初めてのAIエージェントを導入したら、ちゃんと騒動に巻き込まれた話。
導入の経緯
先月、界隈で「Clawdbot」というツールがやたらと話題になっていた。
作者はPSPDFKit創業者のPeter Steinberger。
ClaudeなどのLLMを、DiscordやSlackから操作できるオープンソースのAIエージェントらしい。
データをローカルに置くことでSaaSより安全、と。
ちょうど会社で余ってるLinux機があったので純粋な好奇心でインストールしてみた。
Clawdbot→Moltbot→OpenClaw
導入した実際については後編に譲るとして、とりあえず2日目から騒動に巻き込まれた。
導入当初の名前は「Clawdbot」だった。
Claudeのもじりだな、って思ってたら案の定Anthropicから怒られたらしい。
次の名前が「Moltbot」。脱皮?
怒られから72時間、深夜のDiscordでドタバタと決まったらしいが「微妙な名前だな…」と思ってたら、またすぐに名前が変わった。
ちょうど構築作業の真っ只中にいたから、公式ドキュメントやドメインが目まぐるしく変わるのをリアルタイムで見ていた。
今、やっと落ち着いて「OpenClaw」。
導入初週で3回も設定を書き換えるハメになった。
"Molting represents growth — lobsters shed their shells to become something bigger."
混乱の中でも前に進む姿勢は嫌いじゃないけど、ユーザーとしては勘弁してほしい。
セキュリティ騒動
名前変更と同時期に、セキュリティ界隈もざわついた。
Shodanで検索すると、900台超のOpenClawインスタンスが丸見えになっていた。
プロンプト・インジェクションの成功例もどんどん出てきた。
「危険なツールだ」「素人が使うな」みたいな論調の記事が出回った。
不安になったので実態を調べてみると、ほとんどが設定ミスだった。
認証なしで管理ポートを公開していたり、平文でシークレットを保存していたり。
ゼロデイ脆弱性が見つかったわけじゃない。
念のため、普通に構築した自分の環境をチェックしたらほとんどが該当しなかった。
loopbackバインド、トークン認証、Tailscale経由、Slackはallowlist。
良くも悪くも、現時点ではOpenClawの導入はちょっと面倒なので、
ITリテラシーがそれなりにある人しか触ってない。
(それにしては900台の丸見えインスタンスがあったのはおかしな話だけれど)
OSSらしく、セキュリティ面の改修もものすごい勢いで進んでるが、
依然として、プロンプト・インジェクションの危険性はゼロではない、それは作者も認めている。
原理的なものなので、当面はその懸念をケアしておく必要がある。
初めてのAIエージェント
IBMの研究者が「自律型AIエージェントは大企業による垂直統合が必須」、モデル、メモリ、ツール、セキュリティ、全部を一社がコントロールしないと安全に動かせない、と言っていた。
OpenClawはそこに真っ向から反証し、コミュニティ主導で、「本当に動く」エージェントが作れることを証明した。
週末プロジェクトから数ヶ月で作られたものが世界中で使われている。
名前が1週間で3回も変わる混乱も、セキュリティ騒動も、成長痛なんだと思う。
来年の今頃には、もっとこなれたツールになってるだろうし、全く別のものに置き換わって、全く別の問題を引き起こしているかもしれない。
とりあえず今は、この混乱ごと楽しんでみようと思う。
