ニューヨーク拠点のエンタープライズAIスタートアップRunlayerは、2026年2月、オープンソースAIエージェントOpenClawのエンタープライズ向けガバナンスレイヤー「OpenClaw for Enterprise」をローンチした。
OpenClawは2025年11月の公開以降急速に普及しているが、主要エージェント旧名「Clawdbot」はroot権限に近いアクセスで動作するケースもあり、サンドボックスの有効性は設定や運用に依存するため、プロンプトインジェクション等のリスクが問題視されている。
CEOのアンディ・バーマンによれば、セキュリティエンジニアが40回のメッセージで1時間以内にOpenClawの完全な制御を奪取した。Runlayerはリアルタイムブロッキングエンジン「ToolGuard」とシャドーMCPサーバー検出ツール「OpenClaw Watch」を提供し、同社の内部ベンチマーク条件下ではプロンプトインジェクション耐性をベースライン8.7%から95%に引き上げるとしている。
これはSOC 2に対応し、HIPAA要件に準拠した設計を掲げており、OktaやEntraと統合する。料金はユーザー単位ではなくプラットフォーム料金制を採用。Gusto、Instacart、Homebase、AngelListが導入している。
From: 
Runlayer is now offering secure OpenClaw agentic capabilities for large enterprises | VentureBeat
【編集部解説】
このニュースの本質は、「AIエージェントのセキュリティガバナンス」という、これまで明確な解を持たなかった領域に、初めて商用グレードの包括的ソリューションが登場したという点にあります。
OpenClawは2025年11月に個人プロジェクトとして公開され、わずか数カ月でGitHub Starsが20万規模に成長しました。WhatsApp、Telegram、Slack、Discordといったメッセージングアプリを通じてAIエージェントを操作でき、ファイル操作、ターミナルコマンド実行、Web閲覧までを自律的にこなせる点が爆発的な支持を集めた理由です。
しかし、その急拡大と同時にセキュリティ上の深刻な問題が次々と発覚しています。2026年2月上旬にはCVE-2026-25253(CVSSスコア8.8)としてワンクリックでのリモートコード実行が可能な脆弱性が開示されました。セキュリティ企業Censysの調査では、インターネット上に2万件を超えるOpenClawインスタンスの露出が報告されています。さらに、OpenClawのスキルマーケットプレイスであるClawHubでは、Bitdefenderの分析によれば悪性または不審なスキルが一定割合含まれる可能性が示されています。
こうした状況のなかで、Runlayerの「OpenClaw for Enterprise」は、禁止ではなく「統制された活用」という選択肢を企業に提示しています。Runlayerは2025年に創業され、同年11月にKhosla Venturesのキース・ラボイスとFelicisから1100万ドルのシードラウンドを調達してステルスモードから姿を現しました。創業者のアンドリュー・バーマンは、過去にベビーモニター企業Nanitを共同創業し、AI会議ツールVowelを2024年にZapierに売却した経歴を持っています。Zapierでは初期のMCPサーバー構築をAnthropicやOpenAIと協力して行い、そこで見出したセキュリティ上の「盲点」が起業の動機となりました。
注目すべきは、MCPの仕様策定者であるAnthropicのデイヴィッド・ソリア・パラがRunlayerのアドバイザー兼エンジェル投資家に就任している点です。プロトコルの設計者自身がセキュリティレイヤーの必要性を認識し、その構築に関わっているという事実は、MCP自体にエンタープライズ向けのセキュリティ機構が不足していることの裏付けとも読み取れます。
Runlayerのアプローチが示唆するのは、AIエージェントのガバナンスが、かつてのクラウド導入やBYODと同じ構造的課題をたどっているということです。新しいテクノロジーが現場の生産性を劇的に向上させるとき、企業は「禁止」ではなく「統制された許可」へと方針を転換せざるを得なくなります。Gustoの事例では、ITチームが「AIトランスフォーメーションチーム」へとその役割自体を変容させたという点が象徴的です。
一方で、Runlayerが主張するプロンプトインジェクション耐性の数値(ベースライン8.7%から95%への向上)については、内部ベンチマークに基づくものであり、第三者による独立した検証結果は現時点で公開されていません。この点は留意が必要です。
長期的な視点では、2026年2月中旬にOpenClaw創設者のピーター・シュタインベルガーがOpenAIへの参画を発表し、プロジェクトはOpenAIがスポンサーとなる独立財団に移管される予定です。これにより、OpenClawのエコシステムは今後さらに拡大すると予想され、エンタープライズ向けセキュリティガバナンスの需要は一層高まるでしょう。
Runlayerの挑戦は、AIエージェント時代における「セキュリティベンダー」の新たな定義を示す試みといえます。クラウドにはCASBが、SaaSにはSSPMが生まれたように、エージェントAIにもガバナンスレイヤーが不可欠になる——その最初の本格的な回答が、いま市場に投入されたところです。
【用語解説】
プロンプトインジェクション
AIエージェントに対し、メールや文書などに悪意ある命令を埋め込み、エージェントの動作を乗っ取る攻撃手法。エージェントが外部データを読み取る際に、隠された命令を正規の指示と区別できないことを悪用する。
MCP(Model Context Protocol)
Anthropicが2024年11月にオープンソースとして公開したプロトコル。AIエージェントが外部のツールやデータに接続するための標準規格である。
サンドボックス
プログラムの実行環境を隔離し、システム本体や他のデータに影響を与えないようにするセキュリティ機構。
SOC 2認証
米国公認会計士協会(AICPA)が定めるセキュリティ、可用性、処理の完全性、機密性、プライバシーに関する監査基準。クラウドサービスやSaaS企業が顧客データの管理体制を証明するために取得する。
HIPAA準拠設計(HIPAA compliance)
米国の医療保険の携行性と責任に関する法律に基づく要件を満たす設計・運用体制。医療・ヘルスケア分野の機密情報を扱うシステムに求められるセキュリティ基準を満たしていることを示す。
SIEM
Security Information and Event Managementの略。セキュリティ関連のログやイベントを一元的に収集・分析し、脅威の検出やインシデント対応を支援するプラットフォーム。DatadogやSplunkが代表的な製品である。
CASB
Cloud Access Security Brokerの略。クラウドサービスの利用状況を可視化し、セキュリティポリシーを適用するためのソリューション。クラウド時代のガバナンスの代表的な手法として編集部解説で言及した。
SSPM
SaaS Security Posture Managementの略。SaaSアプリケーションのセキュリティ設定を継続的に監視・評価するソリューション。SaaS時代のガバナンスの代表として編集部解説で言及した。
CVE(Common Vulnerabilities and Exposures)
公開されたセキュリティ脆弱性に付与される識別番号体系。編集部解説で言及したCVE-2026-25253は、OpenClawのワンクリックRCE(リモートコード実行)脆弱性に割り当てられたものである。
シードラウンド
スタートアップの初期段階における資金調達ラウンド。事業の立ち上げや製品開発に必要な初期資金を投資家から調達する段階を指す。
【参考リンク】
Runlayer公式サイト(外部)
ニューヨーク拠点のAIセキュリティスタートアップ。MCP・エージェントのガバナンス基盤を提供している。
OpenClaw公式サイト(外部)
2025年11月公開のオープンソースAIエージェント。メッセージングアプリ経由で操作するパーソナルAIアシスタントである。
OpenClaw(GitHub)(外部)
OpenClawのソースコードリポジトリ。2026年2月時点でGitHub Starsは20万規模。MIT License。
Khosla Ventures(外部)
シリコンバレーの大手VC。ゼネラルパートナーのキース・ラボイスがRunlayerのシードラウンドを主導した。
Felicis(外部)
シリコンバレーのベンチャーキャピタル。Runlayerのシードラウンドに共同リードとして参加している。
Okta(外部)
クラウドベースのIDプロバイダー大手。Runlayerが統合先として対応するID管理プラットフォームである。
Microsoft Entra(外部)
Microsoftが提供するID管理・アクセス制御プラットフォーム。旧称Azure Active Directory。
Gusto(外部)
米国の中小企業向け給与・HR・福利厚生プラットフォーム。Runlayer導入企業として記事中に登場する。
Instacart(外部)
米国の食料品デリバリープラットフォーム。Runlayerの導入企業として記事中に登場する。
【参考記事】
MCP AI agent security startup Runlayer launches with 8 unicorns, $11M from Khosla’s Keith Rabois and Felicis(外部)
Runlayerが1100万ドルを調達しステルスから登場した詳報。8つのユニコーン企業の顧客獲得実績を報じている。
The OpenClaw security crisis(外部)
CVE-2026-25253の脆弱性、ClawHubの悪意あるスキル824件以上、3万件超の露出インスタンスなど数値を詳報。
OpenClaw: 9K to 157K Stars Then Imploded [Case Study](外部)
60日で15万7000スター達成の成長分析。VirusTotal調査でClawHub全スキルの11.3%が悪意あるものと判明。
OpenAI’s acquisition of OpenClaw signals the beginning of the end of the ChatGPT era(外部)
OpenClaw創設者のOpenAI参画とプロジェクトの独立財団移管、Anthropicとの商標問題の経緯を報じている。
OpenClaw proves agentic AI works. It also proves your security model doesn’t.(外部)
1800以上の露出インスタンスからAPIキーやチャット履歴が発見された事例やCiscoの脅威評価を報じている。
Runlayer Emerges From Stealth Mode With $11 Million in Funding(外部)
SecurityWeekによるRunlayerのローンチ報道。シード資金1100万ドルの調達と顧客獲得実績を報じている。
【編集部後記】
皆さんの職場では、AIエージェントの導入についてどのような議論が行われていますか。「便利だから使いたい」と「セキュリティが心配」のあいだで揺れている方も多いのではないでしょうか。
禁止か許可かの二択ではなく、「どう安全に活用するか」という問いに向き合う時期が来ているのかもしれません。皆さんの現場での実感や工夫を、ぜひお聞かせください。
