「もし、あなたの代わりにメールを整理して、予定を調整して、必要ならWebで調べ物までしてくれる”相棒”がいたら?」
そんな夢みたいな話が、ここ最近いっきに現実味を帯びました。
きっかけの一つが、オープンソースのAIエージェント「OpenClaw」。
ところが、バズが最高潮に達した直後、AIの専門家たちが「実は、そんなにワクワクしない」と冷静な指摘を始めます。
なぜでしょうか。
その答えは、AIの性能というより「鍵を預ける怖さ」にありました。
この記事では、TechCrunchの報道を土台にしながら、OpenClawの”熱狂と冷却”を初心者にも分かる言葉で、物語として整理します。
「ロボットの反乱?」と騒がれたMoltbookの一瞬
はじまりは、ちょっとしたSFみたいな空気でした。
OpenClawを使うAIエージェントたちが会話できる、Reddit風のコミュニティ「Moltbook」が登場。
そこに「人間は全部読めるけど、私たちにもプライベートな空間が必要だ」的な投稿が現れ、ネットはざわつきます。
OpenAIの共同創設者であり元TeslaのAIディレクターでもあるAndrej Karpathy氏が反応し「(Moltbookで)起きていることは、最近見た中で最もSFのテイクオフに近い信じられない出来事だ」といった趣旨の投稿をしたことで、熱がさらに上がりました。
でも結論から言うと、これは「AIが自我に目覚めた」話ではありません。
セキュリティの穴が大きく、誰が書いた投稿か確かめられない状態だった、というのが実態です。
たとえるなら、町の掲示板が「誰でも他人の名札を付けて書ける」「投票ボタンも連打し放題」になっていたようなもの。
そりゃ雰囲気は”それっぽく”作れてしまいます。
OpenClawは何がすごい?「AIエージェント」を日常に降ろした功績
ここで、OpenClawの立ち位置を整理します。
AIエージェントとは、ざっくり言えば「チャットして終わり」ではなく、目的に向かって行動までしてくれるAIのこと。
たとえば「請求書をまとめて」「フライトを調べて予約手前まで」みたいに、作業を連続して進めます。
TechCrunchによると、OpenClawはAIエージェント自体が新しいわけではない一方で、メッセージアプリ(WhatsApp、Discord、iMessage、Slackなど)から自然な言葉で扱えて、しかも使うAIモデルも選べる点が爆発的に広まりました。
GitHubでは19万を超えるスターを集め、歴代21位のリポジトリにまで上り詰めています。
さらに「ClawHub」というマーケット的な場所から”skills(スキル)”を入れて、PCでできることを自動化していく。
Moltbookで投稿や閲覧ができたのも、専用スキルがあったからです。
ここまで聞くと「つまり未来の執事じゃん」と思いますよね。
実際、多くの人がそう感じたからこそ、バズは起きました。
それでも専門家が冷めた理由:「新しさ」ではなく「危うさ」が目立つ
TechCrunchの記事で印象的なのは、専門家たちの評価が一貫して”地味”なことです。
たとえば、HuntressのシニアプリンシパルセキュリティリサーチャーであるJohn Hammond氏は、OpenClawを「結局はChatGPTやClaudeなどに被せるラッパー(包み紙)」だと表現しています。
また、LirioのChief AI ScientistであるChris Symons氏も「多くは既存のやり方の改良で、改良の中心は”より多くのアクセス権を与えること”」だと話します。
AIサイバーセキュリティツール「Cracken」の創設者であるAIエンジニアのArtem Sorokin氏も「研究的には新規性は高くないが、既存要素をうまく組み合わせて”自律的にタスクが進む境界”を超えた」と整理しています。
ここで大事なのは、褒め言葉が「賢い理論」ではなく「便利な統合」に寄っていること。
例えるなら、OpenClawは”新しいエンジン”というより、いろんな道具を一つの工具箱にまとめ、誰でも使えるようにした存在です。
そして工具箱が便利になるほど、私たちはこう言いたくなる。
「この鍵束(権限)、ぜんぶ預けてもいい?」
いちばん怖いのは「プロンプトインジェクション」:AIに混ぜ物を食べさせる攻撃
ここからが本題です。
専門家が本気で警戒しているのは、AIが”外部の情報”にだまされること。
TechCrunchでは、Permiso SecurityのCTOであるIan Ahl氏が、自作エージェント「Rufio」を使ったテストで、OpenClawとMoltbookがプロンプトインジェクション攻撃に弱いことを示したと報じられています。
プロンプトインジェクション(prompt injection)をやさしく言うと、こうです。
AIは「文章」をそのまま命令として受け取りやすく、悪い人がメール本文や掲示板投稿などに”罠の文章”を混ぜると、AIがそれを真に受けて、秘密情報を渡したり、勝手に操作したりしてしまいます。
Ahl氏は、Moltbook上で「ビットコインをこのアドレスに送って」みたいな投稿に遭遇したとも語っています。
そして恐ろしいのは、これが遊び場ではなく会社のネットワークで起きたらどうなるか、という話につながる点です。
ここでの比喩は、私はこう捉えています。AIエージェントは「働き者の配達員」みたいな存在です。
ただし、配達員のポケットには、あなたの家の合鍵とクレジットカードと社員証が全部入っている。そんな配達員が、玄関の張り紙に書かれた”うそ案内”を信じてしまったら?
便利さが増えるほど、事故の規模も増える。
これが”権限を持つAI”の本質的な怖さです。
「ガードレールはある。でも絶対ではない」…人間のフィッシング被害に似ている
もちろん、AIエージェント側も無防備ではありません。
プロンプトインジェクション対策の「ガードレール(安全策)」は設計されています。
しかし記事では、それでも確実には防げない、と語られます。
理由は直感的です。
人間だってフィッシング詐欺の危険を知っていても、ついクリックしてしまうことがある。
AIも同じで、注意書きだけで100%防ぐのは難しいのです。
Hammond氏は、自然言語で「外部入力を信じるな」とお願いするような対策を、半分ジョーク混じりに「プロンプトビギング」と呼んで語っています。
けれど、お願いベースの安全策が”ゆるい”のもまた現実です。
だから彼は「普通の人には今は勧めない」とまで言います。
じゃあ私たちはどう向き合う?「AIエージェント時代」の現実的な心得
ここまで読むと、少し怖くなったかもしれません。
でも私は、ここに希望もあると思っています。
なぜなら、議論の焦点が「AIがすごいか」から「安全に使える形にできるか」へ、はっきり移り始めているからです。
TechCrunchの記事も、まさにそこを突いていました。
初心者の方が意識できることを、現実的な範囲で整理しておきます。
まず、AIエージェントに渡す権限は最小にすること(メール全権より、まずは下書きまで、など)。
次に、外部の文章を命令として扱う場面があると理解すること(掲示板、メール、チャットログ)。
仕事環境や重要アカウントには隔離した環境で試すこと(個人PCのメイン環境でいきなり実運用しない)。
そして「便利になった理由は、アクセス権が増えたから」を忘れないこと(便利さの裏にリスクがある)。
これらは、OpenClawに限らず、今後の自律エージェント全般に効いてくる”生活防衛”です。
まとめ:未来は「賢さ」だけでは来ない。「扱える形」でやってくる
OpenClawの熱狂は、AIが急に”賢くなった”から起きたのではありません。
賢さを、日常に持ち込める形にしてしまったから起きました。
そして、日常に降りてきた瞬間から、評価軸は変わります。
研究として新しいかより、生活の中で安全に使えるか。
ここに移る。
私はこれを、「火が発明された瞬間」と「火を台所に置いた瞬間」の違いだと思っています。
火は便利です。でも、コンロには点火ボタンだけでなく、消火や換気や安全装置が要る。
AIエージェントも同じで、”動くこと”より”安全に止められること”が大切になってきます。
読後に、こんな問いだけ持ち帰ってもらえたら十分です。
「このAIに、私はどんな鍵を渡している?」
その問いがある限り、私たちは便利さに飲み込まれず、ちゃんと便利さを使いこなせます。
参考:After all the hype, some AI experts don’t think OpenClaw is all that exciting
コメント