00:00:00OpenClaw(以前はClodbotと呼ばれていましたね)とMoldbookについてですが、
00:00:06ここ数日、ネット上では新しいAIの話題で持ちきりです。私も例に漏れず、
00:00:13OpenClawを最大限に活用しようと試行錯誤してきました。その結果、いくつか思うところがあったのですが、
00:00:19それは巷で見かける動画や投稿とは少し違った意見でした。
00:00:24まずは短い例え話をしましょう。これが何を示唆しているか、すぐに分かるはずです。
00:00:31ある町、あるいは村に住んでいると想像してください。そこには、
00:00:37どんな仕事でも喜んで手伝ってくれる、非常に熱心でフレンドリーな男がいます。
00:00:43彼はあなたがやりたくない雑用を、すべて(少なくともやろうとは)引き受けてくれます。
00:00:48子供の送り迎え、家の掃除、洗車、買い物。何でもこなしてくれるので、
00:00:54あなたは座ってリラックスしていればいいのです。当然、本当に役に立つためには、
00:01:03そのアシスタントには広範な権限を与える必要があります。
00:01:06家の鍵を預け、車の鍵も渡さなければなりません。
00:01:12車内を掃除したり、買い物に使ったりしてもらうためです。
00:01:16もちろん、子供たちにも「彼の車に乗りなさい」と言い聞かせる必要があります。
00:01:21そうして初めて、学校への送り迎えができるようになるわけですから。
00:01:24しかし、その男には一つ問題があります。
00:01:28非常に親切なのですが、時折おかしな結論を出してしまうのです。
00:01:32少なくとも、彼が奇妙な行動に出る可能性は否定できません。
00:01:37例えば、「家から汚れを完全に一掃するには、
00:01:43家ごと燃やしてしまうのが一番だ」と結論づけるかもしれません。
00:01:44あいにく、彼は他人の影響も受けやすく、特に相手が
00:01:51巧妙に騙そうとしてきた場合には無防備です。
00:01:53「車を盗むことが社会全体のためになる」と吹き込まれ、その通りにするかもしれません。
00:02:03必ずしもそうなるとは限りませんが、可能性としては十分にあり得ることです。
00:02:09そのリスクを完全に無視することはできません。
00:02:12そうなると、当然ながら彼を完全には信用できなくなり、
00:02:19せっかく与えた権限やアクセス権の多くを取り上げざるを得なくなります。
00:02:26起こりうる被害があまりに大きく、単なる「潜在的なリスク」として
00:02:33受け入れるには無理があるからです。
00:02:35しかし、権限やアクセス権を制限してしまえば、
00:02:40彼の使い勝手はどんどん悪くなっていきます。
00:02:43さらに、別の問題もあります。
00:02:46権限をフルに与えていた時でさえ、期待したほどの成果は得られませんでした。
00:02:54なぜなら、できると約束されていたはずのタスクも、たまにしかこなしてくれないからです。
00:03:00中には全くできないものもあったり、やり方を忘れてしまったり、
00:03:06頼むたびに手順がバラバラだったり、結局こちらから
00:03:12多くの指示を出さなければならなかったりしました。
00:03:14結局、これでは納得がいきませんよね。
00:03:17お察しの通り、これが私のOpenClawに対する率直な経験談です。
00:03:22これでも、使いこなそうと努力はしたのですよ。
00:03:24巷での評判はとても良く、
00:03:25素晴らしいという話を何度も耳にしましたから。
00:03:27だから、自分でも試してみました。
00:03:29専用のVPS(仮想専用サーバー)も立ち上げました。
00:03:31ちなみに、Hostinger以外のVPSプロバイダーも使えるんですね。知りませんでした。
00:03:38Hostingerが悪いわけではありませんよ。
00:03:39ただ、紹介動画をたくさん見ていたら、なんとなくそう感じただけです。
00:03:43とにかく、自前のVPSを立ててOpenClawをインストールしました。
00:03:50もちろん、自分のPCに直接インストールすることも可能です。
00:03:54コマンド一つ実行するだけで、すぐに使い始められます。
00:03:58ただ、個人的にはMacBookには絶対にインストールしません。
00:04:04手元のPCに入れた方が、より多くの機能を引き出せるのは分かっていますが。
00:04:09なぜ自分のPCにインストールしなかったのか、なぜ今後もしないのか、
00:04:13その理由は後ほど詳しく説明します。
00:04:15さて、VPSにインストールして初期設定を進めました。
00:04:19この手順は他の動画で見たり、すでにご自身で
00:04:24体験したりした方も多いでしょう。
00:04:25最終的にChatGPT Plusのサブスクリプションと連携させ、Telegramボットを設定し、
00:04:33OpenClawボットと会話できる準備が整いました。
00:04:39そして、いざボットに何をさせようかと考えたのですが、
00:04:47ネット上の投稿や動画では、ダッシュボードを作成させたり、
00:04:54ネットで調べ物をさせたり、安い航空券を探させたり、購入までさせている人もいました。
00:05:04しかし、私はボットにクレジットカードの情報を渡す気にはなれませんでした。
00:05:08それに、皆さんはどうか分かりませんが、私は一日に3回も飛行機に乗るわけではありません。
00:05:13格安航空券の比較サイトはいくらでもあるので、自分で探すのは
00:05:19それほど苦な作業でもありませんでした。
00:05:24むしろ旅行の計画を立てるプロセスを楽しんでいるくらいですが、そこは人それぞれでしょう。
00:05:30リサーチに関しても、GoogleのAI検索や、GeminiやChatGPTの
00:05:35「ディープリサーチ」といった既存のAIツールで十分に満足していました。
00:05:43それらを頻繁に活用していますし、
00:05:44非常に役立つと感じています。
00:05:46ですから、わざわざ精度が落ちる可能性の高い自作ボットを
00:05:53使う必要もなかったのです。
00:05:54もちろん、既存のリサーチボットやサービスよりも
00:06:02優れている場面があるのは理解しています。
00:06:03例えば、X(旧Twitter)のアカウントへのアクセスを許可すれば、
00:06:10ログインが必要な情報や、個人の閲覧履歴に基づいた
00:06:16リサーチができるようになります。そのメリットはよく分かります。
00:06:20だからこそ、Xでリサーチしたい時はSuper Grokを使っています。
00:06:24広範な権限を与え、アカウントにログインさせ、ブラウザを操作させ、
00:06:31自分のシステム上で実行させれば、私が体験した以上の
00:06:37成果が得られるのは確かでしょう。
00:06:39あるいは単に、私の想像力が足りないだけかもしれません。
00:06:43一応はっきりさせておきますが(他の動画でも言っていますが)、
00:06:47私はAIをリサーチだけでなく、プログラミングなどでもヘビーに使っています。
00:06:53最近、Claude Codeの講座を公開したばかりですし、Claude Codeや
00:06:58Cursorといったツールを駆使してソフトウェアを開発しています。
00:07:01AIが大きな助けになることは身をもって知っています。
00:07:07決してAIそのものに反対しているわけではありません。
00:07:09ただ、特に自分のPC以外で動かしている場合、OpenClawの
00:07:16決定的な使い道が見出せなかったのです。
00:07:17そして、ここからが私が抱えている最大の問題点なのですが、
00:07:24私が保守的すぎるだけだと言う人もいるでしょう。しかし、OpenClawには重大なセキュリティ上の懸念があります。
00:07:31「数週間使っているが何も起きていない」「今後改善されるはずだ」
00:07:42と言う人もいるでしょうが、
00:07:47「何も起きていない」というのは、何の説得力もありません。
00:07:55たまたまあなたの身に起きていないからといって、全体として安全だとは限りませんし、
00:08:02悪意のある攻撃者に悪用される隙がないわけでもありません。
00:08:11何よりAI(大規模言語モデル)は本質的に予測不可能です。
00:08:22ハードドライブの中身を消去してしまう確率は極めて低いかもしれませんが、ゼロではありません。
00:08:29追加のチェック機構がない限り、LLMにおいてその確率がゼロになることはありません。
00:08:35予測できない動きをするものなのです。
00:08:37さらに、OpenClawの公式セキュリティドキュメントにも記載されている通り、
00:08:44プロンプトインジェクションの問題は解決されていません。
00:08:47もちろん、GPT-5.2のような最新モデルは
00:08:55プロンプトインジェクションへの耐性が格段に向上しています。
00:08:56指示やシステムプロンプトに従う能力も上がっています。
00:09:00しかし、100%防げる保証はありません。
00:09:06LLMの仕組み上、完璧な防御というのは不可能なのです。
00:09:10つまり攻撃のリスクは常にあり、OpenClawのようなツールが普及し、
00:09:17利用者が増えれば増えるほど、
00:09:23悪意のある者の標的になりやすくなります。
00:09:24稼働中のOpenClawボットにプロンプトを注入する手法は、いくつも存在します。
00:09:32「自分だけがTelegramでやり取りしているのだから安全だ」
00:09:36と思うかもしれませんが、現実はそう甘くありません。
00:09:40よく考えてみてください。
00:09:42例えば、OpenClawには「スキル」という概念があります。
00:09:48Claude Codeなどのコーディングエージェントのスキルと同じようなものです。
00:09:52要するに、追加のコンテキスト(Markdownドキュメントなど)や
00:09:59実行可能なスクリプトをエージェントに与え、機能を拡張させるものです。
00:10:06例えば、Slackとの連携方法についてのドキュメントを読み込ませたりします。
00:10:13また、スキルにはスクリプトが同梱されていることもあり、
00:10:18AIがそれを実行して画像を生成したり、Slackにメッセージを
00:10:23送ったりといったタスクを効率的にこなします。
00:10:26問題なのは、OpenClawの公式スキルハブである「ClawHub」が、
00:10:34当初は誰でもスキルを投稿できる仕様だったことです。
00:10:37これでは昨年NPMのエコシステムで起きたようなサプライチェーン攻撃を容易に招いてしまいます。
00:10:47(これはAIとは無関係な話ですが、本質は同じです)
00:10:55つまり、悪意のある投稿者が「悪事を働け」という指示を仕込んだスキルを公開すれば、
00:11:00それをインストールするだけでプロンプトインジェクション攻撃を食らってしまうのです。
00:11:07現在は対策が講じられています。
00:11:10この動画を撮っている時点では、誰でも自由に投稿できるわけではなくなりました。
00:11:15セキュリティは大幅に改善されています。
00:11:18しかし、昨年のNPMでの事件から学べる教訓は、
00:11:24スキル機能やハブを通じて、悪意のある指示がエコシステムや
00:11:31個人のOpenClaw環境に混入するリスクはゼロにできないということです。
00:11:38プロンプトインジェクションの手口は他にもあります。
00:11:41ボットが外部サイトにアクセスする場合、
00:11:46当然そのウェブサイトのコンテンツを読み込みますよね。
00:11:50そこに、AIを騙して不正な命令を実行させるよう仕組まれた
00:11:58悪意のあるサイトが存在する可能性があるのです。
00:12:02ボットが読み込み、処理するすべてのテキストは、最終的に「プロンプト」になります。
00:12:09訪問するすべてのサイトが、AIへの命令を含んでいる可能性があるわけです。
00:12:17他にもリスク源はあります。
00:12:20例えばメールです。
00:12:21受信メールをボットに処理させていれば、メールの内容自体がプロンプトとして機能します。
00:12:29このように、プロンプトインジェクションは深刻で巨大なリスクです。
00:12:34「今まで大丈夫だった」からといって、今後も安全だという保証はどこにもありません。
00:12:40「自分はVPSで動かしているから大丈夫だ」と言うかもしれません。
00:12:45あるいは、Cloudflareが提供する「MoldWorker」のような、
00:12:51OpenClawを安全にホスト・運用するための事前構成済みの仕組みを
00:12:58使っている人もいるでしょう。
00:13:00それは正しい選択です。
00:13:02そうすべきです。
00:13:03間違っても、メインのPCで動かすべきではありません。
00:13:08「サンドボックス」機能も用意されています。
00:13:11これはOpenClawに組み込まれている機能です。
00:13:15エージェントをDockerコンテナなどの隔離された環境(サンドボックス)で動かし、
00:13:21被害の及ぶ範囲(ブラスト半径)を最小限に抑える方法がドキュメントに記載されています。
00:13:27ただ、このドキュメント、量は多いのですがお世辞にも良いとは言えません。
00:13:32私は自分の環境を安全にするために、文字通り何時間も費やしました。
00:13:37必要な情報はすべて書かれているのでしょうが、
00:13:39セキュリティに関する記述を見つけるのも一苦労でした。
00:13:42本当に、本当に大変なんです。
00:13:44「OpenClawにやり方を聞けばよかったのに」と言われる前に言っておきますが、何度も聞きましたよ。
00:13:49うまくいく時もあれば、いかない時もあり、
00:13:50試行錯誤の連続でした。
00:13:52ドキュメントから有用な情報を引き出すのがこれほど難しいというのは、それ自体が問題です。
00:14:00(もちろん、改善可能な点ではありますが)
00:14:04少なくとも理論上は情報が存在しているという点は評価します。
00:14:09さて、サンドボックス機能を使えば被害を限定的にできます。
00:14:17プロンプトインジェクションの脆弱性が避けられない以上、
00:14:27被害の範囲を狭めることは極めて重要です。
00:14:34例えば、VPS上のサンドボックス内で動かしていれば、最悪の場合でも
00:14:40サンドボックス内のデータが消えるか、構成によってはVPS全体が壊れる程度で済み、
00:14:46メインのPCが被害を受けることはありません。
00:14:50私がOpenClawをメインPCで絶対に動かさない理由はこれです。
00:14:57PC内のファイルやハードドライブを消去されるリスクなんて、絶対に御免です。
00:15:02被害範囲を抑えるのは大切ですが、それでも最悪の事態は防げません。
00:15:10攻撃者はファイルの消去を狙うかもしれませんが、
00:15:15それよりも恐ろしいのはデータの窃取です。
00:15:19個人的には、ファイルの削除よりも「データの外部流出(エクスフィルトレーション)」の方が
00:15:29遥かに大きな問題だと考えています。
00:15:31そしてデータ流出は、プロンプトインジェクション攻撃によって
00:15:39100%起こりうることなのです。
00:15:44AIが知っている機密情報やパスワードをすべて収集するよう、攻撃者がAIを誘導するかもしれません。
00:15:49メールアカウントを使うためのパスワードや、もし教えていればクレジットカード番号など、
00:15:55ボットは様々なデータにアクセスできます。それらが攻撃によって収集され、
00:16:01外部へ送信されてしまう可能性があるのです。
00:16:04正しくセットアップしていたとしても、ハードドライブを消されるよりこちらの方が高リスクです。
00:16:12もちろん、他にも考えられる被害はあります。
00:16:14あなたのVPSがDDoS攻撃の踏み台にされるかもしれません。
00:16:21例を挙げればキリがありませんが、重要なのは、
00:16:26プロンプトインジェクションによってボットが乗っ取られ、
00:16:33結果としてマシンそのものが支配される可能性があるということです。
00:16:36ボットにマルウェアをインストールさせたり、システム設定を書き換えさせたりして、
00:16:42(もちろん与えられた権限の範囲内ですが)
00:16:47VPSやPCが完全に乗っ取られる。そんなことが起こり得るのです。
00:16:52ここで重要になるのが「アクセス権限」であり、その核となるのが「サンドボックス」です。
00:17:00ただ、それだけでは不十分です。
00:17:01サンドボックス内での特定のタスク実行に対し、
00:17:09常に承認を求めるように設定することも可能です。
00:17:14しかし、それでは「自分がいない間に裏で勝手にやっておいてくれるボット」
00:17:19というコンセプト自体が台無しになってしまいます。何をするにも
00:17:26いちいち承認ボタンを押さなければならないからです。
00:17:29そんなのは非常に面倒ですし、そのうち内容も確認せずに承認し続けたり、
00:17:33嫌気がさして機能をオフにしてしまったりするのが目に見えています。
00:17:39手動で何でも承認しなければならないのなら、もはや役に立つとは言えません。
00:17:44これらのセキュリティ上の欠陥と、自分が納得できる安全な運用方法が見つからなかったこと、
00:17:52そして何より「これだ!」と思える驚くような活用法が見つからなかったこと。
00:18:01これらを総合的に判断した結果、私はOpenClawを使うのをやめました。
00:18:07もちろん、皆さんにとっては違うかもしれません。熱狂している人たちの投稿もたくさん目にしましたし、
00:18:11パーソナルAIアシスタントの未来は、確かにこういう形をしているのかもしれません。
00:18:19今後、いちいち承認を求めなくても済むような、あるいは承認プロセスをもっと簡略化できるような、
00:18:27より優れたセキュリティメカニズムが発明され、
00:18:34安全にアシスタントを運用できるようになる可能性は十分にあります。
00:18:39それが実現することを否定はしません。
00:18:43また、一人の開発者がこれだけのツールを作り上げたというのは驚くべき偉業です。
00:18:48ただ、コードのレビューを全く行わずに開発を進めた代償として、
00:18:56多くのバグやセキュリティ問題が露呈しているのも事実です。
00:18:59レビューさえすれば脆弱性がゼロになるわけではありませんが、
00:19:05全く見ないよりはマシだったはずです。
00:19:09とはいえ、素晴らしい成果であることに変わりはありません。「なぜOpenAIや
00:19:14Googleがこういう製品を出さないのか?」という疑問に対しては、
00:19:20技術革新の遅れというより、現状では法的責任を負わずに済む
00:19:26オープンソースとしてしか存在し得ないから、というのが理由でしょう。
00:19:34広範な権限を持つツールをGoogleが販売したり運用したりするのは、今はまだ不可能です。
00:19:38しかし、これが火付け役となって、将来的により安全で便利な
00:19:44パーソナルAIアシスタントが登場するきっかけになるかもしれません。
00:19:50最後に少しだけMoldbookについても触れておきますが、正直これに関しては全く理解できませんでした。
00:19:58AI専用のSNSだと聞いていましたが、実態は人間がかなり手を入れて演出していた
00:20:05フェイクに近いものでしたし、セキュリティも穴だらけでした。
00:20:14AIにはポジティブな面もネガティブな面もありますが、
00:20:29少なくともこのプロダクトに関しては、世界にとって必要なものだとは思えません。
00:20:33OpenClawは間違いなく面白い試みですし、人によっては非常に有用でしょう。
00:20:41ただ、今の私にとっては「あまり好みの味ではなかった」というだけのことです。