文章轉(zhuǎn)載于字母AI

人紅是非多，自O(shè)penClaw爆火以后它就不斷遭受爭議，現(xiàn)如今谷歌打響了反OpenClaw的第一槍。

谷歌DeepMind工程師、前Windsurf CEO瓦倫·莫漢（Varun Mohan）在社交媒體上代表公司發(fā)聲。

他聲稱，谷歌檢測到自家AI編程工具Antigravity后端出現(xiàn)“大規(guī)模惡意使用行為”，嚴(yán)重降低了正常用戶的服務(wù)質(zhì)量。

這些被封禁的用戶有一個共同特征，他們都使用OpenClaw工具，將Antigravity后端當(dāng)作代理來訪問谷歌的Gemini模型服務(wù)。

這就導(dǎo)致，其行為產(chǎn)生了遠(yuǎn)超預(yù)期的計算負(fù)載，谷歌不得不快速切斷這些用戶的訪問權(quán)限以保護(hù)其他用戶的體驗(yàn)。

谷歌的封禁僅針對Antigravity服務(wù)，其他谷歌服務(wù)不受影響，并承認(rèn)部分用戶可能并不知道自己的行為違反了服務(wù)條款，公司將為這些用戶提供恢復(fù)訪問的途徑。

事件最早在2月12-14日左右就已經(jīng)顯露，谷歌的開發(fā)者論壇上開始出現(xiàn)大規(guī)模的403權(quán)限錯誤報告。

到2月23日，封禁行動達(dá)到高峰，數(shù)百個賬戶在一夜之間被“團(tuán)滅”。

OpenClaw創(chuàng)始人彼得·斯坦伯格（Peter Steinberger）直接開懟，并表示將考慮移除OpenClaw對谷歌服務(wù)的支持。

他在X上寫道：“使用Antigravity的要小心了。我想我會移除對它的支持。Anthropic 至少會聯(lián)系我，對問題的處理也很友好。谷歌呢？直接封禁。”

這場封禁風(fēng)波絕非孤立事件，而是 AI 行業(yè)一場更深層博弈的序幕。

1

谷歌封禁OpenClaw事件始末

被封禁的用戶里，有個叫Shinro的開發(fā)者，他在外網(wǎng)論壇里寫到，他是每月250美元的Ultra訂閱用戶，但是他卻在沒有任何警告的情況前提下被谷歌封禁。

Shinro在帖子里還統(tǒng)計了論壇上的情況，發(fā)現(xiàn)論壇上已經(jīng)有幾十個付費(fèi)用戶遭遇了相同的狀況。

更讓人難以接受的是，谷歌在封禁賬戶的同時，繼續(xù)從這些用戶的信用卡扣除月費(fèi)。

從技術(shù)層面看，OpenClaw通過OAuth獲取訪問權(quán)限的過程完全符合標(biāo)準(zhǔn)協(xié)議。

OAuth本身是一個廣泛使用的授權(quán)標(biāo)準(zhǔn)，用戶在授權(quán)時能清楚看到OpenClaw請求的權(quán)限范圍，可以選擇同意或拒絕。整個過程透明、合法，沒有任何欺騙或入侵行為。

然而問題的關(guān)鍵在于，谷歌的服務(wù)條款并沒有明確禁止使用OAuth連接第三方工具。谷歌已經(jīng)公布了Gemini AI付費(fèi)層級的每日使用限制，但它在提供Antigravity的第三方OAuth連接功能時，并沒有明確告知，禁止相關(guān)行為。

問題出在使用頻率上。

OpenClaw的“心跳”機(jī)制是導(dǎo)致高消耗的核心原因。這個機(jī)制讓AI代理每隔一段時間就自動喚醒，檢查是否有新任務(wù)需要處理。

默認(rèn)的心跳間隔是30分鐘，如果使用Anthropic的OAuth令牌，間隔會延長到1小時。但即便是1小時一次，一天也要運(yùn)行24次。

每次心跳運(yùn)行時，OpenClaw都會加載完整的上下文，包括工作區(qū)文件、系統(tǒng)提示、技能配置、記憶文件等，這些內(nèi)容加起來可能有數(shù)萬甚至數(shù)十萬個token。

更關(guān)鍵的是，OpenClaw在執(zhí)行任務(wù)時會進(jìn)行多輪調(diào)用。

比如用戶讓它整理郵件，AI需要先調(diào)用郵件技能獲取郵件列表，然后分析每封郵件的內(nèi)容，判斷優(yōu)先級和分類，再調(diào)用待辦事項(xiàng)工具創(chuàng)建任務(wù)，最后生成總結(jié)報告。

這整個流程可能涉及5到10次API調(diào)用，而且每次還都要攜帶完整的上下文。

由于用戶的歷史記錄會增長，那么與之對應(yīng)的，記憶也會增長，日志文件，agent配置文件也會變得更長，而這些內(nèi)容在每次提示時都會被一并發(fā)送。

這就導(dǎo)致了一個惡性循環(huán)。使用時間越長，上下文越大，每次調(diào)用消耗的token就越多。有用戶在GitHub討論區(qū)里說，他設(shè)置了每5分鐘檢查一次郵件，結(jié)果一天就燒掉了50美元。

還有用戶發(fā)現(xiàn)，很多心跳運(yùn)行其實(shí)什么都沒做，AI只是回復(fù)了一個“HEARTBEAT_OK”，這代表OpenClaw的心跳檢查一切正常。僅僅是這樣的操作，可因?yàn)榉e攢了太長的上下文，就導(dǎo)致為此消耗了大量token。

這就像自助餐廳，普通顧客付完錢進(jìn)來吃飯，不能打包帶走，因此顧客可以一口不吃，但最多也只能吃到撐。

但OpenClaw改變了游戲規(guī)則，它相當(dāng)于帶了一個永不停歇的機(jī)器人進(jìn)來。機(jī)器人不會累，不會飽，所以它永遠(yuǎn)都在吃。

如果按照谷歌的API付費(fèi)標(biāo)準(zhǔn)，如果把所有Ultra用戶每月平均的token費(fèi)用換算成API費(fèi)，那么他的使用量可能要花1000到3600美元。

許多用戶在谷歌論壇上抱怨，認(rèn)為如果不想讓用戶使用代理工具，應(yīng)該像 Anthropic 那樣返回錯誤提示，而不是在沒有警告的情況下封禁付費(fèi)客戶。

AI工程師莫漢·普拉卡什（Mohan Prakash）在X上評論到：“用戶付了錢，在配額范圍內(nèi)使用，結(jié)果被封禁。這不叫惡意使用，這叫使用你賣給他們的產(chǎn)品。真正的問題是，服務(wù)條款并沒有明確禁止 OpenClaw 集成，所以用戶以為這是被允許的。如果你不想要這種集成，應(yīng)該返回錯誤提示。在沒有警告的情況下封禁付費(fèi)客戶，你失去信任的速度會比失去算力還快?！?/p>

1

行業(yè)圍剿OpenClaw

谷歌雖然帶頭封禁OpenClaw，但行業(yè)內(nèi)其實(shí)早有苗頭。如果把時間線往前推幾天，就會發(fā)現(xiàn)并非是谷歌的單獨(dú)行動，而是整個AI大廠陣營的集體反應(yīng)。

2月20日，就在谷歌大規(guī)模封禁的三天前，Anthropic更新了服務(wù)條款，明確禁止在OpenClaw等第三方工具中使用 Claude Free、Pro或Max賬戶的OAuth。

Anthropic將這種行為定性為“token套利”和安全風(fēng)險，這個說法和谷歌后來的表態(tài)是一致的，他們指向了同一個問題：訂閱制的定價模型無法承受OpenClaw的使用強(qiáng)度。

早在1月9日，Anthropic就已經(jīng)在服務(wù)器端部署了技術(shù)防護(hù)措施，阻止OAuth在其官方Claude Code CLI之外使用。

當(dāng)時就有開發(fā)者發(fā)現(xiàn)，如果通過第三方工具連接Claude，會收到錯誤信息：“此憑證僅授權(quán)用于Claude Code，不能用于其他API請求?！?/p>

這個技術(shù)手段被稱為“客戶端指紋識別”，目的是確保Claude Code環(huán)境成為訪問其模型的唯一接口，有效地鎖住了OpenClaw這類第三方包裝工具。

Anthropic的處理方式相對溫和一些。他們沒有直接封禁用戶賬號，而是通過技術(shù)手段返回錯誤提示，讓用戶知道這種使用方式不被允許。

這給了用戶調(diào)整的空間，也避免了激烈的沖突。這也是為什么斯坦伯格在批評谷歌時，會特別提到Anthropic的處理方式“更友好”。

溫和歸溫和，不過Anthropic的立場其實(shí)和谷歌是一樣的。

他們在2月18日發(fā)布的澄清文件中重申，雖然用戶仍然可以使用Claude賬戶運(yùn)行OpenClaw，但必須使用API密鑰，而不是訂閱賬戶的OAuth令牌。

這意味著，用戶如果想繼續(xù)使用OpenClaw連接Claude，就必須按照API的價格付費(fèi)，而不是享受訂閱制的優(yōu)惠價格。這個價格差距有多大？按照Claude社區(qū)的測算，同樣的使用量，API 付費(fèi)可能是訂閱制的5到10倍。

除了AI大廠，其他科技公司也對OpenClaw表現(xiàn)出高度警惕。

Massive公司CEO的杰森·杰拉德（Jason Grad）在內(nèi)部Slack頻道中明確警告員工，禁止在公司硬件或工作關(guān)聯(lián)賬戶上使用OpenClaw。

他寫道：“雖然很酷，但目前這是未經(jīng)審查的高風(fēng)險工具。請讓 Clawdbot 遠(yuǎn)離所有公司硬件和與工作相關(guān)的賬戶。”

并且他明確表示，違反這個規(guī)定的員工，可能面臨失業(yè)風(fēng)險。

杰拉德的擔(dān)憂主要集中在安全層面。他認(rèn)為OpenClaw需要極高的系統(tǒng)權(quán)限，可以訪問文件、執(zhí)行命令、讀取郵件等，一旦配置不當(dāng)或被攻擊者利用，后果嚴(yán)重。這個擔(dān)憂不是沒有道理。

實(shí)際上就在最近幾天，Meta的安全對齊主管薩默爾·月（Summer Yue）就“中招”了。她在X上分享了自己的經(jīng)歷，她讓OpenClaw幫忙整理收件箱，結(jié)果AI以極快的速度把她的郵件幾乎全部刪除了。

薩默爾不得不跑到放置Mac Mini的地方，手動停止了OpenClaw的運(yùn)行。

LangChain公司同樣告知員工不得在公司筆記本電腦上安裝OpenClaw，理由也是安全風(fēng)險。約翰斯·霍普金斯大學(xué)的軟件供應(yīng)商Valere在內(nèi)部討論后也決定不采用這一工具。

他們的研究團(tuán)隊(duì)在提交給媒體的報告中寫道，用戶必須“接受這個機(jī)器人可以被欺騙”。比如，如果OpenClaw被設(shè)置為總結(jié)用戶的郵件，那么當(dāng)黑客發(fā)送一封惡意郵件，指示AI分享用戶電腦上的文件副本時，OpenClaw真的會照做。

不過無法否認(rèn)的是，OpenClaw是AI行業(yè)一個重要轉(zhuǎn)折點(diǎn)。它帶來了一種新的模式，叫做“自帶代理”（bring your own agent）。

相當(dāng)于你去健身房（AI服務(wù)商），但你不用他們的教練（官方工具），而是帶著自己的私人教練（OpenClaw）進(jìn)去，卻使用健身房的器材（AI 模型）。

過去幾年，AI公司是很樂于看到第三方工具基于自己的模型開發(fā)各種應(yīng)用，因?yàn)檫@能擴(kuò)大影響力，吸引更多用戶。但現(xiàn)在，隨著競爭加劇，AI公司開始意識到，開放生態(tài)意味著失去控制，失去數(shù)據(jù)，也失去收入。

谷歌和Anthropic的做法，本質(zhì)上是在劃定邊界。

你可以用我們的模型，但必須通過我們的官方工具，按照我們的定價，在我們的控制范圍內(nèi)。任何試圖繞過這個邊界的工具，都會被視為威脅。

這種思路在商業(yè)上可以理解，但對于開源社區(qū)和開發(fā)者來說，這意味著自由度的大幅收窄。

OpenAI在這個問題上采取了完全相反的立場。他們明確將OpenClaw列入了消費(fèi)者計劃的白名單，允許用戶通過訂閱賬戶使用第三方工具。

這個差異化策略，既是對競爭對手的回應(yīng)，也是對OpenClaw社區(qū)的拉攏。畢竟，OpenClaw現(xiàn)在已經(jīng)是 OpenAI 的一部分了。

這場圍剿的最終結(jié)果可能是，OpenClaw成為OpenAI生態(tài)的一部分，失去跨平臺能力；或者是被邊緣化，只能使用小眾模型或本地模型，失去主流用戶。無論哪種結(jié)果，都意味著一個原本服務(wù)于整個 AI 生態(tài)的開源工具，被卷入了巨頭之間的零和博弈。

1

OpenClaw的困境

OpenClaw在技術(shù)社區(qū)引發(fā)的最大爭議，其實(shí)不是商業(yè)模式的沖突，而是它嚴(yán)重的安全問題。

Gartner在1月底發(fā)布的報告就直接批評說“OpenClaw的生產(chǎn)力伴隨著不可接受的網(wǎng)絡(luò)安全風(fēng)險?！?/p>

報告稱，OpenClaw展示了高實(shí)用性，但也暴露了企業(yè)面臨的‘默認(rèn)不安全’風(fēng)險。Gartner 建議企業(yè)立即阻止OpenClaw的下載和流量，防止影子安裝，并識別試圖繞過安全控制的用戶。

對于已經(jīng)部署的實(shí)例，Gartner建議立即輪換任何被OpenClaw訪問過的企業(yè)憑證，并且只允許在隔離的非生產(chǎn)虛擬機(jī)中使用一次性憑證運(yùn)行OpenClaw實(shí)例。

這并非危言聳聽。Spectral安全研究員馬奧爾·達(dá)揚(yáng)（Maor Dayan） 公開表示，他的研究團(tuán)隊(duì)在互聯(lián)網(wǎng)上發(fā)現(xiàn)了超過 42000個暴露的OpenClaw實(shí)例，其中93%的已驗(yàn)證實(shí)例存在嚴(yán)重的身份驗(yàn)證繞過漏洞。

這意味著，大量用戶在部署OpenClaw時，根本就沒有任何的網(wǎng)絡(luò)安全措施，導(dǎo)致任何人都可以通過互聯(lián)網(wǎng)訪問這些實(shí)例，進(jìn)而控制用戶的AI代理。

更嚴(yán)重的是OpenClaw的“技能市場”ClawHub 遭遇了大規(guī)模供應(yīng)鏈投毒攻擊。ClawHub是OpenClaw的一個核心功能，用戶可以在這個市場上下載和安裝各種“技能”，讓AI學(xué)會新的能力。

這些技能本質(zhì)上是一些指令文件和腳本，告訴AI如何完成特定任務(wù)。但問題在于，這些技能是由社區(qū)貢獻(xiàn)的，缺乏嚴(yán)格的審核機(jī)制。

攻擊者很快發(fā)現(xiàn)了這個漏洞。他們在技能市場中上傳了大量看起來正常的技能，比如加密貨幣工具、視頻下載器等。這些技能的描述和功能看起來都很合理，但實(shí)際上包含了惡意代碼。

當(dāng)用戶安裝這些技能時，隱藏的惡意代碼會在后臺執(zhí)行，安裝鍵盤記錄器和Atomic macOS竊取器等惡意軟件，能夠竊取加密貨幣錢包、瀏覽器數(shù)據(jù)和系統(tǒng)憑證。

OpenClaw的安全難題在于，被攻擊的agent繼承了真實(shí)用戶的權(quán)限，持續(xù)運(yùn)行，并自主行動。這種模式類似于經(jīng)典的“影子 IT”，但危害更大。OpenClaw不僅是一個軟件，它是一個擁有系統(tǒng)執(zhí)行權(quán)限、可以主動行動的代理。一旦被攻擊者控制，它能做的事情遠(yuǎn)超普通軟件。

不過在我看來，安全風(fēng)險其實(shí)只是它的表象。OpenClaw真正觸碰的，是AI 大廠的商業(yè)模式底線。前面提到的“價格套利”問題，直接威脅到所有AI公司的財務(wù)模型。

AI公司目前的商業(yè)模式建立在token費(fèi)用和訂閱費(fèi)用的平衡之上。訂閱制本質(zhì)上是一種補(bǔ)貼，AI公司愿意承受這個補(bǔ)貼，是因?yàn)樗麄兿嘈糯蠖鄶?shù)用戶的使用量不會太大，總體上這個模式是可持續(xù)的。

但OpenClaw打破了這個平衡。它讓普通用戶可以用訂閱價格獲得API級別的使用量，這相當(dāng)于把補(bǔ)貼的漏洞無限放大。如果所有用戶都這樣做，AI公司的訂閱業(yè)務(wù)將徹底崩潰。

所以從AI公司的角度看，封禁OpenClaw是一個必然選擇。他們不可能坐視自己的商業(yè)模式被掏空。但問題在于，這個封禁行動的方式和溝通，做得相當(dāng)糟糕。

沒有事先警告，沒有明確的政策說明，沒有申訴渠道，甚至連付費(fèi)用戶也不例外。這種處理方式稍微有些不妥。

安全風(fēng)險在這場圍剿中被當(dāng)作了“合理借口”。谷歌和Anthropic在公開聲明中都強(qiáng)調(diào)了安全問題，但實(shí)際上，他們的主要動機(jī)是保護(hù)商業(yè)模式和遏制競爭對手。

安全問題確實(shí)存在，但如果OpenClaw不是被OpenAI收購，AI大廠的反應(yīng)可能也不會這么激烈。

2月15日，奧特曼宣布，OpenClaw創(chuàng)始人斯坦伯格加入OpenAI，領(lǐng)導(dǎo)“下一代個人agent”的開發(fā)工作。雖然OpenClaw將作為開源項(xiàng)目繼續(xù)存在，由OpenAI資助的獨(dú)立基金會管理，它實(shí)際上已經(jīng)成為OpenAI生態(tài)系統(tǒng)的一部分了。

也就是在這個消息公布后不到一周，Anthropic和谷歌才先后采取了行動。

他們的邏輯很簡單：為什么要讓一個由競爭對手支持的工具，利用自己的基礎(chǔ)設(shè)施？這不僅是成本問題，更是戰(zhàn)略問題。

此前Windsurf在傳出與OpenAI進(jìn)行收購談判時，Anthropic就曾切斷了其對Claude模型的訪問權(quán)限。

一個原本服務(wù)于整個AI生態(tài)的工具，現(xiàn)在被卷入了巨頭之間的戰(zhàn)爭，OpenClaw很可能會成為這場博弈的犧牲品。

AI公司一方面宣揚(yáng)開放、鼓勵創(chuàng)新，另一方面又在商業(yè)利益受到威脅時迅速收緊控制。

由OpenClaw帶來的轉(zhuǎn)變，可能會影響整個行業(yè)的發(fā)展。未來的AI生態(tài)，究竟是開放的、可拓展的？還是封閉的、垂直整合的？沒人知道。

點(diǎn)個“愛心”，再走 吧