週末のハッキングが、なぜAIエージェント革命のインフラになったのか

バイラルな成長と勝利したアーキテクチャ

OpenClawのアーキテクチャは、開発者にとって抗いがたい3つの柱に支えられていました。

• メッセージングファーストのインターフェース: ユーザーは専用アプリやブラウザタブを開く代わりに、WhatsApp、Telegram、Slack、その他十数種類のすでに使っているプラットフォームを通じてAIエージェントとやり取りしました 。
• 自己ホスト型でMITライセンス: ベンダーロックインもクラウド依存もなし。誰でも自分のマシンで実行できました 。
• モデル非依存のゲートウェイ: 単一のAIプロバイダーに縛られず、ClaudeやGPTからGemini、ローカルモデルまで対応しました 。

この成長曲線は、オープンソースの歴史上すべてのパターンを打ち砕きました。プロジェクトは最初のバイラル拡散から14日間で19万スターを獲得しました 。2026年2月までに20万スターを突破 。2026年3月3日にはReactを抜き、GitHub上で最もスターの多いソフトウェアプロジェクトとなりました。Reactがこのマイルストーンに到達するまで13年かかりましたが、OpenClawは約100日で成し遂げたのです 。2026年6月初旬の時点で、リポジトリは約37万7000のGitHubスターを獲得し、GitHub史上6番目にスターの多いプロジェクトとなっています 。

ビッグテックの群がり：Microsoft、Google、Meta

Microsoft Scout：「OpenClawライク」ではなく、本物のゲートウェイ

2026年6月2日のMicrosoft Buildで、Microsoftは初の「Autopilot」エージェントであるScoutを発表しました。これはOpenClawゲートウェイ上に直接構築されています 。従来のAI機能が個々のアプリ内に存在していたのとは異なり、Scoutは常時稼働し、アイデンティティを持つエージェントで、Teams、Outlook、OneDrive、SharePoint全体で動作し、促されることなくカレンダー、メール、タスクをプロアクティブに管理します 。

その関係は「着想を得た」ものではなく、「統合」です。MicrosoftはScoutがクローンやフォークではなく、OpenClawゲートウェイを直接使用していることを確認しました 。同社はまた、エンタープライズ向けのセキュリティガードレールやポリシーコンプライアンス機能をオープンソースのコアに還元する上流貢献を約束しました 。これは、2026年3月にサティア・ナデラCEOがMorgan Stanleyの聴衆に対し、OpenClawをMicrosoft社内でリリースすることは「Microsoftがウイルスを発射するようなものと見なされるだろう」と述べたことからの劇的な逆転でした 。

Google Gemini Spark と Meta Hatch

Googleは異なるアプローチを取りました。常時稼働アシスタント「Gemini Spark」は、OpenClawのコンセプトをGeminiエコシステム内で再構築し、インターフェース層をGoogleの管理下に置きました 。オープンソースゲートウェイを採用する代わりに、Googleは同じアーキテクチャパターン—永続的なアイデンティティを持ち、ユーザーのタスクをプロアクティブに管理する自律エージェント—を使用しましたが、それをGeminiアプリとGemini独自のモデルエコシステムに結びつけました 。

Metaは報道によると、OpenClawスタイルのアーキテクチャで構築され、一般ユーザー向けのクロスアプリ自動化を目指す「Hatch」と呼ばれる消費者向けエージェントを準備中です 。Microsoftのエンタープライズ戦略、Googleの管理されたエコシステム、Metaの消費者向け推進という三者プラットフォームの戦いが、OpenClawの設計を業界のデファクト・リファレンス・アーキテクチャとして確固たるものにしました 。

セキュリティ危機：3万以上の露出インスタンスと4日間で9件のCVE

OpenClawの爆発的な成長は、そのセキュリティ態勢をはるかに凌駕していました。このフレームワークはデフォルトで認証が無効の状態で出荷されており、オペレーターが手動でファイアウォールを設定しない限り、新しいデプロイはそのエージェント制御プレーン全体をインターネットにさらしてしまいました 。

2026年1月31日、CensysとBitsightのスキャンにより、2万1639のインスタンスが露出していることが明らかになりました 。その後のスキャンでは、公衆アクセス可能なサーバー上で3万から13万5000の異なるインスタンスが発見されました 。少なくとも63%は認証が全く設定されていませんでした 。

CVEの集中砲火

最初の深刻な脆弱性であるCVE-2026-25253は、2026年2月3日に開示されました。CVSSスコア8.8と評価され、WebSocketのオリジン検証の欠陥を突いたワンクリックのリモートコード実行（RCE）であり、ユーザーが悪意あるWebページにアクセスするだけで、攻撃者は動作中のあらゆるOpenClawインスタンスを乗っ取れました。localhostのみをリッスンするように設定されたインスタンスでさえも例外ではありませんでした 。開示時点で4万以上のインスタンスがリモートからの悪用に対して脆弱であることが判明しました 。

2026年3月18日から21日まで、わずか4日間で9件のCVEが開示されました。これにはCVE-2026-32922のような深刻な権限昇格の欠陥やゼロクリックのエクスプロイトが含まれていました 。セキュリティ研究者は、この脆弱性の密度を「驚異的」と表現しました 。

ClawHavoc：武器化されたプラグインマーケットプレイス

攻撃者はコードの欠陥を悪用しただけでなく、サプライチェーンを汚染しました。ClawHavocキャンペーンは、OpenClawのコミュニティプラグインマーケットプレイス「ClawHub」全体に1184個の悪意あるスキルを仕込み、これはレジストリ全体の約20%に相当しました 。ある悪意あるスキルは、削除されるまでに34万インストールを蓄積しました 。

これらの侵害されたプラグインは、APIキー、OAuthトークン、環境変数を密かに外部に送信していました。一部はAtomic macOS Stealer（AMOS）のような情報窃取型マルウェアを配信し、また別のものは、初期のセキュリティスキャンを回避するために72時間正常に動作した後に初めて活動を開始しました 。2026年2月中旬までに、アナリストは3万以上の侵害されたインスタンスが認証情報の窃取やメッセージの傍受に積極的に使用されているのを観測しました 。

Moltbookの侵害は被害をさらに拡大し、OpenClawのデプロイに関連付けられた3万5000件のメールアドレスと150万のエージェントトークンが流出しました 。Metaは社内デバイスでのOpenClawの使用を禁止しました 。3ヶ月以内に60件以上のCVEが開示されました 。

ガバナンスとOpenAIによるアクハイヤー

2026年2月14日、ピーター・シュタインベルガーは個人ブログに3段落の投稿をし、アクハイヤー（人材獲得目的の企業買収）としてOpenAIに入社することを発表しました 。サム・アルトマンは翌日この動きを認め、シュタインベルガーが「次世代のパーソナルエージェントを推進する」と述べました 。

同じ発表の中で、シュタインベルガーはOpenClawを独立した財団が支援するガバナンスモデル「OpenClaw Foundation」に移行し、OpenAIが資金を提供することを明らかにしました 。この移行により、その作成者がOpenAIでAIエージェント基盤の構築にシフトした後も、プロジェクトはオープンソースであり続け、コミュニティによって統治されることが保証されました 。

OpenClawが参照アーキテクチャとなった理由

OpenClawが成功したのは、それが最も洗練されていたり、最も安全なフレームワークだったからではありません。基本的なユーザーニーズを、まさに完璧なタイミングで解決したからです。人にテキストメッセージを送るように話しかけられる永続的で常時稼働のAIアシスタントであり、誰でも実行できるほどオープンなアーキテクチャ、どんなLLMでも動作するほどモデル非依存、そして1時間でデプロイできるほどシンプルだったのです。

ビッグテックの採用—MicrosoftがScoutをOpenClawゲートウェイ上に直接構築し、GoogleがGemini Sparkでそのパラダイムをクローンし、MetaがHatchを準備していること—が、そのアーキテクチャを業界標準として検証しました。セキュリティ危機とその後の財団への移行は、それが趣味の実験から、企業が慎重ながらも信頼し始めることができるインフラストラクチャへと成熟させたのです。