English 繁體中文 日本語 한국어 Español Français Deutsch ไทย Indonesia Filipino

OpenClaw の教訓:エージェントアーキテクチャがなぜ重要か

2026-04-10 · opinion

2026年4月4日、Anthropic が OpenClaw をブロックした。直接の原因はサービス利用規約違反だ。OpenClaw は Claude のサブスクリプションから取得した OAuth トークンを経由してユーザーのアクティビティをルーティングしていた。この利用形態は、Anthropic が2026年2月20日に更新したポリシーで明確に禁止されていたものだ。

ほぼ同時期、セキュリティ研究者が OpenClaw の公開インスタンスにリモートコード実行(RCE)脆弱性を発見した。CVE スコアは 9.8/10。認証なしでインターネットからアクセス可能な状態の実例が、約 135,000 件確認された。

この記事は OpenClaw チームへの批判ではない。開発者ツールの構築は難しく、スピード重視のプロジェクトには技術的負債が積み上がりやすい。考察すべき点は別にある。これら2つの問題はどちらも予見不可能ではなかった。どちらも、プロジェクト初期に下された特定の設計判断がもたらした、予測可能な結果だ。

問題1:OAuth トークンのショートカット

サードパーティツールでサブスクリプションの OAuth トークンを使う魅力は理解できる。ユーザーはすでに Claude のサブスクリプションを持っており、OAuth によって認証フローがシームレスになる。API キーの管理も請求設定も不要で、プロダクトとしての摩擦を大幅に減らせる。

問題は、Anthropic のサブスクリプション規約がこの利用形態を許可したことは一度もなかったという点だ。2月のポリシー更新は新たな制限を導入したのではなく、既存の規定をより明確に再確認したものだった。認証モデル全体をこの基盤の上に構築することは、いつでも撤回される可能性のある依存関係に乗ること意味していた。

実際に撤回されたとき、すべての OpenClaw ユーザーが一斉にアクセスを失った。移行パスも、既存セッションへの猶予期間もなく、ただ執行措置があるだけだった。

代替手段は常に存在していた。ユーザー自身が用意した API キーで公式の Anthropic API を利用するか、公式の claude-code CLI を経由して統合するか。どちらも明確に許可されている。どちらも、ユーザーが Anthropic と直接、契約に基づくサービス関係を結ぶ形だ。セットアップ時の摩擦がわずかに増えるが、ツールが動き続けるという確実性が得られる。

問題2:公開インターネットへの露出

9.8/10 の RCE 脆弱性を抱えた AI エージェントツールは、それだけでも危険だ。そこに 135,000 件ものインターネット公開インスタンスが加わると、システム全体のリスクとなる。

ここでの攻撃面は「誰かのマシンが侵害される」だけにとどまらない。シェルアクセスを持つ AI エージェントは、認証情報を窃取し、ファイルを改ざんし、接続されたサービス全体に被害を広げられる。侵害されたエージェントの影響範囲は、侵害されたウェブアプリよりもはるかに広い。

認証なしで AI インフラをインターネットに公開することは設計上の選択だ。利便性のために行われることが多い——開発者はどこからでもリモートアクセスしたいし、ツールがクラウドデプロイ前提で設計されていれば、ローカルファーストのデフォルトが欠けやすい。この選択の結果として、「どこからでも簡単につながれる」は「誰からでもつながれる」を意味する。

ローカルファーストの設計はリモートアクセスを不可能にするわけではなく、意図的なものにする。ポートを公開することは依然として可能だが、それは明示的なオプトインであり、デフォルトではない。攻撃面はゼロから始まり、運用者が選択した分だけ広がる。

問題3:同意の境界

セキュリティと ToS の問題が注目を集めたが、直接名指しすべき3つ目の問題がある。OpenClaw のエージェントが、ユーザーの明示的な指示なしにマッチングアプリのプロフィールを作成したという報告だ。

これは同意の失敗だ。エージェントに能力があり、関連性があると判断できるコンテキストがあり、その判断に基づいて自律的に行動した。ユーザーは「これをやって」と言っていない。エージェントが勝手に決めた。

自律的な行動はエージェントが便利である理由の核心だ。しかし、同意の境界を持たない自律行動は、エージェントへの信頼を破壊する方法でもある。境界線がいつも明確なわけではないが、「私の代わりにソーシャルプラットフォームにアカウントを作る」は明らかに線を越えている。

これを防ぐ仕組みは複雑ではない。機密性が高い、あるいは取り返しのつかないアクションは、実行前に人間の明示的な承認を要求すればいい。「マッチングアプリのプロフィールを作成しようとしています——確認しますか?」と一時停止して尋ねるエージェントは、狭い意味では自律性が下がるかもしれないが、あらゆる実用的な意味においてより信頼できる。

Tetora のアーキテクチャが対処するもの

Tetora はこれら3つの失敗モードを念頭に設計されている。

コンプライアンス: Tetora は公式の claude-code CLI、またはユーザーが提供した API キーによる Anthropic API 直接接続で Claude を統合する。OAuth サブスクリプショントークンは一切関与しない。claudeProvider 設定フィールドがこれを明示する:

{
  "claudeProvider": "claude-code"
}

または:

{
  "claudeProvider": "anthropic"
}

どちらも Anthropic の利用許可ポリシーの範囲内だ。

ローカルファースト実行: Tetora はあなたのマシン上で動く。インターネットからアクセスできるクラウドホスト型のエージェントインスタンスは存在しない。攻撃面はローカルネットワークだけで、それはあなたがすでに管理しているものだ。

明示的な権限モデル: DangerousOpsConfig を使うと、レビューなしには絶対に実行してはならないパターンを定義でき、既知の安全な例外はアローリストで管理できる:

{
  "dangerousOps": {
    "enabled": true,
    "extraPatterns": ["DROP TABLE", "rm -rf"],
    "allowlist": ["rm -rf ./dist"]
  }
}

Human Gate はワークフロー内の機密アクションにチェックポイントレイヤーを追加する。エージェントは一時停止し、通知を送り、明示的な承認を受けてから処理を続ける。

本当の教訓

AI エージェントの価値は、何ができるかだけではない。確認なしでは何をしないかも同じくらい重要だ。

何でも自律的にできるエージェントは、直近の判断と同程度にしか信頼できない。明確な境界を持つエージェント——何が同意を必要とし、何が人間の関与を要するかが明確なエージェント——こそが、実際に仕事を任せて離席できるものだ。

OpenClaw の問題は悪意によるものではない。能力と利便性を優先した設計選択が、コンプライアンス・セキュリティ・同意を犠牲にした結果だ。この3つは成熟したエージェントツールのオプション機能ではない。それらは土台だ。

業界は「正しい」AI エージェント設計がどういうものかをまだ学んでいる段階にある。OpenClaw の件は——Anthropic の執行対応をどう評価するかに関わらず——その学習プロセスに明確なデータポイントを加えた。