過去1年間、自律型AIエージェントの早期導入者たちは、もやのかかった運試しゲームを強いられてきました。エージェントを役に立たないサンドボックスのままにするか、王国の鍵を渡して、破局的な「すべて削除(delete all)」の幻覚コマンドを出さないことに賭けるか、です。
エージェントの真の有用性――会議のスケジューリング、メールのトリアージ、クラウド基盤の管理――を解き放つには、ユーザーはこれらのモデルに生のAPIキーと幅広い権限を付与する必要がありました。その結果、システムがエージェントのうっかりしたミスによって中断されるリスクが高まっていたのです。
このトレードオフは、今日で終わります。オープンソースのサンドボックス化された NanoClawエージェント・フレームワーク の開発者たちは――新たにプライベート・スタートアップとして名付けられたNanoCoの下で知られるようになった彼らは――標準化された、インフラ層レベルの承認システムを導入するために、 Vercel および OneCLI との画期的な提携を発表しました。
VercelのChat SDKと、OneCLIのオープンソース認証情報ボールトを統合することで、NanoClaw 2.0は、機密性の高い操作が明示的な人間の同意なしに実行されないことを保証します。さらに、それは、ユーザーがすでに日常的に使っているメッセージングアプリ上で、ネイティブに配信されます。
特に最も恩恵を受ける可能性が高いユースケースは、影響の大きい「書き込み(write)」アクションを伴うものです。つまりDevOpsにおいては、エージェントがクラウド基盤の変更案を提示しても、それが本番環境に反映されるのは、上級エンジニアがSlackで「Approve」をタップした後だけになる、ということです。
財務チームの場合、エージェントが一括支払いの準備や請求書のトリアージを行えますが、最終的な送金(支払)には、WhatsAppのカード経由で人間の署名が必要になります。
テクノロジー:分離によるセキュリティ
NanoClaw 2.0における根本的な変化は、「アプリケーション・レベル」のセキュリティから「インフラストラクチャ・レベル」の強制へと移行する点です。従来のエージェント・フレームワークでは、モデル自身がしばしば許可を求める責任を負います――この流れを、NanoCo共同創業者のGavriel Cohenは「本質的に欠陥がある」と説明します。
「エージェントが悪意を持っている、あるいは侵害されている可能性があります」と、Cohenは最近のインタビューで述べました。「承認依頼のUIをエージェントが生成しているなら、実際には『Accept(承認)』と『Reject(拒否)』のボタンを入れ替えることで、あなたをだませるかもしれません。」
NanoClawはこれを、エージェントを厳密に分離されたDockerまたはApple Containers内で実行することで解決します。エージェントは実際のAPIキーを見ることはありません。代わりに「プレースホルダー(仮置き)」キーを使用します。エージェントが外向きリクエストを試みると、そのリクエストはOneCLI Rust Gatewayによって中断(インターセプト)されます。ゲートウェイは、ユーザーが定義した一連のポリシー(例:「読み取り専用のアクセスはOKだが、メール送信は承認が必要」)を確認します。
もしそのアクションが機密性の高いものなら、ゲートウェイはリクエストを一時停止し、ユーザーに通知をトリガーします。ユーザーが承認した後にのみ、ゲートウェイが実際の暗号化された認証情報を注入し、そのリクエストがサービスへ到達できるようにします。
プロダクト:ループに「人間」を持ち込む
セキュリティがエンジンである一方、VercelのChat SDKはダッシュボードです。異なるメッセージング・プラットフォームとの統合は、ボタンやカードのようなインタラクティブ要素に関して、それぞれのアプリが別々のAPIを使うため、非常に難しいことで知られています(Slack、Teams、WhatsApp、Telegramなど)。
Vercelの統一SDKを活用することで、NanoClawは1つのTypeScriptのコードベースから15の異なるチャネルへデプロイできるようになりました。エージェントが保護されたアクションを実行しようとすると、ユーザーはスマートフォン上でリッチなインタラクティブカードを受け取ります。「承認は、SlackやWhatsApp、Teamsのすぐ中にリッチでネイティブなカードとして表示され、ユーザーは1回タップするだけで承認または拒否できます」とCohenは語っています。この「シームレスなUX」が、人間が介在する監視を現実的なものにし、生産性のボトルネックではなくしています。
対応している15のメッセージングアプリ/チャネルの全リストには、エンタープライズの知識労働者に好まれるものが数多く含まれており、たとえば:
Slack
WhatsApp
Telegram
Microsoft Teams
Discord
Google Chat
iMessage
Facebook Messenger
Instagram
X(Twitter)
GitHub
Linear
Matrix
Email
Webex
NanoClawの背景
NanoClawは2026年1月31日にローンチされました。複雑で、サンドボックス化されていないエージェント・フレームワークに内在する「セキュリティの悪夢」に対する、ミニマルでセキュリティ重視の回答として設計されたのです。
Wix.comの元エンジニアであるCohenによって作られ、B2Bテックの広報会社 Concrete Media のCEOである彼の兄Lazerによってマーケティングされているこのプロジェクトは、OpenClawのような競合プラットフォームに見られた監査可能性(auditability)の危機を解決することを目的にしていました。OpenClawはコード行数が約40万行にまで膨れ上がっていました。
それに対してNanoClawは、コアロジックを約500行のTypeScriptに凝縮しました。VentureBeatによれば、この規模ならシステム全体を人間、またはセカンダリなAIが約8分で監査できるとのことです。
プラットフォームの主要な技術的防御は、OSレベルの分離を採用していることです。すべてのエージェントは分離されたLinuxコンテナの中に配置されます。macOS上の高性能のためにApple Containersを使い、Linux向けにはDockerを使うことで、AIがユーザーによって明示的にマウントされたディレクトリとのみやり取りするようにします。
VentureBeatによるプロジェクトのインフラに関するレポートで詳述されているように、このアプローチにより、潜在的なプロンプトインジェクションがもたらす「被害範囲(blast radius)」は、そのコンテナと特定の通信チャネルに厳密に閉じ込められます。
さらに2026年3月、NanoClawはこのセキュリティ体制を成熟させました。ソフトウェアコンテナ企業のDockerとの公式提携によって、エージェントを「Docker Sandboxes」の中で実行することによりです。
この統合では、MicroVMベースの分離を活用して、エージェントにとって企業向けの準備が整った環境を提供します。エージェントは、その性質上、パッケージのインストール、ファイルの変更、プロセスの起動によって自分の環境を変化させなければならないことが多く、これは典型的に従来のコンテナのイミュータビリティ(不変性)の前提を壊してしまいます。
運用面では、NanoClawは従来の「機能が豊富(feature-rich)」なソフトウェアモデルを否定し、「機能よりスキル(Skills over Features)」という考え方を採用しています。多数の未使用モジュールを抱えた肥大化したメインブランチを維持する代わりに、このプロジェクトはユーザーに「スキル」を提供することを促します。スキルとは、ローカルのAIアシスタントに対して、TelegramやGmailのサポート追加のような特定のニーズに合わせてコードベースを変換し、カスタマイズする方法を教えるモジュール式の指示です。
NanoClawの公式サイトやVentureBeatのインタビューで説明されているように、この手法により、ユーザーは自分の実装に必要な正確なコードだけを維持すればよいことが保証されます。
さらに、このフレームワークはAnthropic Agent SDKを通じて「エージェント・スウォーム(Agent Swarms)」をネイティブにサポートし、特化したエージェント同士が並行して協業しながら、異なるビジネス機能ごとの分離されたメモリコンテキストを維持できるようにしています。
ライセンスとオープンソース戦略
NanoClawはMIT Licenseのオープンソースにしっかりとコミットし続けており、ユーザーに対してプロジェクトをフォークして自分のニーズに合わせてカスタマイズすることを奨励しています。これは、「モノリシック」なフレームワークとは対照的です。
NanoClawのコードベースは驚くほど軽量で、わずか15のソースファイルとおよそ3,900行のコードで構成されています。OpenClawのような競合に見られる数十万行と比べて、この差は顕著です。
この提携はまた、「Open Source Avengers(オープンソース・アベンジャーズ)」連合の強さも浮き彫りにしています。
NanoClaw(エージェントのオーケストレーション)、Vercel Chat SDK(UI/UX)、OneCLI(セキュリティ/シークレット)を組み合わせることで、このプロジェクトは、モジュール式でオープンソースのツールが、AIのアプリケーション層を構築するうえで専用(プロプライエタリ)の研究所を上回ることができることを示しています。
コミュニティの反応
NanoClawの公式サイトで示されているとおり、このプロジェクトはGitHubで27,400以上のスターを集め、アクティブなDiscordコミュニティを維持しています。
NanoClawのサイトにおける中核的な主張の1つは、コードベースが「8分」で理解できるほど小さいという点です。これは、アシスタントを監査したいと考えるセキュリティ意識の高いユーザーを対象にした機能です。
インタビューの中でCohen氏は、VercelのPhotonプロジェクトによるiMessage対応が、よくあるコミュニティ上の障壁に対処していると述べました。これまで多くのユーザーは、iMessageアカウントにエージェントを接続するために、別途Mac Miniを維持する必要がありました。
企業の視点:導入すべきか?
企業にとって、NanoClaw 2.0は、投機的な実験から安全な運用へと切り替えることを意味します。
これまで歴史的に、IT部門は「すべてか無か」の資格情報アクセスの性質のため、エージェントの利用を阻止してきました。NanoClawは、エージェントとシークレットを切り離すことで、既存の企業のセキュリティ手順、具体的には最小権限の原則を想起させる中間的な選択肢を提供します。
高い監査可能性が必要で、データの持ち出し(エクスフィルトレーション)に関して厳格なコンプライアンス要件がある場合、企業はこの枠組みを検討すべきです。Cohen氏によれば、多くの企業はセキュリティ上の懸念から、エージェントにカレンダーやメールへのアクセスを許可する準備ができていなかったとのことです。この枠組みは、エージェントが構造的に許可なく行動できないことを担保することで、その課題に対処します。
企業が特に恩恵を受けられるのは、「ハイステークス(高リスク)」なアクションを伴うユースケースです。OneCLIのダッシュボードに示されているように、ユーザーはポリシーを設定できます。たとえば、エージェントがメールを自由に読み取れる一方で、「削除」や「送信」を行うには手動の承認ダイアログをトリガーする必要があります。
NanoClawは、隔離されたコンテナを伴う単一のNode.jsプロセスとして動作するため、エンタープライズのセキュリティチームは、ゲートウェイが外向きトラフィックの唯一の経路であることを検証できます。このアーキテクチャにより、AIは監視されないオペレーターから監督されたジュニアスタッフへと変わり、自律型エージェントの生産性を、エグゼクティブの統制を手放さずに提供します。
最終的にNanoClawは、自律型エージェントの生産性を求めるものの、従来のLLMラッパーに伴う「ブラックボックス」のリスクは避けたい組織に対する推奨です。これはAIを、潜在的に暴走するオペレーターではなく、「送信」または「購入」ボタンを押す前には必ず許可を求める、高い能力を備えたジュニアスタッフへと変えます。
AIネイティブなセットアップが標準になっていく中で、このパートナーシップは、自律的なワークフォースの時代において信頼をどのように管理するのか、その設計図を確立します。
