2026年にAIエージェントランタイムを評価しているなら、1年前とは全く異なる景色に気づいているはずだ。2024年から2025年の大半でこの分野を支配していたOpenClawは、今や深刻なセキュリティ危機に直面している。ZeroClawは最も急成長している代替として台頭してきた。PicoClawはミニマルでハッカブルなものを求める開発者向けのニッチを確立した。
どれを選ぶかは単なる技術的な決断ではない——エコシステムの規模、パフォーマンス、セキュリティ、シンプルさ、あるいはその組み合わせのどれを重視するかという表明だ。この比較は、その判断に必要な情報を提供しようとするものだ。
3つのプロジェクト
OpenClawはオリジナルだ。2023年にTypeScript/Node.jsプロジェクトとして始まり、活発なプラグインエコシステムを通じて急速に成長し、現在30万以上のGitHubスターを持つ。WebUIは洗練されており、プラグインマーケットプレイス(ClawHub)には何千もの拡張機能があり、コミュニティは巨大だ。現在CVE-2026-25253(ワンクリックRCE、CVSS 8.8)とCVE-2026-26327(認証バイパス)にも対処中で、プロジェクトへの信頼が揺らいでいる。
ZeroClawはパフォーマンスとセキュリティをエコシステムの規模より優先するRustネイティブの書き直しだ。2024年末にローンチし、2026年初頭までに18,000以上のGitHubスターに達し、この分野の他のどのランタイムよりも速く成長している。アイドル時のRAM使用量は4MB、起動は10ミリ秒以内、依存関係なしのシングルバイナリとして出荷される。プラグインマーケットプレイスはない——設計上の選択だ。
PicoClawはOpenClawよりシンプルでハッカブルなものを求めるコミュニティの欲求から生まれたPythonベースのミニマルフォークだ。機能セットが小さく、コミュニティも小さく、攻撃面も小さい。その魅力は、午後一杯でコードベース全体を読んで、何をしているか完全に理解できることだ。
パフォーマンス:実際に重要な数値
これらのランタイム間のパフォーマンスギャップは、ほとんどの人が予想するより大きく、デプロイオプションと運用コストに実際の影響がある。
| メトリクス | OpenClaw | ZeroClaw | PicoClaw | |--------|----------|----------|----------| | RAM(アイドル) | ~1.2 GB | ~4 MB | ~180 MB | | コールドスタート | ~8秒 | <10ms | ~3秒 | | バイナリサイズ | ~800 MB (node_modules) | ~12 MB | ~50 MB (依存含む) | | 言語 | TypeScript | Rust | Python | | 最小ハードウェア | 2GB RAM VPS | $10 SBC | 512MB RAM VPS |
ZeroClawの数値はマーケティングではない——Rustのゼロコスト抽象化とシングルバイナリアーキテクチャの直接的な結果だ。初期化するJavaScriptランタイムなし、バックグラウンドで動くガベージコレクターなし、メモリにロードする1,200パッケージの依存ツリーなし。バイナリが起動し、設定を読み込み、ミリ秒でメッセージを処理する準備ができる。
OpenClawの数値はそのアーキテクチャのコストを反映している。Node.jsは有能なランタイムだが、排除しにくいオーバーヘッドを持つ。V8エンジン、モジュールシステム、依存ツリーはすべて最初のメッセージを処理する前に初期化される必要がある。だからOpenClawは最低2GB VPSが必要で、起動に8秒かかる。
PicoClawは中間に位置する。Pythonのインタープリターはネイティブバイナリと比べると依然として大きなオーバーヘッドを持つ。180MBのアイドルRAM使用量と3秒のコールドスタートは多くのユースケースで許容できるが、OpenClawが対応できないのと同じ制約のあるハードウェアシナリオを除外する。
セキュリティ:ギャップが最も大きい部分
2026年のセキュリティ比較は明確で、率直に言う価値がある。
OpenClawは現在2つのクリティカルなCVEに対処中だ。CVE-2026-25253はワンクリックリモートコード実行を可能にする——攻撃者はOpenClawユーザーがクリックすると、マシン上で任意のコードを実行する悪意あるリンクを作成できる。CVE-2026-26327は露出したインスタンスで認証バイパスを可能にする。42,000以上のOpenClawインスタンスがインターネット上に公開されているのが見つかり、ClawHubのスキルの41.7%に脆弱性が含まれていることが判明した。これらは軽微な問題ではない;プラグインエコシステムを壊さずにパッチを当てることが難しい根本的なアーキテクチャ上の問題だ。
ZeroClawのセキュリティモデルは異なる前提から始まる。Rustの所有権システムはバッファオーバーフロー、use-after-free脆弱性、データ競合をコンパイル時に排除する——歴史的にシステムソフトウェアのCVEの源となってきた脆弱性クラス全体を。ゲートウェイペアリングはリモートアクセスに単なるパスワードではなく暗号認証を要求する。デフォルト拒否のアローリストモデルはスキルが明示的にアクセスを許可されたものにしかアクセスできないことを意味する。そしてプラグインマーケットプレイスの不在はClawHub悪意あるスキルキャンペーンを可能にしたサプライチェーン攻撃面を排除する。
PicoClawのセキュリティストーリーはシンプルだ:機能が少ないので攻撃面が小さい。プラグインマーケットプレイスなし、WebUIなし、リモートアクセス機能なし。トレードオフは正式なセキュリティモデルもなく、監査もなく、Pythonの動的な性質がランタイム型エラーによる予期しない動作を引き起こす可能性があることだ。信頼できるマシンでの個人使用なら問題ないだろう。機密データを扱う本番デプロイには慎重に評価すべきリスクだ。
チャンネルサポート
ZeroClawはWhatsApp、Telegram、Discord、Slack、Signal、Matrix、IRC、Lark/DingTalkを含む30以上のチャンネルをすぐに使える状態でサポートする。OpenClawはプラグインシステムを通じて15以上をサポート。PicoClawは5つをサポート。
| チャンネル | OpenClaw | ZeroClaw | PicoClaw | |---------|----------|----------|----------| | WhatsApp | あり | あり | あり | | Telegram | あり | あり | あり | | Discord | あり | あり | あり | | Slack | あり | あり | なし | | Signal | コミュニティ | あり | なし | | Matrix | コミュニティ | あり | なし | | IRC | コミュニティ | あり | なし | | Lark/DingTalk | コミュニティ | あり | なし | | Web UI | 組み込み | ゲートウェイ経由 | 基本的なもの | | 合計 | 15以上 | 30以上 | 5 |
より興味深い違いは、新しいチャンネルがどのように追加されるかだ。ZeroClawのトレイト駆動アーキテクチャは、新しいチャンネルの追加がRustトレイトの実装を意味する——通常50〜100行のコードで、コンパイラが正確さを検証する。OpenClawはチャンネル統合がnpmパッケージであるプラグインシステムを使う。PicoClawはリポジトリをフォークして統合を直接追加する必要がある。
AIプロバイダーサポート
3つすべてが主要プロバイダーをサポートする:OpenAI、Anthropic、Google、そしてローカルモデル用のOllama。ZeroClawはさらにGroq、xAI、Mistral、DeepSeek、Perplexityをすぐに使える状態でサポートする。ZeroClawでプロバイダーを切り替えるのはconfig.tomlの1行変更——コード変更なし、インストールするプラグインなし、再コンパイルなし。
各選択の背後にあるアーキテクチャ哲学
各プロジェクトがアーキテクチャ上の選択をした理由を理解することで、どのように進化するかを予測できる。
OpenClawはアクセシビリティを選んだ。JavaScriptは最も広く知られている言語で、プラグインは書きやすく、WebUIは非技術ユーザーへの参入障壁を下げる。これらの選択が急速な採用を促進した。同時に、今問題を引き起こしているセキュリティとパフォーマンスの特性も生み出した。許容的なアーキテクチャにセキュリティを後付けすることは本当に難しく、OpenClawチームは今それを発見している。
ZeroClawは正確さを選んだ。Rustはコンパイル時にメモリ安全性を強制し、トレイトシステムは型安全な拡張性を保証し、シングルバイナリはデプロイの複雑さを排除する。これらの選択はZeroClawへの貢献を難しくする——RustはTypeScriptより学習曲線が急だ——しかし同時に、デフォルトでより信頼性が高く、より安全で、よりパフォーマンスが良いものにする。
PicoClawはシンプルさを選んだ。Pythonは読みやすく、コードベースは完全に理解できるほど小さく、ハッキングは速い。そのシンプルさは、ツールを理解して修正したい開発者にとって本当に価値がある。トレードオフは機能が限られていて正式なセキュリティモデルがないことだ。
どれがあなたに合っているか
最大のプラグインエコシステムと洗練されたWebUIが必要で、ファイアウォール、VPNアクセス、定期的なアップデート、慎重なプラグイン審査などのセキュリティ強化に投資する意欲があるなら——OpenClawは依然として選択肢だ。ただし現在のセキュリティ状況を十分理解した上で。
リソース効率、セキュリティ、エッジデプロイ、制約のあるハードウェアでの動作を重視するなら、ZeroClawが本番使用の明確な選択だ。小さいエコシステムは実際のトレードオフだが、セキュリティとパフォーマンスの特性は他に匹敵するものがない。
個人プロジェクトやプロトタイピング用のミニマルでハッカブルなPythonコードベースが欲しく、AIアシスタントが実行するすべてのコードを理解したいなら、PicoClawは見る価値がある。ZeroClawのような本番対応ではないが、それを目指しているわけでもない。
AIエージェントランタイムの分野はまだ若く、これらのプロジェクト間の競争は健全だ。しかし軌跡は明確だ:「まあ十分」なセキュリティと「自分のマシンでは動く」パフォーマンスの時代は終わりつつある。本番AIインフラは本番インフラとして構築される必要がある。