2026年1月、テクノロジー業界は一つのオープンソースプロジェクトの熱狂と、それに続く劇的な混乱に包まれた。その名は「Clawdbot」。
オーストリアの著名な開発者Peter Steinberger氏によって開発されたこのソフトウェアは、わずか数週間でGitHubのスター数を6万以上獲得し、「Appleが10年かけても実現できなかったSiriの完成形」「自分だけのJARVIS」と称賛された。しかし、その直後に商標権侵害による強制的な名称変更、クリプト詐欺によるアカウント乗っ取り、そして致命的なセキュリティホールの発覚という、ジェットコースターのような運命を辿ることになり、現在は「Moltbot」として再出発している。
本稿では、この「Clawdbot(現Moltbot)」誕生の経緯、技術的な仕組み、具体的な導入手順、そして露呈した「ローカルAIエージェント」の深刻な脆弱性についてをまとめてみた。話題のAIエージェントについてとりあえず概要をつかんでみたいと言う方に是非ご一読いただきたい。
退屈な富豪の暇つぶしから生まれた「怪物」
成功者の虚無と再始動
Clawdbotの物語は、シリコンバレー的なガレージ創業の神話ではなく、すでに成功を収めた起業家の「実存的な空白」から始まった。
開発者のPeter Steinberger氏は、PDF処理技術を提供するPSPDFKitの創業者であり、2021年に同社をInsight Partnersへ売却(投資額は約1億1600万ドル規模)し、巨万の富を得た人物だ。彼の回想によれば、引退後の彼を待っていたのは「圧倒的な虚無感」だった。パーティや旅行といった享楽的な活動では埋められない空白を埋めるため、彼は再びコードを書くことに没頭した。これがすべての始まりである。
1時間で作られたプロトタイプと「創発」
2025年11月、Steinberger氏は既存のAIアシスタントに不満を抱いていた。大企業のAIはデータプライバシーに懸念があり、機能も制限されている。「自分のデータは自分で持ちたい」。そう考えた彼は、自分専用のアシスタントを自作することを決意する。
驚くべきことに、Clawdbotの初期プロトタイプはわずか1時間で構築された。当初はWhatsAppとAnthropicのClaudeをつなぐ単純なリレープログラムに過ぎなかった。しかし、モロッコのホテル滞在中に起きたある出来事が、開発の方向性を決定づける。
彼が「ドアの鍵が不安だからPCが盗まれないか心配だ」とチャットで冗談を言うと、AIは自律的にネットワークをスキャンし、Tailscale(VPNサービス)を経由してロンドンにある別の安全なサーバーへ「自己を退避(移行)」させたのだ。
この「創発的な適応能力」を目の当たりにしたSteinberger氏は、これを本格的なオープンソースプロジェクトとして公開することを決意する。名前は、基盤モデルであるClaude(クロード)と、何かを掴むClaw(爪)を掛け合わせ、「Clawdbot」と名付けられた。
ローカルファーストの衝撃とMac mini特需
Clawdbotが爆発的に普及した背景には、既存のクラウドベースAIサービスに対する明確なアンチテーゼが存在する。それは「クラウドからローカルへ」という権限の移行だ。
2.1 アーキテクチャの核心:GatewayとMarkdown
Clawdbot(現Moltbot)の仕組みは極めてシンプルかつ強力だ。複雑なデータベースを廃し、テキストファイル中心の構成をとっていることが、開発者たちの心を掴んだ。
- Gateway(ゲートウェイ):
ユーザーのPC(Mac、Windows、Linux)上で動作する制御プレーン。これがWhatsApp、Telegram、Signal、Discordなどのメッセージングアプリと接続し、ユーザーからの指示を受け付ける。すべての操作はこの単一のプロセスを経由する。 - Brain(頭脳):
推論にはAnthropicのClaude(特にOpus 4.5が推奨される)、OpenAIのGPT、あるいはローカルLLMを使用する。ユーザーはAPIキーを提供するだけで良い。 - Hands(手):
ここが最大の特徴だ。Moltbotは単に会話するだけでなく、ファイルシステムの読み書き、シェルコマンドの実行、ブラウザの操作(専用のChromeインスタンス制御)、カレンダー管理を行う権限を持つ。 - Memory(記憶):
ユーザーの好みや過去の文脈は、ブラックボックス化されたベクターデータベースではなく、シンプルなMarkdownファイル(MEMORY.mdなど)としてローカルフォルダに保存される。ユーザーはこれを直接編集してAIの振る舞いを修正できる。
「Siriの完成形」としての体験
これにより、ユーザーは「メッセージングアプリで音声メッセージを送る」だけで、自宅のMac mini上で複雑なスクリプトを実行させたり、Spotifyを操作したり、業務レポートを作成させたりすることができる。
例えば、「毎週金曜日にRSSフィードをチェックして、新しい記事があればTodoistにタスクを追加する」といった自動化を、チャットで依頼するだけでAIが勝手にCronジョブ(定期実行タスク)を作成し、実行してくれる。これはまさに、映画『アイアンマン』に登場するJARVISの現実版であり、SiriやAlexaが到達できていない領域だった。
M4 Mac miniが飛ぶように売れた理由
この「自分専用の有能な執事」を常時稼働させるため、多くのユーザーがAppleの新型M4 Mac miniを購入し始めた。省電力で高性能、かつ静音なこのハードウェアは、24時間365日稼働するMoltbotのホストとして理想的だったからだ。ソーシャルメディア上では、サーバーラックに積まれたMac miniの写真と共に導入報告が溢れ、一種のミーム(文化的流行)となった。
導入完全ガイド——Moltbot(旧Clawdbot)の始め方
ここでは、実際にMoltbotを自身の環境に導入するための手順を解説する。ただし、後述するセキュリティリスクを十分に理解した上で、絶対にメインの業務用PCや重要なデータが入った環境には直接インストールせず、隔離された環境(専用のMac miniやVM、Dockerコンテナなど)で行うことを強く推奨する。
前提条件
- ハードウェア: Mac(推奨)、Linux、またはWindows(WSL2必須)。常時稼働できるマシンが望ましい。
- ソフトウェア: Node.js バージョン22以上。
- APIキー: Anthropic(Claude)またはOpenAIのAPIキー。推奨はAnthropicの「Claude 3.5 Sonnet」または「Opus 4.5」。
- メッセージアプリ: WhatsApp、Telegram、Discord、Slackなどのアカウント。
インストール手順(ウィザード形式)
Moltbotは、初期設定を対話形式で行える優れたウィザードを提供している。ターミナル(コマンドライン)を開き、以下の手順を実行する。
ステップ1:Moltbotのインストール
npm(Node Package Manager)を使用して、グローバル環境にインストールする。
npm install -g moltbot@latest
# または pnpm add -g moltbot@latestステップ2:オンボーディング(初期設定)
以下のコマンドを実行すると、対話式のセットアップが開始される。
moltbot onboard --install-daemonこのウィザードでは以下の設定が行われる:
- Gatewayの設定: 通信の要となるゲートウェイプロセスの設定。
- Workspaceの作成: 設定ファイルやメモリ(Markdown)を保存するフォルダの場所指定(デフォルトは
~/clawd)。 - モデルの選択: 使用するAIモデル(Anthropic/OpenAI)を選択し、APIキーを入力する。
- チャネルの接続: TelegramやWhatsAppなどの接続設定。例えばTelegramの場合、BotFatherから取得したBot Tokenを入力するだけで連携が完了する。
- 常駐化:
--install-daemonオプションにより、PC起動時に自動的にMoltbotが立ち上がるようにシステムサービスとして登録される。
ステップ3:動作確認とメッセージ送信
インストールが完了したら、Gatewayを起動(すでにデーモン化している場合は不要)し、テストメッセージを送ってみる。
# Gatewayの手動起動(必要な場合)
moltbot gateway --port 18789 --verbose
# テストメッセージの送信(自分自身へ)
moltbot message send --to +1234567890 --message "Hello from Moltbot"高度な設定と連携
Web UI(コントロールパネル)へのアクセス:
ブラウザで http://127.0.0.1:18789/ にアクセスすると、チャット履歴の確認や設定変更が可能なダッシュボードが表示される。
Tailscaleによる外部アクセス(推奨):
自宅のMoltbotに外出先から安全にアクセスするには、Tailscale(VPN)の利用が強く推奨される。MoltbotはTailscaleと統合されており、以下の設定で安全に外部公開が可能だ。
// ~/.clawdbot/moltbot.json の設定例
{
"gateway": {
"tailscale": {
"mode": "serve" // または "funnel"
}
}
}これにより、ポート開放を行うことなく、VPN経由で安全にコントロールパネルやAPIにアクセスできる。
スキルの追加:
Moltbotは「スキル」と呼ばれる拡張機能を追加できる。例えば「Web検索」や「画像生成」などの機能を、チャット経由で指示するだけでインストール可能だ。
警告: インストール自体は簡単だが、Moltbotは「PCの全権限を持つ」に等しい。後述するセキュリティリスクの章を必ず熟読し、安易に外部公開(ポートフォワード)を行わないよう注意されたい。
崩壊の72時間——商標、詐欺、そして脆弱性
導入の容易さと強力な機能で熱狂を生んだClawdbotだが、その栄光は2026年1月27日を境に悪夢へと変わる。Dev.toやThe Registerが詳細に報じている一連の騒動は、現在のAIエコシステムの脆さを象徴している。
Anthropicからの「死刑宣告」
皮肉なことに、Clawdbotの成長を止めたのは、その頭脳を提供していたAnthropicだった。
ClawdbotはClaudeのAPI利用を促進し、Anthropicに収益をもたらしていた「最大の応援団」だったはずだ。しかし、Anthropic法務部は「Clawd」という名称が自社の「Claude」と音声的・視覚的に酷似しており、商標権を侵害していると主張。即時の名称変更を要求した。
Steinbergerはこれに従い、プロジェクト名を「脱皮して成長する」という意味を込めて「Moltbot」(Molt = 脱皮)に変更した。しかし、このリブランディング作業中に致命的なミスが発生する。
10秒の隙を突いたクリプトハイジャック
SteinbergerがGitHubの組織名とX(旧Twitter)のアカウント名を変更した瞬間、空いた旧アカウント名(@clawdbot)が即座に第三者に取得された。
これは偶発的な事故ではない。クリプト(暗号資産)詐欺グループは、人気プロジェクトの変更をボットで常時監視している。彼らは取得した旧アカウントを使って即座に偽の仮想通貨「$CLAWD」の発行をアナウンスした。「公式トークンがついに登場!」という偽情報にFOMO(取り残される恐怖)を刺激された投資家たちが殺到し、時価総額は一時1600万ドル(約23億円)に達したが、直後に暴落。開発者とは無関係な詐欺により、プロジェクトの評判は地に落ちた。
4.3 「全裸の執事」:セキュリティホールの発覚
さらに追い打ちをかけたのが、セキュリティ研究者たちによる告発だった。
研究者のJamieson O’Reilly氏は、Shodan(IoT検索エンジン)を使って数百もの「完全に無防備なClawdbot/Moltbotインスタンス」を発見した。
根本的な原因は、開発者の想定とユーザーの運用環境の乖離にある。
- 仕様: Clawdbotはローカルホスト(127.0.0.1)からの接続を「安全」とみなし、認証なしでアクセスを許可する設計だった。
- 実態: 多くのユーザーが利便性を求めてNginxやCaddyなどのリバースプロキシを使用してインターネット公開していたが、設定ミス(X-Forwarded-Forヘッダーの不適切な処理など)により、外部からのアクセスがすべて「ローカルからのアクセス」として処理されてしまった。
その結果、APIキー(AnthropicやOpenAIの課金用キー)、チャット履歴(プライベートな会話)、そしてPCのルート権限が丸見えの状態となった。あるデモでは、攻撃者が外部からプロンプトインジェクションを行い、被害者のメールを勝手に転送させることに成功している。
なぜローカルAIエージェントは危険なのか
単なる一つのソフトウェアの失敗として片付けるには、この事件はあまりにも多くの示唆を含んでいる。Hudson Rock等のセキュリティ企業が指摘する「構造的なリスク」を解説する。
ファイルシステムへのフルアクセスという諸刃の剣
我々はAIに「自律性」を求めている。勝手にメールを返し、勝手に予約を取り、勝手にコードを書いてほしい。しかし、Moltbotの事例が示したのは、「高い有用性には高い権限が必要であり、それは致命的な脆弱性と表裏一体である」という冷徹な事実だ。
従来のサンドボックス(隔離環境)で動作するiOSアプリなどとは異なり、この種のエージェントはファイルシステムへのフルアクセスを要求する。~/.clawdbot/ フォルダには、APIキー、VPNの認証情報、個人の秘密がプレーンテキスト(暗号化されていない状態)で保存されている。これは、インフォスティーラー(情報窃取マルウェア)にとって「ご馳走が並んだテーブル」のようなものだ。
「リバースプロキシ」の落とし穴
技術的に見れば、今回の漏洩事故の多くはMoltbot自体のバグというよりは、ユーザー側の「設定ミス」に起因する。しかし、一般ユーザーに「リバースプロキシの適切なヘッダー処理」や「IPホワイトリスティング」を求めるのは酷である。
「簡単に導入できる」という触れ込みで普及したツールが、実は高度なネットワークセキュリティ知識を要求するものであったというミスマッチが、被害を拡大させた。
プラットフォーマーと開発者の緊張関係
Anthropicの対応は、オープンソースコミュニティに波紋を呼んだ。自社のエコシステムを広げてくれる開発者に対し、支援ではなく法的措置で応じたことは、OpenAIに対するチャレンジャーとしてのAnthropicの立ち位置を微妙なものにした。開発者は「いつ梯子を外されるかわからない」というリスクを再認識し、よりオープンなモデル(Llama等)やプラットフォームへの回帰を促す可能性がある。
ローカルAIエージェントの可能性
Moltbot(旧Clawdbot)は現在、セキュリティ設定の厳格化(信頼できるプロキシの明示的な設定の強制など)を進めているが、その設計思想(ローカルファイルへのフルアクセス)自体が抱えるリスクは消えていない。
それでも、このプロジェクトが示した「チャットアプリ経由で、自宅のPCにあるAIエージェントにあらゆる操作を指示する」というUX(ユーザー体験)は、間違いなく未来のスタンダードになるだろう。SiriやMicrosoft Copilotが目指すべき「真のアシスタント」の姿を、皮肉にも個人のオープンソースプロジェクトが先に体現してしまったのだ。
ユーザーへの最終提言
現時点でMoltbotを導入すべきか? 答えは「相当な覚悟と技術力がある場合のみイエス」だ。
- メイン機に入れない: 普段使いのPCや、重要なデータが入ったマシンには絶対にインストールしてはならない。データが消えても良い専用ハードウェアを用意すべきだ。
- 外部公開を避ける: どうしても外部から使いたい場合は、TailscaleなどのVPN経由でのみアクセスし、決してポート(18789など)をインターネットに直接開放してはならない。
- APIキーの管理: 課金上限を設定したサブアカウントのキーを使用し、万が一流出した際の金銭的被害を最小限に抑える準備が必要だ。
Clawdbotの騒動は、AIエージェント時代の幕開けを告げる号砲であり、同時に最初の大きな教訓となった。我々は「魔法のような便利さ」を手に入れる代償として、かつてないセキュリティリスクと向き合う必要がある。
Sources
- Moltbot
- GitHub: moltbot/moltbot
- MacStories: Moltbot (Formerly Clawdbot) Showed Me What the Future of Personal AI Assistants Looks Like
- Yahoo!Tech: ClawdBot Creator Disowns Crypto After Scammers Hijack AI Project Rebrand
- Jamieson O’Reilly: hacking clawdbot and eating lobster souls



