ハクソク

世界を動かす技術を、日本語で。

Moltworker: ミニなしの自己ホスト型パーソナルAIエージェント

116日前原文(blog.cloudflare.com)

概要

  • Moltbot は個人用AIアシスタントで、自己ホスティングが可能
  • 新ハード不要で Cloudflare Workers 上で動作する Moltworker を公開
  • AI GatewaySandbox SDKR2 などCloudflareの最新機能を活用
  • セキュリティスケーラビリティ を兼ね備えた運用が可能
  • GitHub でオープンソースとして提供、すぐに試せる環境

Moltbotとは何か

  • Moltbot (旧Clawdbot)は、 オープンソース の自己ホスティング型AIエージェント
  • チャットアプリAIモデル、多様なツールとの 統合機能 を搭載
  • ユーザー自身のハードウェア 上でバックグラウンド動作
  • リモート操作 に対応し、 金融管理SNS運用スケジュール整理 などをサポート
  • 好きな メッセージングアプリ から簡単に利用可能

新しい選択肢:Moltworkerによるクラウド運用

  • 新しいハードウェア購入不要、既存のオンライン環境上で運用可能
  • Moltworker はCloudflare WorkersとSandbox SDKに対応した ミドルウェア
  • Node.js互換性 の向上により、多くのNPMパッケージが ネイティブサポート
  • APIルータープロキシ として機能し、 管理UI も提供
  • Cloudflare Access による セキュリティ保護 を実現

Cloudflare Workersの進化とAIエージェント構築

  • Node.js APIのサポート拡大 により、公式コードベースとの乖離を解消
  • Playwright などの自動化フレームワークも ネイティブ対応
  • 1,000の人気NPMパッケージ のうち98.5%が正常動作
  • AIエージェントのロジック をWorkers上で直接実行可能
  • Cloudflare Developer Platform のAPI拡充により、 複雑なアプリ も構築可能

Cloudflareの主要機能とMoltworkerの適用

  • Sandboxes隔離環境 で安全に未信頼コードを実行
    • Sandbox SDK でコンテナ管理の複雑さを抽象化
    • TypeScript数行で コマンド実行ファイル操作 が可能
  • R2永続ストレージ として利用、コンテナのデータ消失問題を解決
    • sandbox.mountBucket() でR2バケットをファイルシステムとしてマウント
  • Browser Renderingヘッドレスブラウザ をAPI経由で操作
    • PuppeteerPlaywright など人気パッケージをサポート
    • CDPプロキシ 経由でMoltbotからブラウザ操作を実現
  • Zero Trust Access認証ポリシー を簡単に設定
    • JWTトークン によるリクエスト検証で 安全性向上
    • ユーザー行動の可視化 も実現

AI GatewayによるAIプロバイダ連携

  • AI Gateway はAIアプリとAIプロバイダ間の プロキシ として動作
  • Bring Your Own Key (BYOK)Unified Billing など柔軟な 課金・認証方式
  • Anthropic など複数AIプロバイダに対応
  • 環境変数設定のみ でMoltbotがAI Gateway経由で通信
  • コスト管理ログ・分析機能 も充実

Moltworkerのアーキテクチャと運用例

  • Entrypoint Worker がAPIルーター・管理UI・プロキシを担当
  • Sandboxコンテナ でMoltbot本体と各種統合機能を稼働
  • R2 を永続ストレージとして利用
  • Slack などのチャットアプリから 経路検索動画生成 など多彩なタスクを実行
  • 開発者向けデモ も公開中

導入方法と注意点

  • GitHub(https://github.com/cloudflare/moltworker)オープンソース として公開
  • Cloudflareアカウント最低5ドルのWorkers有料プラン が必要(Sandbox利用時)
  • AI Gateway などは無料または無料枠あり
  • Moltworkerはプロトタイプ であり、公式製品ではない点に注意
  • Cloudflare Developer Platform の最新機能を体験可能

まとめ

  • MoltbotMoltworker の組み合わせで、 安全・簡単・スケーラブル なAIアシスタント運用を実現
  • Cloudflareのグローバルネットワーク を活かした 高性能AIエージェント 構築が可能
  • オープンソース で今すぐ試せる開発環境

Hackerたちの意見

一方で、リブランド投稿のトップコメントを見ると、どれだけ不安定なデプロイがあるかがわかる。こういうのとCloudflareのゼロトラストを組み合わせるのは、たぶんもっと安全な解決策だと思う。でも、ちょっと指摘したいことがある。>「まず、Cloudflare WorkersはNode.jsとの互換性がこれまでになく高い。以前はAPIをモックしてパッケージを動かしてたけど、今はWorkers RuntimeでそのAPIがネイティブにサポートされてる。数日前にプロジェクトをデプロイしたけど、過去の試みではデプロイスタイルの設定に苦労してたのに、普通のビルドツールがそのまま使えた。高DAUのユーザープロジェクトをVercelのプレミアムプランからCF Workersに移行する予定だ。」

CFのクラウドへのアプローチがすごく好き。古い学校のHerokuとフルフレッジのAWSのちょうど中間くらいで、しかも無料プランがかなり寛大だから、そこでデプロイしたものにほとんどお金を払ってない。

どれだけ不安定なデプロイメントがあるかを示してるね。不安定ってどういうこと?ダッシュボードのHTMLが公開されてても、ペアリングやゲートウェイキーの設定なしには接続できないことが多いよ。

うん、数年前にAstroで同じ経験をしたよ。Cloudflareにデプロイしようとしたけどうまくいかなくて、結局Netlifyにしたんだ。数ヶ月前に再挑戦したら、完璧に動いたよ。面白いことに、彼らはその後Astroを「買収」したから、これからもっと良くなることを期待してる。

Clawdbot/Moltbotは、いつか起こる供給チェーン攻撃のように見える。これが爆発する時に気づくかわいそうな人がいると思うと、同情するよ。

サプライチェーン攻撃の認識はもう低い気がするな(最近は少し増えてきてるみたいだけど)。攻撃対象はエージェントが手に入れられるもの全てだよね。

それ、もう起こったよね。「Elonならどうする?」プラグインの時に。

それが最初に思いついたことだよ。複数の統合やカスケード接続があると、いろんな攻撃ベクトルが出てくるだろうね。でも、そもそもMoltbotの何がそんなに話題なの?どんなAIアプリでも開いて何でも聞けるし、Moltbotも同じAIベンダーを使ってるし。

このプロジェクトは、ブランドや「私たちの成功を見て!」というマーケティングが多すぎて、かなりのアストロターフに見える。1、2ヶ月後には、開発者たちがこのツールを使って新しいスタートアップを作ってるって話を聞くことになると思う。結局、ClaudeやChatGPTをDiscordのようなチャットプラットフォームに簡単に接続するための便利なラッパーに過ぎないけど、理由はまだわからないけど、もっと革命的だと主張してる。

これって、OpenCodeのアドオンとか、スタンドアロンの何か、あるいはOllamaになってもおかしくなかったんじゃない?その背後のハイプは本当に馬鹿げてて、なんか詐欺っぽい気がして嫌だ。r/localllamaで、AI生成のロブスター/Clawdbotの動画広告を見たんだけど、redditの広告じゃなくて人間が作ったものだった。これには本当にムカついたし、同じように怒ってるコメントもあった。そのコメントにすごく共感した。Clawdbotは本当にバカで、ハイプが理解できない。今、AIの純粋なクリプト版に突入してる気がする(変なハイプがほとんどだけど)。バブルは近いと思う。

このハイプのほとんどは、実際にはプロジェクトに関わっていない詐欺師たちから来てるみたい。だから、そこにあるけど、実際に作業してる人たちのせいじゃない。プロジェクトリードの最近の発言でも、詐欺的なミームコインや名前を奪うことについて触れられてる。ソースの一つ: https://www.theregister.com/2026/01/27/clawdbot_moltbot_secu...

bunに似てるね、すごくハイプされてたけど、買収されちゃった。

個人的に一番興味深いのは(特に特別なことではないけど、前に見たことがなかったから)完全なファイルシステムアクセスを与えて、自分のツールを作らせて後で戻ってくるってこと。振り返ると明らかな手法だけど、考えたことなかったな。今、サンドボックスや隔離されたマシンの外でそれを実行して、そんなアクセスを与えてる人の数を考えると泣きたくなる。

正直、これはアストロターフィングとは言えないかもだけど、盛り上がりは技術者から来てないよね。LinkedInでこのプロジェクトについて「いいね」が千個ついてる投稿を見つけたりするけど、みんな#opentoworkだったり、~~自宅でのAIブレインストーミングのエージェントヘッド~~ それに、clawdbotはClaude Codeをチャットアプリに繋げるにはかなり不便な方法だよね。私はnpxで2分で動くシンプルなのを作ったよ: https://github.com/clharman/afk-code

実際の創業者/開発者はすでに9桁のエグジットを果たしていて(彼が主張する個人の報酬)、リタイアから復帰して楽しみでこれらの無料でオープンソースのツールを作ってるって言ってるよ。

そうだね、Anthropicは人々が自分のオンライン生活を全部シェアしてくれるのが嬉しいんだろうね。

昨年作った特注のローカルエージェントがあって、Moltbotに似た機能を持ってるけど、もっと決定論的なコードなんだ。こういうエージェントをクラウドで動かすのには利点もあるけど、- 家庭やローカルの統合がなくなる。- データはクラウドに保存する必要がある。いいや、そんなのは。

誰かが新しいAIの話をするとき、最初に思うのはこれだよ…「データはどこに行くの?」だって、もし自分のマシンに残らないなら、絶対に無理。

どんなハードウェアが必要なの?クラウドエージェントと比べてどうなの?

わお、たくさんの大手企業がこのバンドワゴンに飛び乗ってるね!今朝、Digital OceanのMoltbotアプリのメールが来たよ。みんな、自分たちのセキュリティが強化されたってアピールしてる。

うん、めっちゃ多いね。

これが実際にどれくらいのコストになるのか、現実的な見積もりを出してほしいな。「実際に動いている」セクションがあるけど、これで「この設定だと請求書はこんな感じになって、これらの製品が含まれて、似たような日常の使用で月に約$XXX.00になる」って言ってくれたらいいのに。[1] https://blog.cloudflare.com/moltworker-self-hosted-ai-agent/...

開発者の一人がTwitterで反応してたよ: https://x.com/i/status/2016896529416478798

解決すべき主な問題は、ウェブサイトやメールからのプロンプトインジェクションの防止だね。もしCloudflareがエージェントから出ていくすべてのURLをプロキシして、プロンプトインジェクションのサイトやページ、メール、チャットをブロックできるなら、それは価値のある製品だと思う。

それはすごく難しいと思う。プロンプトを検出するには自然言語理解が必要だから、たぶん別の検出用LLMも必要になるけど、それ自体もプロンプトインジェクションに脆弱かもしれないね。

確かに、VPSを設定して維持するよりは簡単だし、ほとんどのユーザーにとっては安上がりかもしれないけど、データはプライベートじゃないよね。CloudflareはMoltworkerを通るすべてのデータを読み取れるから、自分のハードウェアでMoltbotをホスティングする方が断然いいよ。

プライバシーとセキュリティを気にするなら、そもそもMoltbotを使わないと思うけどね(あるいはプライベートにしたいものにはアクセスさせないだろうし)。

最近、これに取り組んでいて、自分のVPSでの隔離を促進できるかもしれないよ: https://GitHub.com/jgbrwn/vibebin

プロンプトインジェクションの懸念は確かにあるけど、もっと根本的な問題があると思う。エージェントは非決定論的なシステムで、予測したりデバッグしたりするのが難しい失敗をすることがあるんだ。セキュリティもその一つの失敗モードだし、「エージェントが微妙に間違ったことをしたけど、エラーは出なかった」っていうのも別の問題。ハッキングされたシステムなら何かおかしいと気づくけど、フレークなエージェントはたまに間違ったことをするだけなんだよね。うまくいく時もあれば、いかない時もある。どっちのケースかを見極めるには、信頼性のない分散システムに使うのと同じ観測インフラを構築する必要がある。メールやファイルシステムに接続している人たちは、単にプロンプトインジェクションのリスクを受け入れているわけじゃない。彼らは、その日のモデルのパフォーマンスによって、システムがランダムにタスクを成功させたり失敗したりすることを受け入れているし、失敗に気づくのは後になってからかもしれない。

チャンスを逃したね:Clawdflare。名前を変えなきゃいけなかったのは残念。