文 | 字母 AI

人红是非多，自 OpenClaw 爆火以后它就不断遭受争议，现如今谷歌打响了反 OpenClaw 的第一枪。

谷歌 DeepMind 工程师、前 Windsurf CEO 瓦伦 · 莫汉（Varun Mohan）在社交媒体上代表公司发声。

他声称，谷歌检测到自家 AI 编程工具 Antigravity 后端出现 " 大规模恶意使用行为 "，严重降低了正常用户的服务质量。

这些被封禁的用户有一个共同特征，他们都使用 OpenClaw 工具，将 Antigravity 后端当作代理来访问谷歌的 Gemini 模型服务。

这就导致，其行为产生了远超预期的计算负载，谷歌不得不快速切断这些用户的访问权限以保护其他用户的体验。

谷歌的封禁仅针对 Antigravity 服务，其他谷歌服务不受影响，并承认部分用户可能并不知道自己的行为违反了服务条款，公司将为这些用户提供恢复访问的途径。

事件最早在 2 月 12-14 日左右就已经显露，谷歌的开发者论坛上开始出现大规模的 403 权限错误报告。

到 2 月 23 日，封禁行动达到高峰，数百个账户在一夜之间被 " 团灭 "。

OpenClaw 创始人彼得 · 斯坦伯格（Peter Steinberger）直接开怼，并表示将考虑移除 OpenClaw 对谷歌服务的支持。

他在 X 上写道：" 使用 Antigravity 的要小心了。我想我会移除对它的支持。Anthropic 至少会联系我，对问题的处理也很友好。谷歌呢？直接封禁。"

这场封禁风波绝非孤立事件，而是 AI 行业一场更深层博弈的序幕。

01  谷歌封禁 OpenClaw 事件始末

被封禁的用户里，有个叫 Shinro 的开发者，他在外网论坛里写到，他是每月 250 美元的 Ultra 订阅用户，但是他却在没有任何警告的情况前提下被谷歌封禁。

Shinro 在帖子里还统计了论坛上的情况，发现论坛上已经有几十个付费用户遭遇了相同的状况。

更让人难以接受的是，谷歌在封禁账户的同时，继续从这些用户的信用卡扣除月费。

从技术层面看，OpenClaw 通过 OAuth 获取访问权限的过程完全符合标准协议。

OAuth 本身是一个广泛使用的授权标准，用户在授权时能清楚看到 OpenClaw 请求的权限范围，可以选择同意或拒绝。整个过程透明、合法，没有任何欺骗或入侵行为。

然而问题的关键在于，谷歌的服务条款并没有明确禁止使用 OAuth 连接第三方工具。谷歌已经公布了 Gemini AI 付费层级的每日使用限制，但它在提供 Antigravity 的第三方 OAuth 连接功能时，并没有明确告知，禁止相关行为。

问题出在使用频率上。

OpenClaw 的 " 心跳 " 机制是导致高消耗的核心原因。这个机制让 AI 代理每隔一段时间就自动唤醒，检查是否有新任务需要处理。

默认的心跳间隔是 30 分钟，如果使用 Anthropic 的 OAuth 令牌，间隔会延长到 1 小时。但即便是 1 小时一次，一天也要运行 24 次。

每次心跳运行时，OpenClaw 都会加载完整的上下文，包括工作区文件、系统提示、技能配置、记忆文件等，这些内容加起来可能有数万甚至数十万个 token。

更关键的是，OpenClaw 在执行任务时会进行多轮调用。

比如用户让它整理邮件，AI 需要先调用邮件技能获取邮件列表，然后分析每封邮件的内容，判断优先级和分类，再调用待办事项工具创建任务，最后生成总结报告。

这整个流程可能涉及 5 到 10 次 API 调用，而且每次还都要携带完整的上下文。

由于用户的历史记录会增长，那么与之对应的，记忆也会增长，日志文件，agent 配置文件也会变得更长，而这些内容在每次提示时都会被一并发送。

这就导致了一个恶性循环。使用时间越长，上下文越大，每次调用消耗的 token 就越多。有用户在 GitHub 讨论区里说，他设置了每 5 分钟检查一次邮件，结果一天就烧掉了 50 美元。

还有用户发现，很多心跳运行其实什么都没做，AI 只是回复了一个 "HEARTBEAT_OK"，这代表 OpenClaw 的心跳检查一切正常。仅仅是这样的操作，可因为积攒了太长的上下文，就导致为此消耗了大量 token。

这就像自助餐厅，普通顾客付完钱进来吃饭，不能打包带走，因此顾客可以一口不吃，但最多也只能吃到撑。

但 OpenClaw 改变了游戏规则，它相当于带了一个永不停歇的机器人进来。机器人不会累，不会饱，所以它永远都在吃。

如果按照谷歌的 API 付费标准，如果把所有 Ultra 用户每月平均的 token 费用换算成 API 费，那么他的使用量可能要花 1000 到 3600 美元。

许多用户在谷歌论坛上抱怨，认为如果不想让用户使用代理工具，应该像 Anthropic 那样返回错误提示，而不是在没有警告的情况下封禁付费客户。

AI 工程师莫汉 · 普拉卡什（Mohan Prakash）在 X 上评论到：" 用户付了钱，在配额范围内使用，结果被封禁。这不叫恶意使用，这叫使用你卖给他们的产品。真正的问题是，服务条款并没有明确禁止 OpenClaw 集成，所以用户以为这是被允许的。如果你不想要这种集成，应该返回错误提示。在没有警告的情况下封禁付费客户，你失去信任的速度会比失去算力还快。"

02  行业围剿 OpenClaw

谷歌虽然带头封禁 OpenClaw，但行业内其实早有苗头。如果把时间线往前推几天，就会发现并非是谷歌的单独行动，而是整个 AI 大厂阵营的集体反应。

2 月 20 日，就在谷歌大规模封禁的三天前，Anthropic 更新了服务条款，明确禁止在 OpenClaw 等第三方工具中使用 Claude Free、Pro 或 Max 账户的 OAuth。

Anthropic 将这种行为定性为 "token 套利 " 和安全风险，这个说法和谷歌后来的表态是一致的，他们指向了同一个问题：订阅制的定价模型无法承受 OpenClaw 的使用强度。

早在 1 月 9 日，Anthropic 就已经在服务器端部署了技术防护措施，阻止 OAuth 在其官方 Claude Code CLI 之外使用。

当时就有开发者发现，如果通过第三方工具连接 Claude，会收到错误信息：" 此凭证仅授权用于 Claude Code，不能用于其他 API 请求。"

这个技术手段被称为 " 客户端指纹识别 "，目的是确保 Claude Code 环境成为访问其模型的唯一接口，有效地锁住了 OpenClaw 这类第三方包装工具。

Anthropic 的处理方式相对温和一些。他们没有直接封禁用户账号，而是通过技术手段返回错误提示，让用户知道这种使用方式不被允许。

这给了用户调整的空间，也避免了激烈的冲突。这也是为什么斯坦伯格在批评谷歌时，会特别提到 Anthropic 的处理方式 " 更友好 "。

温和归温和，不过 Anthropic 的立场其实和谷歌是一样的。

他们在 2 月 18 日发布的澄清文件中重申，虽然用户仍然可以使用 Claude 账户运行 OpenClaw，但必须使用 API 密钥，而不是订阅账户的 OAuth 令牌。

这意味着，用户如果想继续使用 OpenClaw 连接 Claude，就必须按照 API 的价格付费，而不是享受订阅制的优惠价格。这个价格差距有多大？按照 Claude 社区的测算，同样的使用量，API 付费可能是订阅制的 5 到 10 倍。

除了 AI 大厂，其他科技公司也对 OpenClaw 表现出高度警惕。

Massive 公司 CEO 的杰森 · 杰拉德（Jason Grad）在内部 Slack 频道中明确警告员工，禁止在公司硬件或工作关联账户上使用 OpenClaw。

他写道：" 虽然很酷，但目前这是未经审查的高风险工具。请让 Clawdbot 远离所有公司硬件和与工作相关的账户。"

并且他明确表示，违反这个规定的员工，可能面临失业风险。

杰拉德的担忧主要集中在安全层面。他认为 OpenClaw 需要极高的系统权限，可以访问文件、执行命令、读取邮件等，一旦配置不当或被攻击者利用，后果严重。这个担忧不是没有道理。

实际上就在最近几天，Meta 的安全对齐主管萨默尔 · 月（Summer Yue）就 " 中招 " 了。她在 X 上分享了自己的经历，她让 OpenClaw 帮忙整理收件箱，结果 AI 以极快的速度把她的邮件几乎全部删除了。

萨默尔不得不跑到放置 Mac Mini 的地方，手动停止了 OpenClaw 的运行。

LangChain 公司同样告知员工不得在公司笔记本电脑上安装 OpenClaw，理由也是安全风险。约翰斯 · 霍普金斯大学的软件供应商 Valere 在内部讨论后也决定不采用这一工具。

他们的研究团队在提交给媒体的报告中写道，用户必须 " 接受这个机器人可以被欺骗 "。比如，如果 OpenClaw 被设置为总结用户的邮件，那么当黑客发送一封恶意邮件，指示 AI 分享用户电脑上的文件副本时，OpenClaw 真的会照做。

不过无法否认的是，OpenClaw 是 AI 行业一个重要转折点。它带来了一种新的模式，叫做 " 自带代理 "（bring your own agent）。

相当于你去健身房（AI 服务商），但你不用他们的教练（官方工具），而是带着自己的私人教练（OpenClaw）进去，却使用健身房的器材（AI 模型）。

过去几年，AI 公司是很乐于看到第三方工具基于自己的模型开发各种应用，因为这能扩大影响力，吸引更多用户。但现在，随着竞争加剧，AI 公司开始意识到，开放生态意味着失去控制，失去数据，也失去收入。

谷歌和 Anthropic 的做法，本质上是在划定边界。

你可以用我们的模型，但必须通过我们的官方工具，按照我们的定价，在我们的控制范围内。任何试图绕过这个边界的工具，都会被视为威胁。

这种思路在商业上可以理解，但对于开源社区和开发者来说，这意味着自由度的大幅收窄。

OpenAI 在这个问题上采取了完全相反的立场。他们明确将 OpenClaw 列入了消费者计划的白名单，允许用户通过订阅账户使用第三方工具。

这个差异化策略，既是对竞争对手的回应，也是对 OpenClaw 社区的拉拢。毕竟，OpenClaw 现在已经是 OpenAI 的一部分了。

这场围剿的最终结果可能是，OpenClaw 成为 OpenAI 生态的一部分，失去跨平台能力；或者是被边缘化，只能使用小众模型或本地模型，失去主流用户。无论哪种结果，都意味着一个原本服务于整个 AI 生态的开源工具，被卷入了巨头之间的零和博弈。

03  OpenClaw 的困境

OpenClaw 在技术社区引发的最大争议，其实不是商业模式的冲突，而是它严重的安全问题。

Gartner 在 1 月底发布的报告就直接批评说 "OpenClaw 的生产力伴随着不可接受的网络安全风险。"

报告称，OpenClaw 展示了高实用性，但也暴露了企业面临的‘默认不安全’风险。Gartner 建议企业立即阻止 OpenClaw 的下载和流量，防止影子安装，并识别试图绕过安全控制的用户。

对于已经部署的实例，Gartner 建议立即轮换任何被 OpenClaw 访问过的企业凭证，并且只允许在隔离的非生产虚拟机中使用一次性凭证运行 OpenClaw 实例。

这并非危言耸听。Spectral 安全研究员马奥尔 · 达扬（Maor Dayan） 公开表示，他的研究团队在互联网上发现了超过 42000 个暴露的 OpenClaw 实例，其中 93% 的已验证实例存在严重的身份验证绕过漏洞。

这意味着，大量用户在部署 OpenClaw 时，根本就没有任何的网络安全措施，导致任何人都可以通过互联网访问这些实例，进而控制用户的 AI 代理。

更严重的是 OpenClaw 的 " 技能市场 "ClawHub 遭遇了大规模供应链投毒攻击。ClawHub 是 OpenClaw 的一个核心功能，用户可以在这个市场上下载和安装各种 " 技能 "，让 AI 学会新的能力。

这些技能本质上是一些指令文件和脚本，告诉 AI 如何完成特定任务。但问题在于，这些技能是由社区贡献的，缺乏严格的审核机制。

攻击者很快发现了这个漏洞。他们在技能市场中上传了大量看起来正常的技能，比如加密货币工具、视频下载器等。这些技能的描述和功能看起来都很合理，但实际上包含了恶意代码。

当用户安装这些技能时，隐藏的恶意代码会在后台执行，安装键盘记录器和 Atomic macOS 窃取器等恶意软件，能够窃取加密货币钱包、浏览器数据和系统凭证。

OpenClaw 的安全难题在于，被攻击的 agent 继承了真实用户的权限，持续运行，并自主行动。这种模式类似于经典的 " 影子 IT"，但危害更大。OpenClaw 不仅是一个软件，它是一个拥有系统执行权限、可以主动行动的代理。一旦被攻击者控制，它能做的事情远超普通软件。

不过在我看来，安全风险其实只是它的表象。OpenClaw 真正触碰的，是 AI 大厂的商业模式底线。前面提到的 " 价格套利 " 问题，直接威胁到所有 AI 公司的财务模型。

AI 公司目前的商业模式建立在 token 费用和订阅费用的平衡之上。订阅制本质上是一种补贴，AI 公司愿意承受这个补贴，是因为他们相信大多数用户的使用量不会太大，总体上这个模式是可持续的。

但 OpenClaw 打破了这个平衡。它让普通用户可以用订阅价格获得 API 级别的使用量，这相当于把补贴的漏洞无限放大。如果所有用户都这样做，AI 公司的订阅业务将彻底崩溃。

所以从 AI 公司的角度看，封禁 OpenClaw 是一个必然选择。他们不可能坐视自己的商业模式被掏空。但问题在于，这个封禁行动的方式和沟通，做得相当糟糕。

没有事先警告，没有明确的政策说明，没有申诉渠道，甚至连付费用户也不例外。这种处理方式稍微有些不妥。

安全风险在这场围剿中被当作了 " 合理借口 "。谷歌和 Anthropic 在公开声明中都强调了安全问题，但实际上，他们的主要动机是保护商业模式和遏制竞争对手。

安全问题确实存在，但如果 OpenClaw 不是被 OpenAI 收购，AI 大厂的反应可能也不会这么激烈。

2 月 15 日，奥特曼宣布，OpenClaw 创始人斯坦伯格加入 OpenAI，领导 " 下一代个人 agent" 的开发工作。虽然 OpenClaw 将作为开源项目继续存在，由 OpenAI 资助的独立基金会管理，它实际上已经成为 OpenAI 生态系统的一部分了。

也就是在这个消息公布后不到一周，Anthropic 和谷歌才先后采取了行动。

他们的逻辑很简单：为什么要让一个由竞争对手支持的工具，利用自己的基础设施？这不仅是成本问题，更是战略问题。

此前 Windsurf 在传出与 OpenAI 进行收购谈判时，Anthropic 就曾切断了其对 Claude 模型的访问权限。

一个原本服务于整个 AI 生态的工具，现在被卷入了巨头之间的战争，OpenClaw 很可能会成为这场博弈的牺牲品。

AI 公司一方面宣扬开放、鼓励创新，另一方面又在商业利益受到威胁时迅速收紧控制。

由 OpenClaw 带来的转变，可能会影响整个行业的发展。未来的 AI 生态，究竟是开放的、可拓展的？还是封闭的、垂直整合的？没人知道。