谷歌連夜封禁，全行業集體堵截，OpenClaw 到底動了誰的蛋糕？

人紅是非多，自OpenClaw爆火以后它就不斷遭受爭議，現如今谷歌打響了反OpenClaw的第一槍。

谷歌DeepMind工程師、前Windsurf CEO瓦倫·莫漢（Varun Mohan）在社交媒體上代表公司發聲。

他聲稱，谷歌檢測到自家AI編程工具Antigravity后端出現“大規模惡意使用行為”，嚴重降低了正常用戶的服務質量。

這些被封禁的用戶有一個共同特征，他們都使用OpenClaw工具，將Antigravity后端當作代理來訪問谷歌的Gemini模型服務。

這就導致，其行為產生了遠超預期的計算負載，谷歌不得不快速切斷這些用戶的訪問權限以保護其他用戶的體驗。

谷歌的封禁僅針對Antigravity服務，其他谷歌服務不受影響，并承認部分用戶可能并不知道自己的行為違反了服務條款，公司將為這些用戶提供恢復訪問的途徑。

事件最早在2月12-14日左右就已經顯露，谷歌的開發者論壇上開始出現大規模的403權限錯誤報告。

到2月23日，封禁行動達到高峰，數百個賬戶在一夜之間被“團滅”。

OpenClaw創始人彼得·斯坦伯格（Peter Steinberger）直接開懟，并表示將考慮移除OpenClaw對谷歌服務的支持。

他在X上寫道：“使用Antigravity的要小心了。我想我會移除對它的支持。Anthropic 至少會聯系我，對問題的處理也很友好。谷歌呢？直接封禁?！?/p>

這場封禁風波絕非孤立事件，而是 AI 行業一場更深層博弈的序幕。

01

谷歌封禁OpenClaw事件始末

被封禁的用戶里，有個叫Shinro的開發者，他在外網論壇里寫到，他是每月250美元的Ultra訂閱用戶，但是他卻在沒有任何警告的情況前提下被谷歌封禁。

Shinro在帖子里還統計了論壇上的情況，發現論壇上已經有幾十個付費用戶遭遇了相同的狀況。

更讓人難以接受的是，谷歌在封禁賬戶的同時，繼續從這些用戶的信用卡扣除月費。

從技術層面看，OpenClaw通過OAuth獲取訪問權限的過程完全符合標準協議。

OAuth本身是一個廣泛使用的授權標準，用戶在授權時能清楚看到OpenClaw請求的權限范圍，可以選擇同意或拒絕。整個過程透明、合法，沒有任何欺騙或入侵行為。

然而問題的關鍵在于，谷歌的服務條款并沒有明確禁止使用OAuth連接第三方工具。谷歌已經公布了Gemini AI付費層級的每日使用限制，但它在提供Antigravity的第三方OAuth連接功能時，并沒有明確告知，禁止相關行為。

問題出在使用頻率上。

OpenClaw的“心跳”機制是導致高消耗的核心原因。這個機制讓AI代理每隔一段時間就自動喚醒，檢查是否有新任務需要處理。

默認的心跳間隔是30分鐘，如果使用Anthropic的OAuth令牌，間隔會延長到1小時。但即便是1小時一次，一天也要運行24次。

每次心跳運行時，OpenClaw都會加載完整的上下文，包括工作區文件、系統提示、技能配置、記憶文件等，這些內容加起來可能有數萬甚至數十萬個token。

更關鍵的是，OpenClaw在執行任務時會進行多輪調用。

比如用戶讓它整理郵件，AI需要先調用郵件技能獲取郵件列表，然后分析每封郵件的內容，判斷優先級和分類，再調用待辦事項工具創建任務，最后生成總結報告。

這整個流程可能涉及5到10次API調用，而且每次還都要攜帶完整的上下文。

由于用戶的歷史記錄會增長，那么與之對應的，記憶也會增長，日志文件，agent配置文件也會變得更長，而這些內容在每次提示時都會被一并發送。

這就導致了一個惡性循環。使用時間越長，上下文越大，每次調用消耗的token就越多。有用戶在GitHub討論區里說，他設置了每5分鐘檢查一次郵件，結果一天就燒掉了50美元。

還有用戶發現，很多心跳運行其實什么都沒做，AI只是回復了一個“HEARTBEAT_OK”，這代表OpenClaw的心跳檢查一切正常。僅僅是這樣的操作，可因為積攢了太長的上下文，就導致為此消耗了大量token。

這就像自助餐廳，普通顧客付完錢進來吃飯，不能打包帶走，因此顧客可以一口不吃，但最多也只能吃到撐。

但OpenClaw改變了游戲規則，它相當于帶了一個永不停歇的機器人進來。機器人不會累，不會飽，所以它永遠都在吃。

如果按照谷歌的API付費標準，如果把所有Ultra用戶每月平均的token費用換算成API費，那么他的使用量可能要花1000到3600美元。

許多用戶在谷歌論壇上抱怨，認為如果不想讓用戶使用代理工具，應該像 Anthropic 那樣返回錯誤提示，而不是在沒有警告的情況下封禁付費客戶。

AI工程師莫漢·普拉卡什（Mohan Prakash）在X上評論到：“用戶付了錢，在配額范圍內使用，結果被封禁。這不叫惡意使用，這叫使用你賣給他們的產品。真正的問題是，服務條款并沒有明確禁止 OpenClaw 集成，所以用戶以為這是被允許的。如果你不想要這種集成，應該返回錯誤提示。在沒有警告的情況下封禁付費客戶，你失去信任的速度會比失去算力還快?！?/p>

02

行業圍剿OpenClaw

谷歌雖然帶頭封禁OpenClaw，但行業內其實早有苗頭。如果把時間線往前推幾天，就會發現并非是谷歌的單獨行動，而是整個AI大廠陣營的集體反應。

2月20日，就在谷歌大規模封禁的三天前，Anthropic更新了服務條款，明確禁止在OpenClaw等第三方工具中使用 Claude Free、Pro或Max賬戶的OAuth。

Anthropic將這種行為定性為“token套利”和安全風險，這個說法和谷歌后來的表態是一致的，他們指向了同一個問題：訂閱制的定價模型無法承受OpenClaw的使用強度。

早在1月9日，Anthropic就已經在服務器端部署了技術防護措施，阻止OAuth在其官方Claude Code CLI之外使用。

當時就有開發者發現，如果通過第三方工具連接Claude，會收到錯誤信息：“此憑證僅授權用于Claude Code，不能用于其他API請求?！?/p>

這個技術手段被稱為“客戶端指紋識別”，目的是確保Claude Code環境成為訪問其模型的唯一接口，有效地鎖住了OpenClaw這類第三方包裝工具。

Anthropic的處理方式相對溫和一些。他們沒有直接封禁用戶賬號，而是通過技術手段返回錯誤提示，讓用戶知道這種使用方式不被允許。

這給了用戶調整的空間，也避免了激烈的沖突。這也是為什么斯坦伯格在批評谷歌時，會特別提到Anthropic的處理方式“更友好”。

溫和歸溫和，不過Anthropic的立場其實和谷歌是一樣的。

他們在2月18日發布的澄清文件中重申，雖然用戶仍然可以使用Claude賬戶運行OpenClaw，但必須使用API密鑰，而不是訂閱賬戶的OAuth令牌。

這意味著，用戶如果想繼續使用OpenClaw連接Claude，就必須按照API的價格付費，而不是享受訂閱制的優惠價格。這個價格差距有多大？按照Claude社區的測算，同樣的使用量，API 付費可能是訂閱制的5到10倍。

除了AI大廠，其他科技公司也對OpenClaw表現出高度警惕。

Massive公司CEO的杰森·杰拉德（Jason Grad）在內部Slack頻道中明確警告員工，禁止在公司硬件或工作關聯賬戶上使用OpenClaw。

他寫道：“雖然很酷，但目前這是未經審查的高風險工具。請讓 Clawdbot 遠離所有公司硬件和與工作相關的賬戶。”

并且他明確表示，違反這個規定的員工，可能面臨失業風險。

杰拉德的擔憂主要集中在安全層面。他認為OpenClaw需要極高的系統權限，可以訪問文件、執行命令、讀取郵件等，一旦配置不當或被攻擊者利用，后果嚴重。這個擔憂不是沒有道理。

實際上就在最近幾天，Meta的安全對齊主管薩默爾·月（Summer Yue）就“中招”了。她在X上分享了自己的經歷，她讓OpenClaw幫忙整理收件箱，結果AI以極快的速度把她的郵件幾乎全部刪除了。

薩默爾不得不跑到放置Mac Mini的地方，手動停止了OpenClaw的運行。

LangChain公司同樣告知員工不得在公司筆記本電腦上安裝OpenClaw，理由也是安全風險。約翰斯·霍普金斯大學的軟件供應商Valere在內部討論后也決定不采用這一工具。

他們的研究團隊在提交給媒體的報告中寫道，用戶必須“接受這個機器人可以被欺騙”。比如，如果OpenClaw被設置為總結用戶的郵件，那么當黑客發送一封惡意郵件，指示AI分享用戶電腦上的文件副本時，OpenClaw真的會照做。

不過無法否認的是，OpenClaw是AI行業一個重要轉折點。它帶來了一種新的模式，叫做“自帶代理”（bring your own agent）。

相當于你去健身房（AI服務商），但你不用他們的教練（官方工具），而是帶著自己的私人教練（OpenClaw）進去，卻使用健身房的器材（AI 模型）。

過去幾年，AI公司是很樂于看到第三方工具基于自己的模型開發各種應用，因為這能擴大影響力，吸引更多用戶。但現在，隨著競爭加劇，AI公司開始意識到，開放生態意味著失去控制，失去數據，也失去收入。

谷歌和Anthropic的做法，本質上是在劃定邊界。

你可以用我們的模型，但必須通過我們的官方工具，按照我們的定價，在我們的控制范圍內。任何試圖繞過這個邊界的工具，都會被視為威脅。

這種思路在商業上可以理解，但對于開源社區和開發者來說，這意味著自由度的大幅收窄。

OpenAI在這個問題上采取了完全相反的立場。他們明確將OpenClaw列入了消費者計劃的白名單，允許用戶通過訂閱賬戶使用第三方工具。

這個差異化策略，既是對競爭對手的回應，也是對OpenClaw社區的拉攏。畢竟，OpenClaw現在已經是 OpenAI 的一部分了。

這場圍剿的最終結果可能是，OpenClaw成為OpenAI生態的一部分，失去跨平臺能力；或者是被邊緣化，只能使用小眾模型或本地模型，失去主流用戶。無論哪種結果，都意味著一個原本服務于整個 AI 生態的開源工具，被卷入了巨頭之間的零和博弈。

03

OpenClaw的困境

OpenClaw在技術社區引發的最大爭議，其實不是商業模式的沖突，而是它嚴重的安全問題。

Gartner在1月底發布的報告就直接批評說“OpenClaw的生產力伴隨著不可接受的網絡安全風險?！?/p>

報告稱，OpenClaw展示了高實用性，但也暴露了企業面臨的‘默認不安全’風險。Gartner 建議企業立即阻止OpenClaw的下載和流量，防止影子安裝，并識別試圖繞過安全控制的用戶。

對于已經部署的實例，Gartner建議立即輪換任何被OpenClaw訪問過的企業憑證，并且只允許在隔離的非生產虛擬機中使用一次性憑證運行OpenClaw實例。

這并非危言聳聽。Spectral安全研究員馬奧爾·達揚（Maor Dayan） 公開表示，他的研究團隊在互聯網上發現了超過 42000個暴露的OpenClaw實例，其中93%的已驗證實例存在嚴重的身份驗證繞過漏洞。

這意味著，大量用戶在部署OpenClaw時，根本就沒有任何的網絡安全措施，導致任何人都可以通過互聯網訪問這些實例，進而控制用戶的AI代理。

更嚴重的是OpenClaw的“技能市場”ClawHub 遭遇了大規模供應鏈投毒攻擊。ClawHub是OpenClaw的一個核心功能，用戶可以在這個市場上下載和安裝各種“技能”，讓AI學會新的能力。

這些技能本質上是一些指令文件和腳本，告訴AI如何完成特定任務。但問題在于，這些技能是由社區貢獻的，缺乏嚴格的審核機制。

攻擊者很快發現了這個漏洞。他們在技能市場中上傳了大量看起來正常的技能，比如加密貨幣工具、視頻下載器等。這些技能的描述和功能看起來都很合理，但實際上包含了惡意代碼。

當用戶安裝這些技能時，隱藏的惡意代碼會在后臺執行，安裝鍵盤記錄器和Atomic macOS竊取器等惡意軟件，能夠竊取加密貨幣錢包、瀏覽器數據和系統憑證。

OpenClaw的安全難題在于，被攻擊的agent繼承了真實用戶的權限，持續運行，并自主行動。這種模式類似于經典的“影子 IT”，但危害更大。OpenClaw不僅是一個軟件，它是一個擁有系統執行權限、可以主動行動的代理。一旦被攻擊者控制，它能做的事情遠超普通軟件。

不過在我看來，安全風險其實只是它的表象。OpenClaw真正觸碰的，是AI 大廠的商業模式底線。前面提到的“價格套利”問題，直接威脅到所有AI公司的財務模型。

AI公司目前的商業模式建立在token費用和訂閱費用的平衡之上。訂閱制本質上是一種補貼，AI公司愿意承受這個補貼，是因為他們相信大多數用戶的使用量不會太大，總體上這個模式是可持續的。

但OpenClaw打破了這個平衡。它讓普通用戶可以用訂閱價格獲得API級別的使用量，這相當于把補貼的漏洞無限放大。如果所有用戶都這樣做，AI公司的訂閱業務將徹底崩潰。

所以從AI公司的角度看，封禁OpenClaw是一個必然選擇。他們不可能坐視自己的商業模式被掏空。但問題在于，這個封禁行動的方式和溝通，做得相當糟糕。

沒有事先警告，沒有明確的政策說明，沒有申訴渠道，甚至連付費用戶也不例外。這種處理方式稍微有些不妥。

安全風險在這場圍剿中被當作了“合理借口”。谷歌和Anthropic在公開聲明中都強調了安全問題，但實際上，他們的主要動機是保護商業模式和遏制競爭對手。

安全問題確實存在，但如果OpenClaw不是被OpenAI收購，AI大廠的反應可能也不會這么激烈。

2月15日，奧特曼宣布，OpenClaw創始人斯坦伯格加入OpenAI，領導“下一代個人agent”的開發工作。雖然OpenClaw將作為開源項目繼續存在，由OpenAI資助的獨立基金會管理，它實際上已經成為OpenAI生態系統的一部分了。

也就是在這個消息公布后不到一周，Anthropic和谷歌才先后采取了行動。

他們的邏輯很簡單：為什么要讓一個由競爭對手支持的工具，利用自己的基礎設施？這不僅是成本問題，更是戰略問題。

此前Windsurf在傳出與OpenAI進行收購談判時，Anthropic就曾切斷了其對Claude模型的訪問權限。

一個原本服務于整個AI生態的工具，現在被卷入了巨頭之間的戰爭，OpenClaw很可能會成為這場博弈的犧牲品。

AI公司一方面宣揚開放、鼓勵創新，另一方面又在商業利益受到威脅時迅速收緊控制。

由OpenClaw帶來的轉變，可能會影響整個行業的發展。未來的AI生態，究竟是開放的、可拓展的？還是封閉的、垂直整合的？沒人知道。