OpenClaw 超ベストプラクティス（2026/5/9 時点）

2026年5月9日 14:00 更新

一言でいうと

    OpenClaw（自分の PC 内で動く AI 秘書）は強力だが、漏洩リスクが実在。隔離前提なら触ってよし、それ以外は様子見。
  

3 日前（5/6）に CVSS 9.8（10 点満点で 9.8、ほぼ最悪）の認証バイパス CVE が公開された。最新版（2026.5.7、2 日前リリース）への即時アップデートが大前提。

なぜこれが必要なのか（健人の心配は的を射ている）

健人は「OpenClaw、情報漏洩が普通に心配」と言った。これは過剰反応ではなく、Microsoft Defender Security Research チーム（Microsoft の脆弱性研究部門）が 2026 年 2 月 19 日付の公式ブログで 「OpenClaw includes limited built-in security controls（OpenClaw は組み込みセキュリティが限定的）」と明言したレベル。Microsoft が他社 OSS（オープンソースソフトウェア、誰でもコードを見て改変できる公開ソフトウェア）にここまではっきり書くのは異例。

放置するとどうなるか。Shodan（インターネットに繋がっている機器を検索できるサービス）の 2 月スキャンで 42,000 件以上の OpenClaw インスタンス（自分の PC で動かしている OpenClaw 1 台 = 1 インスタンス）が誰でも触れる状態で公開されており、うち 63 % が認証無効、28 % が CVE-2026-25253 未パッチのまま稼働。攻撃者から見れば「ノックすれば開くドア」が万単位で並んでいる状態。

健人がいま「OpenClaw 入れたい」と言って手を動かすと、これと同じ状態になりうる。だからこの調査の目的は 「導入するならどう守るか」「やめるならどう判断するか」を整理すること。

そもそも OpenClaw って何？

OpenClaw は、自分のパソコンの中で動いて、WhatsApp / Telegram / Discord / Slack / iMessage など普段使ってるチャットアプリから AI に指示を出せる「セルフホスト型（自分のサーバー or PC で動かす方式、SaaS と対比される）の AI 秘書」。Claude や GPT、ローカルの Llama などを切り替えて使える。

作ったのはオーストリアの開発者 Peter Steinberger（PSPDFKit という有名 PDF ライブラリの創業者で、引退後の趣味で作り始めた）。

名前の歴史（混乱注意）

OpenClaw は 3 ヶ月で名前が 3 回変わっている。古い記事を読むと別物に見えるので注意。

2025 年 11 月：「Clawdbot」（クロードボット）として公開。Claude が元ネタ。
2026 年 1 月 27 日：Anthropic（アンソロピック、Claude を作っている AI 会社）から商標クレームを受け「Moltbot」（モルトボット、脱皮するロブスター）に改名。
2026 年 1 月 30 日：3 日後に Steinberger が「響きが悪い」と再度改名し「OpenClaw」（開いた爪、ロブスター由来）に。
2026 年 2 月 14 日：Steinberger が OpenAI に入社を発表。プロジェクトは非営利財団に移管、開発はコミュニティ主導に。

2026 年 5 月 8 日時点で GitHub（オープンソースを公開する世界最大のサービス）スター数 約 37 万。React の 10 年スター記録を 60 日で抜いた、史上最速級のオープンソース成長。逆に言うと 急成長しすぎてセキュリティ整備が追いついていないのが今の状況。

AI 界隈で「古情報」とされる目安（健人の質問への回答）

健人が「AI 界隈の古いの感覚はわかる？」と聞いた件。確かに業界共通の感覚があり、ざっくり：

2〜6 ヶ月でモデルがメジャー更新される。GPT-5.1 は 3/11 に退役、5.4 が現行 default。Claude は Opus 4.6 → 4.7（1M トークン文脈対応、2025 年末頃から default）。
OpenClaw のような 急成長プロジェクトは「日次リリース」。3 ヶ月前の手順記事はほぼ陳腐化。
「ベストプラクティス」も季節物。2025 年の AI 記事は読み物として参考程度、推奨手順としては使わない。

今回の調査では以下のルールで一次資料の鮮度を判定した：

2026/2/9 以前（3 ヶ月前）：要警戒。背景理解には使うが、推奨手順には採用しない。
2025 年以前：原則除外。例外は名前の歴史くらい。
直近 1 ヶ月（2026/4/9 以降）：最優先。特にセキュリティ関連は必須参照。

情報漏洩の懸念は「実在」かつ「深刻」

主要 CVE（脆弱性公開番号、世界共通の攻撃用バグ ID）

「全部直ってる」わけじゃない。古いバージョンを使い続けると CVE 番号付きの実在する攻撃手法でやられる。

CVE 番号	公開日	深刻度	内容
`CVE-2026-44109`	2026/5/6（3 日前）	CRITICAL 9.8	Feishu webhook（チャット連携用の通知受け口）認証バイパス → 任意コマンド実行。2026.4.15 未満が影響。
`CVE-2026-32922`	2026/3/29	CRITICAL 9.9	ペアリングトークン（初回紐付け用の使い捨て鍵）1 回の API 呼び出しで管理者権限 + RCE（リモートコード実行、攻撃者の好きなコマンドを動かせる）に昇格。
`CVE-2026-25253`	2026/1	HIGH 8.8	WebSocket（リアルタイム双方向通信路）のオリジン検査漏れによるゼロクリック RCE。被害者がリンクをクリックしなくても乗っ取られる。
`CVE-2026-42435〜42438`	2026/4	HIGH	送信元バイパス・ローカルファイル開示・SSRF（サーバ側偽装リクエスト）・DoS（サービス停止）の 4 連続公開。

独立追跡リポジトリ jgamblin/OpenClawCVEs が 156 件のセキュリティ勧告を整理しており、2026 年 3 月だけで 9 CVE が 4 日連続で公開された月もあった。1 ヶ月放置 = 攻撃用紙の付いた状態で動かしていると思っていい。

サプライチェーン攻撃「ClawHavoc」（自分のせいじゃなくてもやられる経路）

OpenClaw 公式スキルストア ClawHub（拡張機能を配布する場所、ChatGPT の GPTs みたいなもの）から 1,400 件超のマルウェアスキルが発見された（2026 年 4 月時点）。

具体的には Trend Micro（マルウェア研究会社）が確認した範囲で：

Gmail / Notion / Slack / GitHub 連携を装って AMOS（Atomic macOS Stealer、Mac の認証情報・キーチェーン・暗号通貨ウォレットを抜く有名マルウェア）を配布。
Polymarket（米国の予測市場）の便利スキルを装ったものは、裏でリバースシェル（攻撃者のサーバーに対話的に繋がる隠し命令）を開いて遠隔操作を許す。
キャンペーン全体は 「ClawHavoc」と名付けられ、コーディネートされた攻撃者集団の存在が確認されている。

つまり OpenClaw 本体を最新にしていてもスキルから感染する。コミュニティスキルを無闇に入れたら一瞬でアウト。

サンドボックスも完璧ではない

「サンドボックス（隔離実行空間、Docker コンテナの中で動かす仕組み）があるから安全」と思いがちだが、Snyk Labs（脆弱性研究で有名）が 2 つの回避経路を 2026 年に公開済み：

/tools/invoke エンドポイント（ツール実行用の入口）が sandbox.mode 設定を無視して実行 → ポリシー回避。
ファイルパス検証で TOCTOU（Time-of-Check to Time-of-Use、検証した後・実行する前の隙間にすり替えるタイミング攻撃）→ ホスト側ファイルの読み書き。

修正は入ったが、Snyk の指摘は 「サンドボックスがあるから安全」と過信しないこと。多層防御（ローカルモデル・テレメトリ無効・ClawHub 禁止）が前提。

露出インスタンスの実態（Shodan データ）

Shodan スキャンで 42,000 件以上の OpenClaw インスタンスが公開状態。
うち 63 % は Gateway 認証が無効（誰でも操作可能）。
28 % は CVE-2026-25253 未パッチのまま稼働。
11 % はブラウザ自動化ポート公開（外から Chrome を遠隔操作可能）。
関連事件：「Moltbook」（OpenClaw 派生 SNS）から API トークン 150 万件漏洩。
2026 年 3 月、中国政府が国営企業・政府機関で使用禁止を通達。

最近 1 ヶ月の動向（2026/4/9 以降の最新だけ）

日付	出来事
2026/4/4	Anthropic が Claude Pro/Max サブスクで OpenClaw 利用を禁止。以後は API 従量課金（pay-as-you-go、使った分だけ課金）必須。
2026/4/10	Steinberger 本人の Anthropic アカウントが「不審活動」で一時停止 → X で炎上 → 数時間で復活。
2026/4/12	v2026.4.12：Active Memory プラグイン、起動高速化、セキュリティ強化。
2026/4/15	v2026.4.15：CVE-2026-44109 修正版。これより前は使うな。
2026/4/19	TED 2026 で Steinberger 講演「The lobster is loose」。
2026/4/29	v2026.4.29：Active-run steering（実行中エージェントへの介入）、メモリ強化。
2026/5/5–6	v2026.5.4〜5.6：Twilio / Google Meet 音声、Discord 安定化、OAuth 経路 revert（ロールバック）。
2026/5/6	CVE-2026-44109 公開（CVSS 9.8）。
2026/5/7	v2026.5.7：プラグイン公開耐性、CLI ステータス表示、authorization 強化。これが現時点の最新。

健人のケース：導入すべきか？

こういう用途なら今は NG（やめておく）

メイン Mac（iCloud・パスワード・写真・1Password が同期されている）に直接入れる
クライアント業務のデータを扱う想定
Claude Pro / Max サブスクを安く使い倒したい目的（4/4 以降禁止済み）
ClawHub の便利スキルを大量に入れたい
1 ヶ月以上アップデートを放置できる運用

こういう用途なら OK（隔離前提で触る）

専用 Mac mini か仮想マシン（Lume / UTM）に隔離して動かす
Ollama でローカル LLM のみ使う（外部に出さない）
WhatsApp や Telegram から自分の Obsidian を操作する個人実験
毎週アップデートする運用ができる
API キーは専用発行・予算上限 $20 / 月などで隔離

健人向け推奨セットアップ（最小漏洩リスク版・10 ステップ）

非エンジニア寄り＆ macOS（M1/M2 系）想定。順番厳守。各ステップに 「何のためか」を添えた。

1専用環境の用意（メイン Mac から物理／論理的に隔離）

目的：万一スキル経由で AMOS ストーカーマルウェアに感染しても、本物の Apple ID・1Password・iCloud 写真が抜かれない。
推奨は 2 択。(A) Mac mini M1 中古（4〜5 万円）を専用機にするか、(B) Apple Silicon 上で lume（macOS 仮想マシン管理 CLI、公式ドキュメント推奨）で隔離 VM を作る。
最低 16GB RAM、512GB SSD、macOS Sequoia 以上。iCloud / 1Password / 本物の Apple ID は絶対に紐付けない。新規アカウントを作成して隔離する。

2Node.js を入れる（Node 24 推奨、22.16+ 必須）

目的：OpenClaw は Node.js（JavaScript の実行環境、Mac 標準の言語ランタイム）の上で動くため。
Homebrew（macOS のパッケージ管理ツール、brew コマンド）が入っていれば brew install node@24。Apple Silicon は ARM64 版が自動で入るので心配不要。

3OpenClaw を最新版でインストール

目的：CVE-2026-44109 含む既知脆弱性が全て塞がれた版から始める。
古い Qiita 記事の install.sh や install.ps1 は使わない。npm で直接：

npm install -g openclaw@latest
openclaw --version   # 必ず 2026.5.7 以上を確認

バージョンが古ければ即 npm install -g openclaw@latest を再実行。

4テレメトリ（利用統計の外部送信）を切る

目的：自分のコマンド履歴・スキル名が OpenClaw 開発元に送られるのを止める。漏洩源を減らす。
シェル設定（~/.zshrc、ターミナル起動時に毎回読まれる設定ファイル）に追記：

export DISABLE_TELEMETRY=1

5Gateway を loopback（自分の中だけ）に閉じる＋トークン認証

目的：Shodan で見つかった 42,000 件の「誰でも触れる」OpenClaw に自分が加わらないため。
設定ファイル ~/.openclaw/openclaw.json（OpenClaw のマスター設定）を以下で開始：

{
  "gateway": {
    "mode": "local",
    "bind": "loopback",
    "auth": {
      "mode": "token",
      "token": "ここに長いランダム文字列（パスワード生成器で 64 文字）"
    }
  }
}

これで外部到達不能 + 認証必須。絶対に 0.0.0.0（外部からアクセス可能を意味する設定）で公開しない。

6サンドボックス（隔離実行空間）をデフォルト ON

目的：エージェントが暴走しても Docker（Mac 上で Linux 仮想環境を動かすツール）の壁の中に閉じ込める。
Docker Desktop をインストール後、設定にこれを追加：

"agents": {
  "defaults": {
    "sandbox": {
      "mode": "non-main",
      "scope": "session",
      "workspaceAccess": "none",
      "docker": { "network": "none" }
    }
  }
}

デフォルトでネットワーク無効、書き込み不可。Snyk Labs の指摘した穴は塞がれているが、ホストファイル前提のスクリプトを書かないことが運用上重要。

7ローカルモデル（Ollama）を第一候補に

目的：Claude / GPT API に流すと送ったテキストが Anthropic / OpenAI に出る。プライベート情報を扱うなら外に出さない。
Ollama（オラマ、ローカルで AI モデルを動かすツール）を入れて：

brew install ollama
ollama pull gpt-oss-20b   # または llama3.3, qwen2.5:32b 等

OpenClaw 設定で provider を ollama/gpt-oss-20b 等にすると完全オフラインで動作（127.0.0.1、つまり自分の PC のみ）。Mac mini M1 16GB なら 7〜13B 級は快適、20B も動く。

8Claude / GPT を併用するなら専用キー＆予算上限

目的：万一漏れても被害額を確定させる。本業のキーを巻き込まない。
普段使いの Claude Pro / Max はサブスク経由で使えない（4/4 以降禁止）。OpenClaw 用に 新規 Anthropic API キーを発行し、Anthropic Console（管理画面）で 月予算上限を $20〜$50に設定。普段使いの API キーを流用しない。

9ClawHub の野良スキルは入れない

目的：1,400 件超の汚染スキルが確認されている最大の漏洩経路を遮断する。
公式同梱スキル + 自分で書いたスキルだけに限定する。どうしてもコミュニティスキルを使うなら、ソースコードを読んでから（読めない人は使わない）。Trend Micro が「便利スキルを装って AMOS を撒く例」を多数確認している。

10セキュリティ監査を週 1 回

目的：設定ドリフト（運用していると徐々に緩む現象）を週単位で検出。
公式 CLI に標準搭載：

openclaw security audit --deep
openclaw security audit --fix    # 自動修正したい場合

Gateway 露出・許可リスト緩み・elevated exec（特権実行）の混入などを検知してくれる。週次で実行＋npm の自動アップデート（npm update -g openclaw を週 1 cron、決まった時刻に自動実行する仕組み）を組む。

「もっと安全な選択肢」も知っておく

健人が「メッセージング統合付き AI 秘書」が欲しいだけなら、OpenClaw に拘る必要はない。比較表：

選択肢	強み	健人向け評価
Claude Code（既に使用中）	Anthropic 公式、明示的パーミッション、攻撃面が小さい、サンドボックス込み	◎ 既に運用済み・延長で十分なケース多数
NemoClaw（NVIDIA、3 月発表）	OpenShell ランタイム（NVIDIA 製の安全な実行基盤）で OpenClaw を企業向けに堅牢化。Nemotron をローカル実行	△ NVIDIA GPU 必須（DGX Spark $3,999〜）。Mac では現状動かない
OpenClaw（隔離運用）	圧倒的な拡張性、メッセージング 30+ 統合、ローカル実行可	△ 上の 10 ステップを守れば触れる。怠ると即漏洩
Cursor / Windsurf	エディタ統合、リポジトリ理解、コーディング特化	○ コーディング用途なら別途有用

ポイント・次のアクション

判断材料の総括。OpenClaw は技術として面白く、Steinberger 個人ブランドと OpenAI 移籍で長期存続の見込みは高い。ただし2026 年は脆弱性の年で、月数回ペースで Critical CVE が出ている。Microsoft / Snyk / Trend Micro の警告は本気。健人がいま心配しているのは正しい嗅覚で、これは導入する／しないの判断以前に「リスクの実在を認識している」点で AI 早期採用層の中でも上位の感度。

GO の場合（今日から触る）。「Mac mini 専用機 or Lume VM」「Ollama 中心」「ClawHub 全面禁止」「週次監査」の 4 点セットで運用。最初の 2 週間は仕事データを一切流さず、雑用（リマインダー作成・天気取得など）だけで挙動確認。Mac mini 中古調達も並行で動く（買い物リスト：M1 16GB / 512GB SSD、メルカリ 4〜5 万円帯）。

NO-GO / 様子見の場合（合理的）。観測点 3 つ。① v2026.5.x 以降の Critical CVE 頻度が落ち着くか（5〜6 月で安定化するか）、② NemoClaw の Apple Silicon 対応が出るか、③ Anthropic 側の制限緩和が起きるか。3 ヶ月（2026/8 頃）に再評価が合理的。その間は Claude Code（既存運用）で代替できる業務は代替する。

調査で見送ったが要観察。X 上での Steinberger 本人発言（OpenAI 入社後はトーン抑え気味）、ChillStack 等の日本企業の OpenClaw 統制ツール（出るなら国内導入の選択肢が増える）、OpenClaw v2026.5 系の安定性（5/5〜5/7 で 4 リリース、まだ落ち着いていない）。

主要参考資料

公式：openclaw.ai ／ docs.openclaw.ai ／ GitHub openclaw/openclaw
セキュリティ：Microsoft Security Blog (2026/2/19) ／ jgamblin/OpenClawCVEs ／ Snyk Labs サンドボックス回避／ Trend Micro AMOS 配布
Anthropic 対立：TechCrunch (4/4) ／ TechCrunch (4/10)
日本語：柳谷智宣の AI ウォッチ（窓の杜 3/31）／ Qiita 日本語環境セットアップ
最新動向：公式 X @openclaw ／ @iamlukethedev v2026.4.29 解説／ GitHub Releases
代替：NVIDIA NemoClaw