだけで設定データに直接アクセスできた。

原因は、ローカル接続に対して認証をスキップする仕様。開発時には便利だけど、nginxやCaddyのリバースプロキシ越しに動かすと「全部ローカル扱い」になる。結果、世界中から丸見えになった。

偽VS Code拡張機能でマルウェア配布

「ClawdBot Agent」という名前の偽VS Code拡張機能が出回った。インストールするとScreenConnect RATというリモートアクセスツールが仕込まれる。開発者を狙った典型的なサプライチェーン攻撃だ。

スキルストアの汚染

OpenClawには「スキル」と呼ばれるプラグイン機能がある。セキュリティ研究者が実験として無害なスキルをアップロードし、ダウンロード数を4,000以上に水増ししたところ、7カ国の開発者がそのスキルをインストールした。

今回はたまたま無害だったけど、悪意のあるコードだったら全員のマシンで任意のコマンドが実行できていた。

仮想通貨詐欺

偽の $CLAWD トークンが発行され、時価総額1,600万ドル（約24億円）まで膨らんでから暴落した。プロジェクト公式とは無関係だが、ブランドの混乱に乗じた詐欺だった。

AnthropicがOAuth認証を締め出した

2026年1月9日、Anthropicはサーバー側で対策を打った。Claude Free/Pro/Maxのサブスクリプション用OAuthトークンが、Claude Code以外のツールで使えなくなった。

エラーメッセージはこうだ。

「This credential is only authorized for use with Claude Code and cannot be used for other API requests.」

OpenClawだけでなく、OpenCode（GitHubスター10.7万）、Roo Code、Clineなど、Claude APIを利用していたサードパーティツールが軒並み影響を受けた。

Anthropicの言い分はシンプル。月額200ドルのClaude Maxサブスクでエージェント的なワークロードを無制限に回されたら、採算が合わない。

一方で、Ruby on Rails作者のDHHは「ユーザーに敵対的だ」と批判し、George Hotzは「Anthropicは大きな間違いを犯している。ユーザーはClaude Codeに戻るんじゃなく、他のモデルに行くだけだ」と書いた。

Anthropic側は「APIキーを直接使う分には問題ない。あくまでOAuth認証の悪用を止めただけ」と説明している。

開発者がOpenAIに移籍した

2026年2月14日、Peter SteinbergerはOpenAIへの入社を発表した。エージェントAIインフラの開発に携わるという。

OpenClawのプロジェクト自体は独立したオープンソース財団に移管された。GitHubスターはこの時点で19万を超えていた。

PicoClaw — 超軽量版の登場

2026年2月9日、sipeed社がPicoClawを公開した。OpenClawのコンセプトをGoで書き直した超軽量版で、10ドルのRISC-Vボードで動く。メモリ使用量10MB未満、起動1秒。

4日間でGitHubスター5,000を獲得した。「OpenClawは重すぎる」というニーズがあったことを示している。

この話から何を考えるか

OpenClawの問題は、ツール自体のアイデアが悪かったわけじゃない。「メッセージアプリからAIエージェントを動かす」というコンセプトは理にかなっている。

問題は成長速度とセキュリティのギャップだった。

週末プロジェクトが数日で数万スターを獲得して、世界中の人がプロダクション環境にデプロイする。でもセキュリティレビューは追いつかない。認証の仕様が甘いまま、何千ものインスタンスが公開される。APIキーが流出し、偽ツールが出回り、詐欺トークンまで発行される。

これはOpenClawだけの問題じゃなく、オープンソースのAIツール全般に当てはまるリスクだと思う。

使うなとは言わない。でも少なくとも、こういうツールを導入するときは以下を確認してほしい。

認証設定がデフォルトで「なし」になっていないか
リバースプロキシ経由でlocalhost認証がバイパスされないか
APIキーがログや設定ファイルで平文保存されていないか
プラグイン/スキルのインストール元が信頼できるか

特にAPIキーの管理。AnthropicやOpenAIのAPIキーが流出したら、課金が青天井になる可能性がある。これだけは本当に気をつけてほしい。

参考

NxCode (2026/02): OpenClaw Complete Guide 2026: Clawdbot → Moltbot → OpenClaw
CNBC (2026/02/02): From Clawdbot to Moltbot to OpenClaw: Meet the AI agent generating buzz and fear globally
CyberSecurity News (2026/02): Hundreds of Exposed Clawdbot Gateways Leave API Keys and Private Chats Vulnerable
Palo Alto Networks Blog (2026/02): OpenClaw May Signal the Next AI Security Crisis
The New Stack (2026/02): Anthropic: You can still use your Claude accounts to run OpenClaw
VentureBeat (2026): Anthropic cracks down on unauthorized Claude usage by third-party harnesses
The Register (2026/01/27): Clawdbot becomes Moltbot, but can’t shed security concerns

ここまで読んでくれてありがとう。記事の感想や質問があれば、コメントでもXでも気軽にどうぞ。

見てもらえるだけでブログ運営の励みになるんだけど、もし応援してくれるなら、以下のリンクから覗いてもらえるとうれしい。

ConoHa — ブログ・開発環境に必要な機能が揃ったVPS

この記事が参考になったら｜以下のリンクから見てもらえるだけで、ブログ運営の応援になります。

WiFiのセキュリティ強化をするなら

国産VPNで安心。テレワークや公共Wi-Fiのセキュリティ強化に。
NordVPN

セキュリティが気になる方は、VPNで通信を暗号化するのがおすすめです。