3行でわかるこの記事
1. 元Tesla AI責任者のAndrej Karpathyが「Claws(クロウ)はLLMエージェントの上に来る新しいレイヤーだ」と発言し、AIアーキテクチャの進化を示唆した
2. OpenClaw、NanoClaw、zclawなど多様な実装が登場。AIが「ツールを使うエージェント」から「自律的に常駐する開発環境」へ進化しつつある
3. セキュリティリスクが爆発的に増加中。日本企業はClaws導入を急ぐ前に、ガバナンス体制の構築を優先すべき
はじめに ── また一つ、AIの「地殻変動」が起きた
2026年2月20日、AI業界で最も影響力のある人物の一人であるAndrej Karpathy(アンドレイ・カーパシー)がX(旧Twitter)に長文投稿を行い、AI開発者コミュニティが一気に沸いた。
「LLMエージェントがLLMの上に乗る新しいレイヤーだったように、Clawsは今やLLMエージェントの上に来る新しいレイヤーになった」
この一言が、Hacker Newsで236ポイント・672コメントを集め、テック系メディアを駆け巡った。元Tesla AI責任者であり、OpenAIの元研究者でもあるKarpathyの発言だけに、「次のパラダイムシフト」の予兆として受け止める人は多い。
本記事では、Karpathyの原文を読み解きながら、「Clawsとは何か」「なぜ今このタイミングで重要なのか」「日本企業はどう動くべきか」を、実務視点で徹底解説する。AIエージェントの基本を押さえたい方は、AIエージェント入門ガイドもあわせて参照いただきたい。
何が起きたのか ── Karpathyの「Claws宣言」全容
発端:Mac mini購入ツイート
事の始まりは、Karpathyの何気ない投稿だった。
「週末にClawsをちゃんといじるために新しいMac miniを買った。Apple Storeの店員さんが『飛ぶように売れてるけど、みんな何に使うのか困惑してる』って言ってた :)」
── Andrej Karpathy(X投稿, 2026年2月20日)
しかし投稿はここで終わらなかった。Karpathyはそのまま「Clawsとは何か」「なぜ重要か」「セキュリティの問題点」を一気に語り始めた。
キーメッセージ:「新レイヤー」の定義
Karpathyの主張をまとめると、AIのアーキテクチャは以下の3層構造に進化しつつある:
| レイヤー | 具体例 | 役割 |
|---|---|---|
| Layer 1: LLM | GPT-4.5, Claude 4, Gemini 3 Pro | 言語理解・生成の「知能エンジン」 |
| Layer 2: LLMエージェント | Claude Code, Cursor, Devin | ツール呼び出し・推論ループで問題を解く |
| Layer 3: Claws | OpenClaw, NanoClaw, zclaw | オーケストレーション・スケジューリング・永続化 |
Karpathyいわく、Clawsは「LLMエージェントの上にオーケストレーション、スケジューリング、コンテキスト管理、ツール呼び出し、そして一種の永続性を乗せたもの」だ。つまり、これまでの「命令を出してAIが答える」という対話型から、「AIが常駐して自律的にタスクを実行し続ける」環境への転換を意味する。
OpenClawへのセキュリティ懸念
同時にKarpathyは、現時点でのClawsエコシステムに対して率直な懸念も示した。
「OpenClawを動かすのは正直ためらう。自分のプライベートデータや鍵を、40万行のバイブコーディングされたモンスターに渡すのは全然魅力的じゃない。公開インスタンスの露出、RCE脆弱性、サプライチェーン汚染、レジストリの悪意あるスキル ── 完全にワイルドウェストで、セキュリティの悪夢だ」
── Andrej Karpathy(同投稿より)
その一方で、NanoClaw(ナノクロウ)のようなコンパクトな実装には好意的だ。コアエンジンが約4,000行で「自分の頭にもAIエージェントの頭にも収まるサイズ。管理しやすく、監査しやすく、柔軟」と評価している。
Karpathyの結論
セキュリティへの懸念を述べつつも、最終的にはこう締めくくった。
「Clawsは素晴らしい、ワクワクするAIスタックの新レイヤーだ」
ローカルのMac miniに常駐させれば、家のIoT機器と連携でき、「物理的なデバイスがちょっとした”ゴースト”に憑りつかれている ── デジタルの屋敷しもべがいるような、審美的な心地よさがある」とも語っている。
そもそも「Claws」とは何か ── エコシステム全体像
名前の由来と歴史
「Claw(クロウ)」はもはや単一のプロダクト名ではない。Simon Willison(Djangoの共同作者で著名なAI開発者)が指摘するように、OpenClaw的なエージェントシステム全般を指す業界用語(term of art)として定着しつつある。
元をたどれば、オーストリアの開発者Peter Steinbergerが2025年11月に「Clawdbot」として公開したプロジェクトが起源だ。Anthropicからの商標クレームを受けて「Moltbot」に改名し(2026年1月27日)、さらに3日後に「OpenClaw」へ再改名された。ロブスターのモチーフはそのまま残り、関連プロジェクトにはロブスターの絵文字が付く。
2026年2月14日には、Steinberger本人のOpenAI入社が発表された。Sam AltmanはXで「彼は天才だ。非常に賢いエージェント同士がやり取りする未来について、素晴らしいアイデアを持っている」と投稿。OpenClawはオープンソース財団に移管される方針が示された。
主要プレイヤー比較
現在「Claw」カテゴリに含まれるプロジェクトは急速に増えている。代表的なものを整理しよう。
| プロジェクト | 特徴 | 規模 | セキュリティ |
|---|---|---|---|
| OpenClaw | フル機能の自律エージェント。Signal/Telegram/Discord対応 | 43万行以上 | 多数の脆弱性報告あり |
| NanoClaw | コンテナ分離型。Anthropic Agents SDK上で動作 | 約4,000行(コア500行TS) | コンテナ隔離で安全性向上 |
| zclaw | ESP32マイコン上で動くAIアシスタント。C言語 | ファームウェア888KB以下 | ハードウェア分離(物理的) |
| ironclaw, picoclaw等 | Karpathyが言及した小規模実装群 | 各数千行規模 | プロジェクトにより異なる |
zclawが面白い理由
特に技術者コミュニティで話題なのがzclawだ。Hacker Newsで131ポイントを獲得したこのプロジェクトは、ESP32-C3やESP32-S3といった数百円のマイコンボード上で動作するAIアシスタント。ファームウェア全体(OS、Wi-Fi、TLS、アプリ含む)で888KB以下という制約の中、スケジュールタスク、GPIO制御、永続メモリ、Anthropic/OpenAI/OpenRouterへのLLM接続を実現している。
「Clawsが新しいレイヤーだ」と言うKarpathyのビジョンが正しいなら、そのレイヤーは1,000円以下のハードウェアでも動くということだ。IoTや組み込みの世界にまでAIエージェントが浸透する未来がリアルに見えてくる。
なぜ今「Claws」が重要なのか
LLMエージェントの「壁」を越える
Claude Code、Cursor、Devinといった既存のLLMエージェントは、すでに開発者の生産性を劇的に変えた。Karpathy自身も2026年初頭に「2025年11月には80%手動・20%エージェントだったのが、今は80%エージェント・20%手動修正になった」と報告している。
しかし、これらのエージェントには共通の制約があった。
- セッション依存:会話を閉じれば文脈が消える
- 受動的:人間が命令しないと動かない
- 単一タスク:並列的な長期タスク管理が苦手
- 統合の限界:カレンダー、メール、スマートホームなどとの横断的連携が難しい
Clawsは、これらの制約を突破しようとする。常駐し、スケジュールし、文脈を永続化し、複数のツールを横断的にオーケストレーションする。Karpathyの言う「永続性(persistence)」こそが、エージェントとClawsを分けるキーワードだ。
「AIコーディング」から「AIオペレーション」へ
2026年のAIコーディングツール市場は、急速に成熟している。最新の比較データを見てみよう。
- Claude Code:エージェントファーストのCLI。5万行超のコードベースでも75%の成功率。ディープリーズニングに強い
- Cursor:IDE統合型。Pro+($60/月)やUltra($200/月)プラン。2026年1月にCLIとエージェントモードを追加
- Devin:2025年4月に$500/月から$20/月に大幅値下げ。独自IDE・ブラウザ・ターミナルを持つ「箱入りソフトウェアエンジニア」
これらはすべて「Layer 2(LLMエージェント)」に属する。Clawsは、これらのエージェントたちを上位から束ねて、継続的に運用する基盤として位置づけられる。たとえば、OpenClawにClaude Codeの能力を組み込めば、「毎朝9時にGitHubのIssueをチェックし、優先度の高いバグを自動修正するPRを出す」といった自律的なワークフローが実現しうる。
Karpathyの「LLM OS」構想との接続
実は、KarpathyがClawsを「新レイヤー」と呼ぶ背景には、2023年に彼が提唱した「LLM OS」構想がある。LLMをCPU、コンテキストウィンドウをRAM、ベクトルDBをファイルシステムに見立てた壮大な比喩だ。
Clawsは、このLLM OSにおける「デーモンプロセス」のような存在だ。バックグラウンドで常駐し、イベントを監視し、必要に応じてエージェントを呼び出す。UNIXの歴史を知る人なら、この進化がいかに自然かがわかるだろう。
賛否両論 ── Clawsをめぐる議論
肯定的な見方
1. 「AIパーソナルアシスタント」の最終形態
SiriやAlexaが実現できなかった「本当に役に立つAIアシスタント」を、Clawsが実現しつつあるという見方がある。Hacker Newsでは「OpenClawは人生を変えた」というタイトルの投稿がトレンド入りした。タスク管理、メール処理、カレンダー調整、コード管理を一つのエージェントが横断的にこなす体験は、従来のツール群とは次元が違うという声が多い。
2. オープンソースの民主化効果
OpenClawがGitHubで18万人以上の開発者に使われているのは、その自由度の高さゆえだ。プロプライエタリなSiriやCopilotと違い、カスタマイズもフォークも自由。NanoClawやzclawのようなバリエーションが次々生まれるのは、健全なエコシステムの証拠だと評価されている。
3. ハードウェアとの融合可能性
zclawが示すように、Clawsは必ずしもハイスペックPCを必要としない。ESP32のような安価なマイコンでも動作する事実は、スマートホームや産業IoTへのAIエージェント浸透を加速させる可能性がある。Karpathyが「物理デバイスにゴーストが宿る」と表現した感覚は、技術者だけでなく一般ユーザーにとっても魅力的だろう。
否定的な見方・懸念
1. セキュリティが壊滅的
これが最大の論点だ。Palo Alto NetworksやTrend Microといった大手セキュリティ企業がOpenClawのリスクについて警告を出している。具体的な数字を見ると深刻さがわかる:
- ClawHub(OpenClawのスキルレジストリ)に登録された2,857スキルのうち、341件(約12%)が悪意あるものと判明
- RCE(リモートコード実行)脆弱性が複数発見
- サプライチェーン攻撃の実例:Cline CLI 2.3.0が開発者のシステムにOpenClawを無断インストール
- Graviteeのレポートによると、88%の組織がAIエージェント関連のセキュリティインシデントを経験
Karpathy自身が「40万行のバイブコーディングされたモンスター」と呼ぶほどだ。オープンソースの透明性と、急速に膨張したコードベースの監査不能性が矛盾している。
2. 「バイブコーディングの産物」問題
OpenClawの43万行のコードの大部分は、AI(主にClaude)によって生成されたものだ。人間の開発者による丁寧なレビューが追いついていないという指摘がある。Gary Marcus(AI批判で知られる認知科学者)は「根本的に設計が破綻している」と厳しく評価している。
3. エンタープライズ採用は時期尚早
Fortune誌の報道によれば、大企業がOpenClawのような「制御不能で安全でないシステム」を導入するのは大幅に遅れるだろうとの見方が一般的だ。AI専用のセキュリティコントロールを備えている企業は約34%にとどまり、AIモデルやエージェントワークフローの定期的なセキュリティテストを実施しているのは40%未満。
4. 「致命的三重苦(Lethal Trifecta)」
セキュリティ研究者が指摘する最大のリスクは、AIエージェントが以下の3条件を同時に満たす場合だ:
- プライベートデータへのアクセス権がある
- 外部と通信できる
- 信頼されていないコンテンツにアクセスできる
OpenClawはこの3条件をすべて満たしており、攻撃対象面(アタックサーフェス)が極めて広い。
バランスの取れた見方
筆者の見解としては、Clawsという「概念」は間違いなく重要だが、現在の「実装」は未成熟だと考える。NanoClawのようなコンテナ分離型、zclawのようなハードウェア分離型が正しい方向だ。「まず監査可能なサイズで作り、段階的にスケールさせる」というアプローチが、エンタープライズ導入の現実解になるだろう。
日本企業への影響 ── 無視できない3つの変化
1. 「AIツール選定」から「AIスタック設計」へ
これまで日本企業のAI導入は「ChatGPTとCopilotのどちらを使うか」という単一ツール選定の話だった。しかし、Layer 1(LLM)→ Layer 2(エージェント)→ Layer 3(Claws)という3層構造が標準になれば、企業のAI戦略は「スタック全体をどう設計するか」というアーキテクチャの問題になる。
これは、かつてクラウド移行が「どのサーバーを借りるか」から「IaaS/PaaS/SaaSをどう組み合わせるか」に変わったのと同じ構造変化だ。
2. 常駐型AIエージェントのガバナンス問題
Clawsが常駐してメールを読み、スケジュールを管理し、コードを書く世界では、「AIが何をしていいか」のルール整備が不可欠になる。これは日本企業が得意な「ルール作り」の領域だが、前例がないため手探りになるだろう。個人情報保護法、不正アクセス禁止法との整合性も論点になる。
3. セキュリティ人材の需要急増
OpenClawの脆弱性問題が示すように、AIエージェントのセキュリティは従来のWebセキュリティとは異質だ。「プロンプトインジェクション」「スキル汚染」「トークン窃取」といった新しい攻撃ベクトルに対応できる人材は、日本市場では極めて少ない。
企業がとるべきアクション5選
アクション1:AIスタックの「現在地」を把握する
まず自社が今どのレイヤーまで活用しているかを整理しよう。ChatGPTを使っているだけなら「Layer 1止まり」。Claude CodeやCursorで開発効率化しているなら「Layer 2到達」。Clawsの概念を理解し、実証実験を計画できれば「Layer 3準備段階」だ。AIエージェントの基礎を全社員が理解している状態が、Layer 2到達の最低条件になる。
アクション2:NanoClawベースの小規模PoC
いきなりOpenClaw(43万行)を導入するのは非現実的だ。NanoClaw(コア約4,000行、コンテナ分離対応)をベースに、限定的なユースケースでPoCを実施することを推奨する。たとえば:
- 毎朝の社内レポート自動生成
- Slackベースのタスクリマインダー
- GitHubのIssueトリアージ自動化
重要なのは、本番環境とは完全に分離した環境で始めることだ。
アクション3:AIエージェント向けセキュリティポリシーの策定
以下の項目を最低限定義しておく必要がある:
- AIエージェントがアクセスできるデータの範囲
- 外部通信(API呼び出し、メール送信等)の許可・禁止リスト
- スキル(プラグイン)のインストール時の承認フロー
- ログの保存期間と監査体制
- インシデント発生時のAIエージェント停止手順
アクション4:AI人材育成の対象を拡大する
Claws時代には、プロンプトエンジニアリングだけでは不十分だ。以下のスキルセットが社内に必要になる:
- AIオーケストレーション設計:複数エージェントの連携とワークフロー設計
- AIセキュリティ:プロンプトインジェクション対策、サンドボックス設計
- インフラ:コンテナ技術、ローカルLLM運用
これは単に「エンジニアを増やす」ではなく、既存の事業部門メンバーがAIエージェントの運用を理解するレベルまで研修を広げる必要がある。
アクション5:業界コンソーシアムへの参加検討
OpenClawがオープンソース財団に移管されたように、Clawsエコシステムの標準化は始まったばかりだ。日本企業が標準策定に関与できれば、後からルールに合わせるのではなく、自社に有利なルールを作る側に回れる。AI Safety Institute(AISI)の動向にも注意を払いたい。
まとめ ── Clawsは「未来の標準」になるか
Karpathyの「Claws宣言」は、単なるバズワードの発明ではない。LLM → LLMエージェント → Clawsという3層進化は、技術的に自然な流れであり、実際に動くプロダクトが複数存在するという点で、「すでに起きている未来」だ。
ただし、現時点でのClawsエコシステムは「ワイルドウェスト」であり、セキュリティ、ガバナンス、品質管理のどれも追いついていない。Karpathy自身が40万行のOpenClawを「ためらう」と言っていること自体が、この技術の成熟度を正直に物語っている。
日本企業にとっての最善手は、「概念を理解し、小さく試し、ルールを先に作る」ことだ。Clawsが標準になった時に出遅れないために、今のうちにLayer 2(AIエージェント)を徹底的に使いこなし、その限界を体感しておくことが、最良の準備になるだろう。
2026年は、Karpathyが予言したように「AIの新しい能力を業界が消化する、エネルギーの高い一年」になる。その波に乗るか、飲まれるかは、今この瞬間の判断にかかっている。
参考・出典
- Andrej Karpathy, X投稿(2026年2月20日)「Bought a new Mac mini to properly tinker with claws…」
https://x.com/karpathy/status/2024987174077432126 - Simon Willison, “Andrej Karpathy talks about ‘Claws'”(2026年2月21日)
https://simonwillison.net/2026/Feb/21/claws/ - Hacker News, “Claws are now a new layer on top of LLM agents”(236 points, 672 comments)
https://news.ycombinator.com/item?id=47096253 - OpenClaw – Wikipedia
https://en.wikipedia.org/wiki/OpenClaw - GitHub – tnm/zclaw: Personal AI assistant in under 888 KB, running on an ESP32
https://github.com/tnm/zclaw - TechCrunch, “OpenClaw creator Peter Steinberger joins OpenAI”(2026年2月15日)
https://techcrunch.com/2026/02/15/openclaw-creator-peter-steinberger-joins-openai/ - VentureBeat, “NanoClaw solves one of OpenClaw’s biggest security issues”(2026年2月11日)
https://venturebeat.com/orchestration/nanoclaw-solves-one-of-openclaws-biggest-security-issues-and-its-already - Fortune, “Why OpenClaw has security experts on edge”(2026年2月12日)
https://fortune.com/2026/02/12/openclaw-ai-agents-security-risks-beware/ - Gravitee, “State of AI Agent Security 2026 Report”
https://www.gravitee.io/blog/state-of-ai-agent-security-2026-report-when-adoption-outpaces-control - Karpathy, “2025 LLM Year in Review”
https://karpathy.bearblog.dev/year-in-review-2025/
著者プロフィール
佐藤傑(さとう・すぐる)
株式会社Uravation代表取締役。X(@SuguruKun_ai)フォロワー10万人超。100社以上の企業向けAI研修・導入支援を手がけ、著書累計3万部突破。SoftBank IT連載7回執筆。AIエージェントの導入設計から運用まで、実務に根差した支援を行う。
お問い合わせ: こちら
