谷歌连夜封禁,全行业集体堵截,OpenClaw到底动了谁的蛋糕?
谷歌打响反OpenClaw第一枪,
AI巨头开始围剿。
文 | 苗正
编辑 | 王靖
来源| 字母AI( ID: faceaibang)
封面来源 | IC photo
人红是非多,自OpenClaw爆火以后它就不断遭受争议,现如今谷歌打响了反OpenClaw的第一枪。
谷歌DeepMind工程师、前Windsurf CEO瓦伦·莫汉(Varun Mohan)在社交媒体上代表公司发声。
他声称,谷歌检测到自家AI编程工具Antigravity后端出现“大规模恶意使用行为”,严重降低了正常用户的服务质量。
这些被封禁的用户有一个共同特征,他们都使用OpenClaw工具,将Antigravity后端当作代理来访问谷歌的Gemini模型服务。
这就导致,其行为产生了远超预期的计算负载,谷歌不得不快速切断这些用户的访问权限以保护其他用户的体验。
谷歌的封禁仅针对Antigravity服务,其他谷歌服务不受影响,并承认部分用户可能并不知道自己的行为违反了服务条款,公司将为这些用户提供恢复访问的途径。
事件最早在2月12-14日左右就已经显露,谷歌的开发者论坛上开始出现大规模的403权限错误报告。
到2月23日,封禁行动达到高峰,数百个账户在一夜之间被“团灭”。
OpenClaw创始人彼得·斯坦伯格(Peter Steinberger)直接开怼,并表示将考虑移除OpenClaw对谷歌服务的支持。
他在X上写道:“使用Antigravity的要小心了。我想我会移除对它的支持。Anthropic至少会联系我,对问题的处理也很友好。谷歌呢?直接封禁。”
这场封禁风波绝非孤立事件,而是AI行业一场更深层博弈的序幕。
谷歌封禁OpenClaw事件始末
被封禁的用户里,有个叫Shinro的开发者,他在外网论坛里写到,他是每月250美元的Ultra订阅用户,但是他却在没有任何警告的情况前提下被谷歌封禁。
Shinro在帖子里还统计了论坛上的情况,发现论坛上已经有几十个付费用户遭遇了相同的状况。
更让人难以接受的是,谷歌在封禁账户的同时,继续从这些用户的信用卡扣除月费。
从技术层面看, OpenClaw通过OAuth获取访问权限的过程完全符合标准协议。
OAuth本身是一个广泛使用的授权标准,用户在授权时能清楚看到OpenClaw请求的权限范围,可以选择同意或拒绝。整个过程透明、合法,没有任何欺骗或入侵行为。
然而问题的关键在于,谷歌的服务条款并没有明确禁止使用OAuth连接第三方工具。谷歌已经公布了Gemini AI付费层级的每日使用限制,但它在提供Antigravity的第三方OAuth连接功能时,并没有明确告知,禁止相关行为。
问题出在使用频率上。
OpenClaw的“心跳”机制是导致高消耗的核心原因。这个机制让AI代理每隔一段时间就自动唤醒,检查是否有新任务需要处理。
默认的心跳间隔是30分钟,如果使用Anthropic的OAuth令牌,间隔会延长到1小时。但即便是1小时一次,一天也要运行24次。
每次心跳运行时,OpenClaw都会加载完整的上下文,包括工作区文件、系统提示、技能配置、记忆文件等,这些内容加起来可能有数万甚至数十万个token。
更关键的是,OpenClaw在执行任务时会进行多轮调用。
比如用户让它整理邮件,AI需要先调用邮件技能获取邮件列表,然后分析每封邮件的内容,判断优先级和分类,再调用待办事项工具创建任务,最后生成总结报告。
这整个流程可能涉及5到10次API调用,而且每次还都要携带完整的上下文。
由于用户的历史记录会增长,那么与之对应的,记忆也会增长,日志文件,agent配置文件也会变得更长,而这些内容在每次提示时都会被一并发送。
这就导致了一个恶性循环。使用时间越长,上下文越大,每次调用消耗的token就越多。有用户在GitHub讨论区里说,他设置了每5分钟检查一次邮件,结果一天就烧掉了50美元。
还有用户发现,很多心跳运行其实什么都没做,AI只是回复了一个“HEARTBEAT_OK”,这代表OpenClaw的心跳检查一切正常。仅仅是这样的操作,可因为积攒了太长的上下文,就导致为此消耗了大量token。
这就像自助餐厅,普通顾客付完钱进来吃饭,不能打包带走,因此顾客可以一口不吃,但最多也只能吃到撑。
但OpenClaw改变了游戏规则,它相当于带了一个永不停歇的机器人进来。 机器人不会累,不会饱,所以它永远都在吃。
如果按照谷歌的API付费标准,如果把所有Ultra用户每月平均的token费用换算成API费,那么他的使用量可能要花1000到3600美元。
许多用户在谷歌论坛上抱怨,认为如果不想让用户使用代理工具,应该像Anthropic那样返回错误提示,而不是在没有警告的情况下封禁付费客户。
AI工程师莫汉·普拉卡什(Mohan Prakash)在X上评论到:“用户付了钱,在配额范围内使用,结果被封禁。这不叫恶意使用,这叫使用你卖给他们的产品。真正的问题是,服务条款并没有明确禁止OpenClaw集成,所以用户以为这是被允许的。如果你不想要这种集成,应该返回错误提示。在没有警告的情况下封禁付费客户,你失去信任的速度会比失去算力还快。”
行业围剿OpenClaw
谷歌虽然带头封禁OpenClaw,但行业内其实早有苗头。如果把时间线往前推几天,就会发现并非是谷歌的单独行动,而是整个AI大厂阵营的集体反应。
2月20日,就在谷歌大规模封禁的三天前,Anthropic更新了服务条款,明确禁止在OpenClaw等第三方工具中使用Claude Free、Pro或Max账户的OAuth。
Anthropic将这种行为定性为“token套利”和安全风险,这个说法和谷歌后来的表态是一致的,他们指向了同一个问题:订阅制的定价模型无法承受OpenClaw的使用强度。
早在1月9日,Anthropic就已经在服务器端部署了技术防护措施,阻止OAuth在其官方Claude Code CLI之外使用。
当时就有开发者发现,如果通过第三方工具连接Claude,会收到错误信息:“此凭证仅授权用于Claude Code,不能用于其他API请求。”
这个技术手段被称为“客户端指纹识别”,目的是确保Claude Code环境成为访问其模型的唯一接口,有效地锁住了OpenClaw这类第三方包装工具。
Anthropic的处理方式相对温和一些。 他们没有直接封禁用户账号,而是通过技术手段返回错误提示,让用户知道这种使用方式不被允许。
这给了用户调整的空间,也避免了激烈的冲突。这也是为什么斯坦伯格在批评谷歌时,会特别提到Anthropic的处理方式“更友好”。
温和归温和,不过Anthropic的立场其实和谷歌是一样的。
他们在2月18日发布的澄清文件中重申,虽然用户仍然可以使用Claude账户运行OpenClaw,但必须使用API密钥,而不是订阅账户的OAuth令牌。
这意味着,用户如果想继续使用OpenClaw连接Claude,就必须按照API的价格付费,而不是享受订阅制的优惠价格。这个价格差距有多大?按照Claude社区的测算,同样的使用量,API付费可能是订阅制的5到10倍。
除了AI大厂,其他科技公司也对OpenClaw表现出高度警惕。
Massive公司CEO的杰森·杰拉德(Jason Grad)在内部Slack频道中明确警告员工,禁止在公司硬件或工作关联账户上使用OpenClaw。
他写道:“虽然很酷,但目前这是未经审查的高风险工具。请让Clawdbot远离所有公司硬件和与工作相关的账户。”
并且他明确表示,违反这个规定的员工,可能面临失业风险。
杰拉德的担忧主要集中在安全层面。他认为OpenClaw需要极高的系统权限,可以访问文件、执行命令、读取邮件等,一旦配置不当或被攻击者利用,后果严重。这个担忧不是没有道理。
实际上就在最近几天,Meta的安全对齐主管萨默尔·月(Summer Yue)就“中招”了。她在X上分享了自己的经历,她让OpenClaw帮忙整理收件箱,结果AI以极快的速度把她的邮件几乎全部删除了。
萨默尔不得不跑到放置Mac Mini的地方,手动停止了OpenClaw的运行。
LangChain公司同样告知员工不得在公司笔记本电脑上安装OpenClaw,理由也是安全风险。约翰斯·霍普金斯大学的软件供应商Valere在内部讨论后也决定不采用这一工具。
他们的研究团队在提交给媒体的报告中写道,用户必须“接受这个机器人可以被欺骗”。比如,如果OpenClaw被设置为总结用户的邮件,那么当黑客发送一封恶意邮件,指示AI分享用户电脑上的文件副本时,OpenClaw真的会照做。
不过无法否认的是,OpenClaw是AI行业一个重要转折点。它带来了一种新的模式,叫做“自带代理”(bring your own agent)。
相当于你去健身房(AI服务商),但你不用他们的教练(官方工具),而是带着自己的私人教练(OpenClaw)进去,却使用健身房的器材(AI模型)。