ClawBands という GitHub プロジェクト:OpenClaw に “human-in-the-loop” 制御を取り込む

ClawBands GitHub Project Looks to Put Human Controls on OpenClaw AI Agents

2026/02/16 SecurityBoulevard — あるソフトウェア・エンジニアが GitHub 上で公開したのは、人気を博しながら物議を醸し出している OpenClaw AI パーソナル・アシスタントに対して、人間による統制を確保するための軽量プラグインである。開発者 Sandro Munda が提供する ClawBands は、OpenClaw AI エージェント向けのセキュリティ・ミドルウェアであると説明されている。このプラグインは、AI パーソナル・アシスタントにフックし、ファイル書き込み/シェルコマンド/ネットワーク・リクエストなどに関連する、すべてのツールの実行をインターセプトする。それにより、いかなる操作においても、事前の “human-in-the-loop” 承認を確実に行わせるものである。

このプラグインを公開した Sandro Munda は、SeyZ のハンドルネームで知られ、AI ネイティブな運用プラットフォーム RootCX の創業者兼 CEO でもある。

彼は、「OpenClaw が可能にするものには、シェルコマンドの実行/ファイルの変更/API へのアクセスなどがある。OS レベルの分離 (コンテナ/VM) はホスト・マシンを保護するものだが、エージェントがアクセスできるサービスは対象外となっている。この ClawBands は、OpenClaw の “before_tool_call” プラグイン・イベントにフックすることで、この問題を解決する。危険な操作である、書き込み/削除/シェルコマンド/API 呼び出しなどが実行される前に、エージェントは一時停止し、ユーザーの判断を待つことになる」と、GitHub に記している。

OpenClaw (旧称 Clawdbot/Moltbot) は、ユーザーのシステム上でローカルに動作する自律型エージェント AI パーソナル・アシスタントであり、WhatsApp/Telegram/Discord などのアプリと統合されている。それらの機能により、会話の要約/会議のスケジューリング/コードの実行/カレンダー管理/航空券予約などに利用されている。

人気の高まりとセキュリティへの懸念

2025年11月の公開以降、その人気は急速に拡大し、GitHub のスターは 195,000 件を超えるという異常な勢いである。しかし、その人気により利用が拡大する一方で、その危険性に対して、セキュリティ専門家たちが警鐘を鳴らしている。

Cisco のセキュリティ研究者である Amy Chang と Vineeth Sai Narajala は、「機能面から見れば、OpenClaw は画期的である。これは、パーソナル AI アシスタント開発者が常に実現を望んできたものである。しかし、セキュリティの観点では完全な悪夢である」と述べている。

彼らが指摘するのは、OpenClaw がユーザーのシステム上で、シェルコマンドの実行/ファイルの読み書き/スクリプトの実行を行える点である。そして、AI エージェントに高い権限を与えていることで、誤設定や悪意ある指示を含む “skill” をダウンロードした場合に、有害な動作を招くことになると述べている。さらに、このオープンソース・ツールには、平文の API キーや認証情報を漏洩するというインシデントがあり、未保護のエンドポイントやプロンプト・インジェクション攻撃によりそれらが窃取され得ると指摘している。

彼らは、「OpenClaw とメッセージング・アプリとの統合は、それらのアプリにまで攻撃対象領域を拡張する。つまり、悪意のプロンプトを作成する脅威アクターにより、意図しない動作が引き起こされる可能性がある」と指摘している。

対処すべき警告弾である

Sophos の CISO である Ross McKerchar が指摘するのは、30,000 を超える OpenClaw インスタンスが、インターネット上に公開されているという調査の結果である。また、脅威アクターたちが、OpenClaw の機能をボットネット・キャンペーン向けに武器化する方法を議論しているとも述べている。

Ross McKerchar は、「OpenClaw は、エンタープライズ AI セキュリティに対する警告弾である。きわめて強力なエージェント AI の時代が、急速に到来している。それらは、堅牢な防御手段が整う前にミッション・クリティカルなワークフローへ入り込むだろう。唯一の合理的な対応は、この不可避な変化を受け入れ、本質的にリスクの高いものを管理する方式について真剣に検討することである。すべての技術導入と同様に、現実的なリスク管理が鍵である。我々は、長年にわたり、それを行ってきた」と楽観視している。

Human-in-the-Loop 統制

ClawBands が試みるのは、あらゆる AI エージェントの操作に対して、人間が最終的な判断を下すことの保証である。

GitHub 上の説明には、「ターミナルでは、対話型プロンプトが表示される。WhatsApp や Telegram などのメッセージング・チャネルでは、エージェントが YES/NO を尋ね、専用ツール “clawbands_respond” を介して回答を受け取る。すべての選択は改竄が不能な監査ログに記録される。つまり、AI エージェントに対する sudo のようなものであり、明示的な許可なしには何も実行されない」と記されている。

  • すべての AI エージェント操作は、ClawBands により評価される。
  • OpenClaw AI エージェントにより、あらゆる操作は事前に承認を受ける。
  • このプラグイン・フックは、すべてのツール呼び出しをインターセプトする。
  • JSON Lines は追記専用形式で保存される。
  • 重要な決定には承認が必要であり、不明な操作は既定で ASK/DENY となる。
OpenClaw 開発者が OpenAI へ移籍

ClawBands の登場と同じタイミングで、OpenClaw の開発者 Peter Steinberger の採用を、OpenAI が発表した。OpenAI の CEO Sam Altman は X への投稿で、「次世代のパーソナル・エージェントを推進するために Steinberger を採用した。彼は非常に優秀であり、賢いエージェント同士が相互に連携し、人々に有益なことを行う未来について、数多くの優れたアイデアを持っている。それは、当社製品の中核になるだろう」と述べている。

Steinberger 自身もブログ投稿で、「OpenClaw は財団へ移行する。OpenClaw は、オープンソースのままであり、自由に発展できることが常に重要であった。OpenClaw を巨大な企業にすることも可能だったが、それには関心がなかった。私が望むのは世界を変えることであり、大企業を築くことではない。OpenAI と協力することが、すべての人々に、それを届ける最速の方法である。次の使命は、私の母でも使えるエージェントを構築することだ。そのためには、より広範な変革と、安全性に関する深い検討、そして、最新のモデルを研究するための環境が必要である」と述べている。

急成長中の AI エージェント OpenClaw の、権限が強すぎるというセキュリティの懸念に対して、ClawBands プラグインが登場しました。この問題の背景にあるのは、自律型 AI がユーザーの PC 内で、ファイル消去や OS コマンド実行をしてしまうリスクである。OpenClaw は非常に便利ですが、OS レベルの操作権限を持っているため、ひとたび暴走や悪用が起こると、セキュリティの悪夢となります。そこで登場したのが ClawBands という、AI 版の sudo とも言えるプラグインです。この仕組みは、AI がツールを使おうとする直前に処理をインターセプトし、ユーザーに対して承認を求めるものです。人間が YES と答えない限り、AI は一歩も先に進めない “Human-in-the-Loop” (人間による統制) が強制的に組み込まれます。いろんな所で、AI エージェントの権限管理を巡る議論が加速しています。よろしければ、OpenClaw での検索結果も、ご参照ください。