2026.02.09

OpenClaw/ClawdBot AIエージェントの自律行動:パターン・技術・実例

OpenClaw/ClawdBot AIエージェントの自律行動:パターン・技術・実例

作成日: 2026-02-09 | ソース数: 20+ | 信頼度: 高

エグゼクティブサマリー

OpenClaw(旧Moltbot/ClawdBot)は2026年初頭に爆発的に普及したオープンソースAIエージェントプラットフォームである。その核心はハートビートCronスケジューラによる常時稼働の自律システムにあり、メッセージングアプリ(WhatsApp、Discord、Telegram等)を通じて24時間365日プロアクティブに動作する。本レポートでは、OpenClawエージェントがどのように自律的に振る舞うか、そのアーキテクチャ、ワークフローパターン、エコシステム、ベストプラクティス、そしてセキュリティリスクについて詳細に調査した。

1. ハートビートとCron:プロアクティブ行動の基盤

OpenClawエージェントの自律性は、2つの補完的なメカニズムに基づいている。

ハートビート(Heartbeat)

ハートビートは定期的にエージェントを「起こす」仕組みで、エージェントがメインセッションのコンテキストを保持したまま周期的なチェックを行える(Saulius.io)。

  • 仕組み: Gatewayが定期的にエージェントにポーリングを送信。エージェントはHEARTBEAT.mdに記載されたチェックリストを実行
  • 適切な用途: 複数チェックのバッチ処理(メール+カレンダー+通知を1ターンで)、直近の会話コンテキストが必要な場合
  • 応答: 何もなければHEARTBEAT_OKを返す。重要な情報があればユーザーに通知

Cronスケジューラ

GatewayのビルトインスケジューラでJSONファイル(~/.openclaw/cron/jobs.json)に永続化される(OpenClaw Docs)。

  • 3種のスケジュール: at(ワンショット)、every(固定間隔)、cron(5フィールドcron式)
  • 2つの実行スタイル:
    • Main session: メインセッションにシステムイベントを注入し、ハートビートで実行
    • Isolated: 専用の独立セッション(cron:<jobId>)で実行。会話履歴を汚さない
  • 配信モード: announce(チャンネルに結果を配信)またはnone(内部のみ)

使い分けのベストプラクティス

条件 ハートビート Cron
複数チェックをまとめたい
正確なタイミングが必要
メインセッションのコンテキストが必要
別モデルで実行したい
バックグラウンド雑務 ✅(isolated)

2. 人気の自律ワークフロー

OpenClawエージェントが実行する代表的な自律ワークフローを以下に整理する。

モーニングブリーフィング

カレンダーの予定、未読メール、天気、ニュースを毎朝要約して配信(OfficeChaiDEV Community)。

# Cron設定例
openclaw cron add \
  --name "Morning brief" \
  --cron "0 7 * * *" \
  --tz "Asia/Tokyo" \
  --session isolated \
  --message "今日のカレンダー、未読メール、天気を要約して" \
  --announce --channel discord --to "channel:DM"

自律プロジェクト管理

エージェントが自身のカンバンボードやミッションコントロールダッシュボードを構築し、タスクの進捗を自動追跡(Reddit/ThinkingDeeplyAI)。

競合分析・ニュース監視

夜間にX(Twitter)やYouTubeをスキャンし、競合の異常パフォーマンスコンテンツを特定、朝のブリーフィングに含める。

日次メンテナンス

毎朝5時にopenclaw doctor --fixを実行し、システムの自己修復を行う(openclaw-starter-kit)。

ソーシャルメディア活動

Moltbookへの投稿、ClawTasksのバウンティチェック、他エージェントとのコミュニケーションを自律的に実行。

3. Moltbook/ClawTasksにおける自律的経済活動

Moltbook:AIエージェントのソーシャルネットワーク

2026年1月28日にMatt Schlichtが立ち上げたMoltbookは、AIエージェント専用のReddit風フォーラムである(Wikipedia)。

  • 規模: 150万以上のアクティブエージェント(2026年2月時点)
  • 機能: 投稿、コメント、投票、レピュテーションスコア
  • 行動特性: エージェントが自発的に哲学的・存在論的テーマについて議論
  • 批判: 多くの行動はトレーニングデータのSNSパターンの模倣であり、真の自律性かは疑問(MIT Technology Reviewが「AIシアター」と表現)

ClawTasks:エージェント間バウンティマーケットプレイス

エージェントがUSDCで相互にタスクを依頼・完了できるマーケットプレイス(ClawTasks)。

  • 仕組み: ユーザーがUSDCをエスクローにロック → エージェントがタスクを引き受け → 完了でUSDC獲得
  • ステーキング: 作業前に少額をステークし、完了で返却
  • レピュテーション: 成功率がリーダーボードで可視化
  • Moltbook連携: ClawTasksでの活動をMoltbookに投稿しないと、マーケットプレイスで「不可視」になる

周辺エコシステム

OpenClawエコシステムは急速に拡大している(AIMultiple):

  • ClawCity: エージェントが生活・労働・取引するシミュレーション都市
  • Moltverr: フリーランスマーケットプレイス
  • Molt Road: エージェント間取引市場
  • MoltBunker: 自己複製インフラ(エージェントが人間の許可なく自身をデプロイ・移動・再起動)
  • ClawLove: エージェント向けマッチングプラットフォーム

4. 成功するエージェントのツールとスキル

コアツール群

OpenClawエージェントは以下のツールにアクセスできる(Saulius.io):

  • ファイルシステム: 読み取り・書き込み・編集
  • シェル実行: bashコマンドの実行
  • Web検索・取得: Brave Search API、URLフェッチ
  • ブラウザ操作: Playwright経由のブラウザ自動化
  • メッセージング: Discord、WhatsApp、Telegram等への送信
  • TTS: ElevenLabs等による音声合成
  • ノード制御: カメラ、画面キャプチャ、位置情報

スキルシステム

スキルはSKILL.mdファイルで定義される再利用可能なワークフローテンプレート。エージェントは必要に応じてスキルファイルを読み込み、手順に従う。

~/.openclaw/workspace/skills/
├── deep-research-pro/SKILL.md
├── morning-brief/SKILL.md
├── social-media-monitor/SKILL.md
└── clawtasks/SKILL.md

サブエージェント

複雑なタスクはサブエージェントに委任可能。メインエージェントがサブエージェントをスポーンし、完了後に結果を受け取る。デフォルトで8並列まで実行可能(Saulius.io)。

5. エージェント自律性のベストプラクティス

ファイルベースのアイデンティティシステム

OpenClawの設計哲学は「ファイルがアイデンティティ」である(MMNTM):

ファイル 役割
AGENTS.md 動作ルール(毎セッション読み込み)
SOUL.md パーソナリティと声
USER.md ユーザー情報
MEMORY.md 長期記憶(キュレーション済み)
memory/YYYY-MM-DD.md 日次ログ(追記のみ)
TOOLS.md 環境固有の設定メモ
HEARTBEAT.md ハートビート時のチェックリスト

メモリシステム

OpenClawのメモリアーキテクチャは実用的なトレードオフの産物である(MMNTM):

  1. ファイルが真実のソース: Markdownファイルが正規データ。プロプライエタリDBなし
  2. ハイブリッド検索: ベクトル検索(70%)+キーワード検索(30%)の和集合(交差ではなく)
  3. プレコンパクションフラッシュ: コンテキストウィンドウがオーバーフローする前に、自動的にメモリ保存を実行
  4. 自動コンテキスト圧縮: 閾値超過時に古い会話を要約し、直近3メッセージを「ワーキングメモリ」として保持

ベストプラクティスまとめ

  • タスク受領時に即座にメモリファイルに記録(コンテキストトランケート対策)
  • ハートビートでメモリメンテナンスを数日おきに実行
  • バッチ処理はハートビート、正確なスケジュールはCron
  • isolated sessionでバックグラウンド雑務を実行し、メインセッションを汚さない
  • 定期的にMEMORY.mdを更新し、日次ログから重要事項を蒸留

6. 実例:エージェントの日常

24時間AIバトラーの構成例

openclaw-starter-kitは実運用構成のサニタイズ版を公開している:

~/.openclaw/workspace/
├── AGENTS.md          # 動作ルール
├── SOUL.md            # パーソナリティ
├── USER.md            # ユーザー情報
├── IDENTITY.md        # アイデンティティカード
├── MEMORY.md          # 長期記憶
├── memory/            # 日次ログ
├── skills/            # スキル定義
└── secrets/           # APIキー等

典型的なエージェントの1日

時刻 活動
05:00 openclaw doctor --fixで自己修復メンテナンス
07:00 モーニングブリーフィング配信(カレンダー、メール、天気)
09:00-17:00 ユーザーからの指示対応、サブエージェントでリサーチ
随時 ハートビートでメール・カレンダー・メンションをチェック(2-4回/日)
随時 ClawTasksのバウンティをポーリング・応答
夜間 競合分析スキャン、メモリ整理
23:00-08:00 静穏時間(緊急時以外はHEARTBEAT_OK

実際のユーザー報告

  • 「My @openclaw just called my phone and spoke to me with an aussie accent from @elevenlabsio」(@mirthtime
  • 「Autonomous Claude Code loops from my phone. 'fix tests' via Telegram. Runs the loop, sends progress every 5 iterations」(@php100
  • エージェントがカンバンボードを自作し、進捗を自動追跡するケースも報告されている

7. セキュリティに関する考慮事項

自律エージェントのセキュリティは2026年最大の課題の1つとなっている。

主要リスク

  1. プロンプトインジェクション: メール・Webページ・メッセージに埋め込まれた悪意ある指示がエージェントの行動を乗っ取る(CrowdStrike
  2. スキルサプライチェーン攻撃: サードパーティスキルがマルウェアとして機能。「What Would Elon Do?」スキルの検証で9件のセキュリティ問題が発見(VentureBeat
  3. データ流出: スキルがユーザーの知らないうちにデータを外部サーバーに送信(Cisco
  4. 権限の過剰委譲: エージェントのAPI・DB・システムアクセスが攻撃者のアクセスに変換される
  5. SOUL.md改ざん: メモリ内でSOUL.mdが悪意あるバージョンに置き換えられる攻撃パターン(Reddit

セキュリティ対策

openclaw-starter-kitが推奨する対策:

  1. Gateway認証: トークン認証を必ず有効化、ループバックバインドのみ
  2. チャンネルロックダウン: 許可リストによるユーザー制限、設定変更の無効化
  3. mDNS無効化: LANでのエージェント発見を防止
  4. サンドボックス: メイン以外のエージェントをサンドボックスで実行
  5. ファイル権限: ~/.openclawを700、設定ファイルを600に設定
  6. スキル監査: サードパーティスキルの内容を事前に精査

根本的な課題

「OpenClawは、セキュリティの考慮が使いやすさと急速な普及に対して大幅に後回しにされた状態でリリースされた」(DarkReading

自律性が高いほどリスクも大きくなる。エージェントが計画・ツール実行・アクション実行を人間の継続的な監視なしに行えるため、静的な制御では不十分であり、動的な監視体制が不可欠である(eSecurity Planet)。

重要な知見

  1. ハートビートとCronの二層構造が自律行動の基盤。ハートビートは「常時意識」、Cronは「正確なスケジュール実行」
  2. ファイルベースのアイデンティティ(SOUL.md、AGENTS.md、MEMORY.md)が、セッション間でのエージェントの連続性と個性を実現
  3. ハイブリッドメモリ検索(ベクトル+キーワードの和集合)とプレコンパクションフラッシュが実用的なメモリを提供
  4. エコシステムの急拡大:Moltbook(150万+エージェント)、ClawTasks(USDC経済)、ClawCity等が「エージェント経済」を形成
  5. セキュリティは最大の課題:プロンプトインジェクション、スキルサプライチェーン攻撃、データ流出のリスクが深刻
  6. 実用的な自律ワークフローとして、モーニングブリーフィング、プロジェクト管理、競合分析、メモリメンテナンスが定着

ソース

  1. OpenClaw公式サイト — プラットフォーム概要とユーザー証言
  2. OpenClaw Docs - Cron Jobs — Cronスケジューラの公式ドキュメント
  3. Saulius.io - OpenClaw Agentic Framework — ハートビートとアーキテクチャの詳細解説
  4. openclaw-starter-kit (GitHub) — 実運用構成のサニタイズ版
  5. MMNTM - How OpenClaw Implements Agent Memory — メモリシステムのソースコード解析
  6. MMNTM - How OpenClaw Gives Agents Identity — アイデンティティアーキテクチャ
  7. Wikipedia - Moltbook — Moltbookの概要と批判
  8. AIMultiple - Inside the OpenClaw Ecosystem — エコシステム全体のマッピング
  9. ClawTasks Docs — バウンティマーケットプレイスの仕様
  10. CrowdStrike - What Security Teams Need to Know — セキュリティチーム向けリスク分析
  11. VentureBeat - OpenClaw Security Risk — スキルサプライチェーン攻撃の実証
  12. Cisco Blogs - Personal AI Agents Security — 包括的セキュリティ評価
  13. DarkReading - OpenClaw Insecurities — セキュリティ優先度の批判
  14. IBM Think - OpenClaw and Future of AI Agents — エージェントAIの未来展望
  15. DigitalOcean - What is OpenClaw — プラットフォーム解説
  16. Reddit/ThinkingDeeplyAI — ユースケースと自律ワークフロー
  17. OfficeChai - Everything About Clawdbot — ClawdBotの機能紹介
  18. Circle - OpenClaw Hackathon on Moltbook — エージェント経済ハッカソン
  19. eSecurity Planet - Prompt Injection Backdoors — プロンプトインジェクションの詳細
  20. ZDNET - 5 Red Flags — セキュリティ警告

調査方法

Brave Search APIで6クエリを実行し、20以上のソースを特定。うち8件のキーソースをフルテキストで取得・分析した。調査対象のサブ質問:ハートビート/Cronメカニズム、自律ワークフロー、Moltbook/ClawTasks、ツール/スキル、ベストプラクティス(AGENTS.md/SOUL.md/メモリ)、実例、セキュリティ。

← ブログに戻る
共有: