OpenClaw中国で利用者数が米国超え——政府がセキュリティ警告を発令
中国におけるAIエージェントの利用者数が、ついに本家アメリカを上回った。その中心にいるのが「OpenClaw」だ。2026年初頭から中国市場での利用が急拡大し、3月時点で推定4,000万人以上のユーザーがOpenClawを日常的に使用している。一方の米国は約3,200万人にとどまる。だが、この爆発的普及に対して中国政府のサイバーセキュリティ機関が異例の警告を発した。
OpenClawとは何か
OpenClawは、テキスト指示に基づいてファイル操作、Web閲覧、API呼び出し、コード実行などを自律的に行う汎用AIエージェントだ。従来のチャットボットが「質問に回答する」受動的な存在だったのに対し、OpenClawはユーザーの目的を理解し、複数のステップを自分で計画・実行する。
たとえば「来週の出張の航空券を比較して、最安値のものを予約して」と指示すれば、複数の予約サイトにアクセスし、価格を比較し、最適なオプションを提示したうえで予約手続きまで完了する。この「指示するだけで仕事が終わる」体験が、中国のビジネスパーソンに爆発的に受け入れられた背景だ。
中国テック大手3社の独自バージョン
OpenClawの成功を見て、中国のテック大手各社が独自バージョンの開発に乗り出している。
ByteDance「ArkClaw」
TikTokの親会社ByteDanceは、自社の大規模言語モデル「Doubao」をベースにしたArkClawを2026年2月にリリースした。抖音(中国版TikTok)やFeishu(中国版Lark)と深く統合されており、動画編集の自動化やプロジェクト管理のタスク実行に強みを持つ。特に中小企業向けのマーケティング自動化機能が高い評価を得ている。
Alibaba「QwenClaw」
Alibabaは自社の「Tongyi Qianwen(通義千問)」モデルを基盤としたQwenClawを展開。Alibaba Cloudのエコシステムと完全統合されており、ECサイト運営の在庫管理、顧客対応の自動化、財務レポート生成などのビジネスワークフローに特化している。DingTalk(企業向けメッセージングアプリ)からのワンクリック起動が特徴だ。
Tencent「HunyuanClaw」
TencentはHunyuanClawをWeChat Workおよびテンセントクラウドに統合して提供。中国で11億人以上が使うWeChatのエコシステム内でAIエージェントが動作するため、既存のワークフローを変えることなくAI活用が可能だ。特に金融機関向けのコンプライアンスチェック自動化機能が注目されている。
以下の図は、OpenClawを中心とした中国市場の展開構図を示しています。
この図のとおり、OpenClawの急拡大は中国テック大手の参入を促すと同時に、政府による規制強化のきっかけにもなっている。
各社AIエージェント比較
| 項目 | OpenClaw | ArkClaw (ByteDance) | QwenClaw (Alibaba) | HunyuanClaw (Tencent) |
|---|---|---|---|---|
| 基盤モデル | OpenClaw-3 | Doubao Pro | Tongyi Qianwen 3.0 | Hunyuan Large |
| 主要統合先 | 汎用(API) | 抖音・Feishu | DingTalk・Alibaba Cloud | WeChat Work |
| 強み | 汎用性・多言語 | 動画・マーケティング | EC・財務自動化 | 企業コミュニケーション |
| データ保存先 | 米国クラウド | 中国国内 | 中国国内 | 中国国内 |
| 月額料金 | $20〜(約3,000円) | 99元〜(約2,000円) | 79元〜(約1,600円) | 89元〜(約1,800円) |
| 企業向けプラン | $50〜(約7,500円) | 299元〜(約6,000円) | 249元〜(約5,000円) | 269元〜(約5,400円) |
| セキュリティ認証 | SOC2・ISO27001 | 等保三級 | 等保三級 | 等保三級 |
中国版は価格面で本家OpenClawより30〜40%安価に設定されており、データが国内サーバーに保存される点も中国企業にとっては安心材料だ。
CNCERT/CCのセキュリティ警告
2026年3月10日、中国国家コンピューターネットワーク緊急対応技術チーム/調整センター(CNCERT/CC)が、OpenClawおよびそのフォーク製品に対して正式なセキュリティ警告を発令した。
警告の核心的内容
CNCERT/CCが指摘したリスクは以下の3点に集約される。
1. プロンプトインジェクション攻撃
AIエージェントがWebページやドキュメントを読み込む際、悪意ある命令が隠されたコンテンツを処理してしまう「間接的プロンプトインジェクション」のリスクが確認された。攻撃者はWebサイトの不可視テキストやPDFメタデータに命令を仕込むことで、エージェントの動作を乗っ取ることが可能だ。CNCERT/CCの検証では、OpenClawに対するプロンプトインジェクション攻撃の成功率は**約23%**と報告されている。
2. データ漏洩リスク
OpenClawはタスク実行のためにユーザーのファイルやメールにアクセスする。その過程で読み取った機密情報がクラウドサーバー(特に海外サーバー)に送信される可能性がある。CNCERT/CCは、政府文書や企業の財務データがOpenClawのログに含まれていたケースを複数確認したと報告している。
3. 過剰権限の問題
多くのユーザーがOpenClawにフルアクセス権限を付与しており、ファイル削除やシステム設定変更などの破壊的操作が意図せず実行されるリスクがある。特に技術リテラシーの低いユーザーが「すべて許可」を選択するケースが多いことが問題視された。
インストール禁止の対象
警告を受け、以下の組織でOpenClawおよび類似AIエージェントのインストールが即座に禁止された。
- 中央政府機関(国務院直属の全部門)
- 国有企業(石油・電力・通信など重点産業の100社以上)
- 大手銀行(四大国有銀行+政策銀行)
- 軍事関連施設(すべての防衛関連組織)
民間企業については「強く自制を求める」という表現にとどまっているが、事実上の使用抑制勧告と受け止められている。
以下の図は、AIエージェントのセキュリティリスクと推奨対策の全体像を示しています。
この図が示すとおり、AIエージェントは利便性と引き換えに複数のセキュリティリスクを内包しており、技術的対策の整備が急務となっている。
世界各国のAIエージェント規制動向
中国の動きは突出しているが、AIエージェントのセキュリティに対する懸念は世界共通だ。
EU: AI Act(2025年8月施行)の「高リスクAIシステム」カテゴリにAIエージェントが含まれる可能性が議論されている。欧州委員会は2026年6月までに具体的なガイドラインを策定する予定だ。
米国: NISTが「AI Agent Security Framework」のドラフト版を2026年2月に公開。連邦政府機関向けにAIエージェント導入時のセキュリティ評価基準を定めている。ただし、民間企業への強制力はなく、あくまでガイドラインにとどまる。
英国: AI Safety Instituteが「Agent Evaluation Protocol」を公開し、AIエージェントの安全性を第三者が評価する仕組みを試験運用中。
シンガポール: IMDA(情報通信メディア開発庁)が「Trusted AI Agent Certification」を計画しており、認証を取得したAIエージェントのみ政府系システムで利用可能になる見込みだ。
日本ではどうなるか
日本におけるAIエージェントの普及は中国や米国と比べてまだ初期段階にある。しかし、この領域は急速に立ち上がる可能性が高い。
規制面: 総務省と経済産業省が共同で「AIエージェントガイドライン」の策定に着手している。2026年度内の公開を目指しており、特に金融・医療・行政分野での利用ルールが焦点になる。中国のCNCERT/CC警告は、日本の規制当局にとっても重要な参照事例となるだろう。
企業導入: 日本の大企業では、社内データの機密性への懸念からAIエージェントの導入に慎重な姿勢が多い。しかし、2026年後半にはMicrosoft 365 Copilotの「エージェント機能」が日本でも本格展開される予定であり、大手SIerが導入支援ビジネスを立ち上げ始めている。
スタートアップ: 日本発のAIエージェントスタートアップも徐々に登場している。特にRPA(ロボティック・プロセス・オートメーション)大手のUiPathやAutomation Anywhereと連携した業務特化型エージェントが注目を集めている。
セキュリティ: IPAとJPCERT/CCがAIエージェントのセキュリティ評価フレームワークを共同開発中であり、中国CNCERT/CCの知見も参考にされる見込みだ。日本企業は「データが国内に残るか」を重要な選定基準としており、国産クラウドとの連携がカギになる。
まとめ——AIエージェント時代のセキュリティとどう向き合うか
OpenClawの中国での爆発的普及と政府のセキュリティ警告は、AIエージェントが「便利なツール」から「リスクを伴うインフラ」に変わりつつあることを示している。利便性の追求とセキュリティの確保を両立させるために、以下のアクションステップを推奨する。
- 権限の最小化: AIエージェントに付与する権限は必要最低限にとどめる。「すべて許可」は絶対に避け、タスクごとに必要な権限だけを一時的に付与する運用を徹底する
- データ分類の実施: 社内データを「AIエージェントに渡してよい情報」と「絶対に渡してはならない情報」に明確に分類する。特に個人情報、財務データ、知的財産は厳格に管理する
- サンドボックス環境の構築: AIエージェントの実行環境を隔離し、本番システムへの直接アクセスを防ぐ。Docker等のコンテナ技術を活用して、エージェントの操作範囲を限定する
- ログ監査の自動化: AIエージェントのすべての操作ログを記録し、異常な挙動を自動検知する仕組みを構築する。特にファイルアクセスと外部通信のパターンを重点的に監視する
- 最新情報のキャッチアップ: CNCERT/CC、NIST、IPAなどの公的機関が発行するAIエージェント関連のセキュリティガイドラインを定期的にチェックし、自社のポリシーを更新し続ける
AIエージェントは間違いなく今後のIT活用の中核となる技術だ。だからこそ、「使わない」という選択肢ではなく、「安全に使う」ための知識と体制を今から整えておくことが重要だ。