Cloudflare、AIエージェント「Moltbot」をクラウドで動かす「Moltworker」発表。セキュリティ懸念も浮上

Cloudflareは2026年1月29日、オープンソースのセルフホスト型AIエージェント「Moltbot」を同社のプラットフォーム上で動作させる「Moltworker」を発表した。なお、2026年1月30日時点でMoltbotはOpenClawに改名された。

Moltbotは従来、ユーザーがMac miniなどの専用ハードウェアを購入して実行していたが、MoltworkerはCloudflareのSandbox SDKとDeveloper Platform API上でMoltbotを実行可能にする。実装にはSandboxes、Browser Rendering、R2、AI Gateway、Zero Trust Accessといった同社の技術を活用している。Cloudflareは最も人気のある1,000個のNPMパッケージでテストを実施し、わずか15パッケージ（1.5%）のみが動作しなかったと報告している。

Moltworkerはhttps://github.com/cloudflare/moltworkerでオープンソース公開されており、利用には最低5ドル（USD）のWorkers有料プランサブスクリプションが必要である。同社はMoltworkerを概念実証と位置付け、正式な製品ではないとしている。

From: Introducing Moltworker: a self-hosted personal AI agent, minus the minis

【編集部解説】

今回Cloudflareが発表したMoltworkerは、急速に注目を集めるAIエージェント「Moltbot（現OpenClaw）」をクラウド環境で動作させる試みです。しかし、この技術の背後には、AIエージェントの自律性とセキュリティという、AI時代における本質的な課題が横たわっています。

Moltbot（2026年1月30日にOpenClawに改名）は、わずか2ヶ月でGitHubスターが10万を超え、1週間で200万人の訪問者を記録するという爆発的な成長を遂げました。開発者のピーター・シュタインベルガー氏が週末のプロジェクトとして始めたこのツールは、WhatsAppやSlackなどのメッセージアプリを通じて財務管理やスケジュール調整を行える「24時間働くパーソナルアシスタント」として、特にMac miniユーザーの間で人気を博しました。

Cloudflareの取り組みは、このブームに対する技術的な応答といえます。同社のSandbox SDKは、信頼できないコードを分離環境で安全に実行する仕組みを提供しており、NPMパッケージ1,000個のテストでは98.5%が動作したと報告されています。これは、Node.js互換性の向上によって、エッジ環境でも複雑なアプリケーションが動作可能になったことを示しています。

しかし、セキュリティ専門家からは深刻な警告が相次いでいます。複数のセキュリティ企業による調査で、認証されていない管理ポートが数百件インターネット上に露出していることが判明しました。APIキーやOAuthトークンが平文で保存され、プロンプトインジェクション攻撃に対して脆弱であることも指摘されています。

特に懸念されているのが、AIエージェントが持つ「永続的メモリ」と「システムへのフルアクセス」の組み合わせです。悪意あるメッセージに含まれた指示が、一見無害に見えながらメモリに保存され、後のタイミングで実行されるという「時間差攻撃」のリスクが存在します。Palo Alto Networksは、これを従来の「致命的三要素（機密データへのアクセス、信頼できないコンテンツへの露出、外部通信能力）」に加わる第四の要素と位置付けています。

企業環境への影響も無視できません。Token Securityの調査によれば、企業顧客の22%で、IT部門の承認なしにMoltbotを使用している従業員が確認されています。Googleクラウドのセキュリティエンジニアリング担当副社長であるヘザー・アドキンス氏は「私の脅威モデルがあなたの脅威モデルであるべきだ。Clawdbotを実行しないでください」と強く警告しています。

Cloudflare Moltworkerは、こうした状況に対して一定の安全策を提供しています。Zero Trust Accessによる認証、Sandboxによるコンテナ分離、AI Gatewayによる可視化などが統合されており、セルフホストよりも管理された環境を実現しています。月額5ドルという低コストで始められる点も魅力的です。

ただし、Cloudflare自身が「これは概念実証であり、製品ではない」と明言している点は重要です。同社の意図は、Moltbotを商業化することではなく、Developer Platformの能力を示すことにあります。実際、Hacker Newsなどのコミュニティでは「マーケティングが技術的実態を上回っている」という批判も見られます。

このMoltbot/OpenClawの事例は、AIエージェント時代における重要な教訓を提示しています。利便性と自律性を追求するほど、セキュリティリスクは指数関数的に増大します。「使いやすさ」を優先した設計が、結果として大規模なセキュリティインシデントを引き起こす可能性があるのです。

今後、AIエージェントは確実に普及していくでしょう。しかし、その前提として、サンドボックス化、認証の徹底、監視の強化といった基本的なセキュリティ対策が不可欠です。Cloudflare Moltworkerは、その一つの方向性を示していますが、技術コミュニティ全体での継続的な議論と改善が求められています。

【用語解説】

Sandbox SDK
Cloudflareが提供する、信頼できないコードを分離された環境で安全に実行するための開発キット。コンテナ技術をベースに、ファイル管理、コマンド実行、バックグラウンドプロセスの実行などを簡単なAPIで提供する。AIエージェントが生成したコードを安全に実行する用途に特化している。

プロンプトインジェクション
AIモデルに対する攻撃手法の一つ。悪意のある指示を含むテキストをAIに入力することで、本来の動作とは異なる行動を引き起こさせる。メールやメッセージに埋め込まれた指示により、AIエージェントが意図しない操作を実行するリスクがある。

OAuthトークン
アプリケーションが他のサービスにアクセスする際の認証情報。パスワードを直接渡さずに、限定的な権限でサービス間の連携を可能にする。これが漏洩すると、攻撃者が正規ユーザーになりすましてサービスにアクセスできる。

エッジ環境
ユーザーに物理的に近いネットワークの端（エッジ）でコードを実行する仕組み。従来の中央サーバー方式と比べて、レイテンシーが低く、応答速度が速いという特徴がある。Cloudflare Workersはこの代表例である。

永続的メモリ
AIエージェントがセッションをまたいで情報を保持し続ける機能。ユーザーの過去の会話や設定、好みなどを記憶することで、より文脈に沿った応答が可能になる。ただし、悪意のある指示が長期間保存され、後で実行されるリスクも伴う。

セルフホスト型
クラウドサービスに依存せず、ユーザー自身のハードウェア上でソフトウェアを運用する方式。データやプライバシーの管理を自分で行えるメリットがある一方、セキュリティやメンテナンスの責任もユーザーが負う。

Node.js互換性
Node.jsで動作するJavaScriptコードやパッケージが、他の環境でも動作する程度。Cloudflare Workersは従来、独自のランタイムを使用していたが、Node.js APIのネイティブサポートを拡充することで、既存のエコシステムとの統合を進めている。

サンドボックス化
プログラムを隔離された環境内で実行し、システム全体への影響を制限する技術。セキュリティ対策の基本手法の一つで、万が一コードに問題があっても、被害範囲を最小限に抑えられる。

【参考リンク】

Cloudflare（外部）
グローバルなクラウドプラットフォームとネットワークインフラを提供する企業。CDN、セキュリティ、開発者向けプラットフォームを展開する。

Moltworker GitHub リポジトリ（外部）
Cloudflareがオープンソース公開しているMoltworkerのソースコード。セットアップ手順やドキュメントが提供されている。

OpenClaw（旧Moltbot）（外部）
オープンソースのセルフホスト型AIエージェント。メッセージアプリを通じてパーソナルアシスタントとして機能する。

Cloudflare Sandbox SDK（外部）
信頼できないコードを安全に実行するための開発者向けSDK。AIエージェントのコード実行環境の構築に利用できる。

Cloudflare AI Gateway（外部）
AIアプリケーションとAIプロバイダーの間に位置するプロキシサービス。コスト可視化やリクエスト制御機能を提供する。

Cloudflare Browser Rendering（外部）
エッジネットワーク上でヘッドレスブラウザを実行するサービス。Puppeteer、Playwrightなどをサポートする。

Cloudflare R2（外部）
Cloudflareが提供するオブジェクトストレージサービス。S3互換のAPIを持ち、egress料金が無料という特徴がある。

【参考記事】

From Moltbot to OpenClaw: When the Dust Settles, the Project Survived（外部）
Clawdbot、Moltbotを経てOpenClawへと改名に至った経緯を詳細に解説。Anthropicの商標権請求、暗号通貨詐欺師によるアカウント乗っ取り、セキュリティ上の問題などを経て、プロジェクトがどのように生き残ったかを記録している。

Personal AI Agents like Moltbot Are a Security Nightmare（外部）
CiscoのAI脅威・セキュリティ研究チームによる分析記事。31,000のエージェントスキルを分析し、26%に少なくとも1つの脆弱性が含まれていることを発見した。

Clawdbot becomes Moltbot, but can’t shed security concerns（外部）
The Registerによる包括的なセキュリティ分析。Salt SecurityやHudson Rockの専門家による警告を掲載し、GoogleクラウドのHeather Adkins副社長がインストールを避けるよう強く警告している内容を報道。

Why Moltbot (formerly Clawdbot) May Signal the Next AI Security Crisis（外部）
Palo Alto Networksによる技術的分析。「AIエージェントの致命的三要素」に永続的メモリが加わることで攻撃面が拡大すると指摘している。

Viral Moltbot AI assistant raises concerns over data security（外部）
BleepingComputerによる包括的なセキュリティレポート。Token Securityの調査により、企業顧客の22%でIT承認なしにMoltbotを使用している従業員が確認されたことを報告している。

Moltworker Complete Guide 2026: Running Personal AI Agents on Cloudflare Without Hardware（外部）
Cloudflare Moltworkerの技術的詳細と実装ガイド。Hacker Newsでのコミュニティの反応を分析し、98.5%のNPMパッケージ互換性に対する肯定的評価と批判の両面を紹介している。

The lobster sheds its shell for the third time as Clawdbot becomes OpenClaw（外部）
Business Todayによる改名の経緯と成長の記録。10万以上のGitHubスター、1週間で200万人の訪問者という数字とともに、プロジェクトの変遷を報じている。

【編集部後記】

AIエージェントが日常生活に入り込んでくる時代が、思っていたよりも早く到来しています。Moltbot/OpenClawの爆発的な人気は、多くの人が「24時間働いてくれるアシスタント」を求めていることの証しでしょう。一方で、セキュリティ専門家からの警告も相次いでいます。

みなさんは、利便性とセキュリティのバランスをどう考えますか？ 自分のメールや財務情報にアクセスするAIを、どこまで信頼できるでしょうか。今回のCloudflareのアプローチは一つの解決策を示していますが、完璧な答えではありません。私たち編集部も、この領域の正解を模索している最中です。ぜひみなさんの考えや経験を聞かせていただければと思います。