PCを自律制御するAIエージェント「OpenClaw」をDockerで安全に動かす——PC Watchが前後編で詳解

PC Watchの西川和久氏が2026年6月5日、PCを実際に操作できるOSSのAIエージェント「OpenClaw」をDockerを用いて安全に構築する手順を前編・後編の連載形式で解説する記事を公開した。自律エージェントへの注目が高まる一方、セキュリティ面での適切な運用方法が問われている現状を踏まえた、実践的なレポートだ。

OpenClawとは何か——自律思考ループの仕組み

AIエージェントとは、指示を受けるLLMエンジンと、ファイル操作・コマンド実行などOS上のツール群を組み合わせ、思考と実行のループを自律的に繰り返す仕組みだ。OpenClawはその代表格のひとつで、list/search（探索）・read/more（コンテキスト管理）・write/edit（ファイル変更）・bash（コマンド実行）を基本操作として持ち、ゴール達成に向けた組み合わせをAI自身が判断する。

急成長の歴史——商標紛争からMicrosoftの公式対応まで

PC Watchの記事が整理した経緯によれば、OpenClawの歴史は波乱に富んでいる。

• 2025年11月: オーストリアの開発者 Peter Steinberger 氏が初期版「Warelay」をリリース、その後「Clawdbot」に改名
• 2026年1月29日: Anthropicとの商標紛争による一時改名（Moltbot）を経て「OpenClaw」として正式名称が確定
• 2026年2月: GitHubスター数が10万を突破し開発者コミュニティでバイラル化。その後、作者はOpenAIへ移籍
• 2026年3月: スター数24万超。NVIDIAがセキュリティ強化スタック「NemoClaw」を公開
• 2026年6月2日: MicrosoftがBuild 2026で「OpenClaw runs natively on Windows leveraging MXC（隔離レイヤー）」を発表

当初はWhatsApp・Telegram・Slackなどのメッセージングアプリ経由で自宅PCを遠隔操作するユースケースを想定していた点も興味深い。cron的な定期実行機能が残っているのはその名残だと西川氏は指摘する。

DockerによるセキュアなセットアップとトレードオフをPC Watchが実証

西川和久氏のレポートが今回特に重点を置いているのが、直接インストール（OS直入れ）とDocker環境の比較だ。

直接インストールはOS全体へのフルアクセスが可能で利便性は高いが、AIが誤認した場合に重要ファイルを削除するなどの大事故リスクを抱える。

Docker環境では、AIがアクセスできる範囲が ~/.openclaw/workspace/ 配下に限定されるため安全性は大幅に向上する。ただしトレードオフとして、複数フォルダにまたがるファイルをまとめてPowerPointにするといった横断的な作業は、事前にworkspaceへファイルをコピーする必要がある。

西川氏はセキュリティを優先し、今回の解説ではDocker構成のみを推奨している。セットアップ手順としては、Docker Desktopのインストール後に .env ファイルでPlaywrightを有効化し、docker-compose.override.yml でカスタマイズを行う流れだ。Ubuntu 24.04 LTSへの具体的なaptコマンド手順も掲載されており、実運用に即した内容となっている。

日本市場での注目点

Windowsへのネイティブ対応が今後の普及を左右する鍵となりそうだ。Microsoft Build 2026で発表されたMXC（隔離レイヤー）によるWindowsネイティブ動作は、企業での採用を後押しする可能性がある。WSL2に依存していたDocker DesktopをWSL containersで置き換えられる点や、同時に発表された「Coreutils for Windows」（winget install Microsoft.Coreutilsでインストール）も、Windows環境でのAIエージェント活用に向けた整備が進んでいることを示す。

OpenClaw自体はOSSであり、ソフトウェアのライセンスコストは発生しない。ただしLLMのAPI利用料（Claude API・OpenAI API等）は別途かかる。制御側マシンの要件はメモリ8GB以上と比較的低く、手持ちのPCで試せる点は敷居が低い。

NVIDIAの「NemoClaw」のような企業向けセキュリティ強化版の登場も、日本の大手企業が本格採用を検討する際の判断材料になりえる。

筆者の見解

「思考と実行のループを自律的に繰り返す」——この一文がOpenClawの本質であり、同時にAIエージェントが本当に実用になるかどうかの分水嶺でもある。確認・承認を人間に求め続ける「副操縦士」型の設計では、認知負荷の削減という本来の価値が半減する。OpenClawがコミュニティで急速に支持を集めた理由のひとつは、この自律性の高さにあるだろう。

MicrosoftがBuild 2026でOpenClawのWindowsネイティブ対応を発表したことは、評価したい動きだ。隔離レイヤー（MXC）を標準的な入口として提供することで、「OSをAIに触らせるリスク」をアーキテクチャの段階で解消しようとする姿勢は、一般ビジネスユーザーへの普及を見据えた判断として筋がいい。「禁止ではなく、安全に使える仕組みを用意する」方向性は、企業展開において正しいアプローチだと思う。

ただし、道具として整備されることと、それを使いこなすリテラシーの問題は別だ。「workspaceにファイルをコピーする必要がある」という制約ひとつとっても、使い手がエージェントの動作原理を理解していなければ「便利なはずなのに面倒」という体験に終わる。ハードウェアの敷居が下がり、Windowsネイティブ対応が整った今こそ、使い方の設計——どんなタスクをエージェントに委ねるか——を考え始める好機ではないか。

PC Watch・西川和久氏の後編レポートで、実際にどこまで使えたかの評価が明らかになるのを注目している。

出典: この記事は 【西川和久の不定期コラム】話題のAIエージェント「OpenClaw」入門。Dockerを使い安全にセットアップ の内容をもとに、筆者の見解を加えて独自に執筆したものです。