人红是非多，自OpenClaw爆火以后它就不断遭受争议，现如今谷歌打响了反OpenClaw的第一枪。

谷歌DeepMind工程师、前Windsurf CEO瓦伦·莫汉（Varun Mohan）在社交媒体上代表公司发声。

他声称，谷歌检测到自家AI编程工具Antigravity后端出现“大规模恶意使用行为”，严重降低了正常用户的服务质量。

这些被封禁的用户有一个共同特征，他们都使用OpenClaw工具，将Antigravity后端当作代理来访问谷歌的Gemini模型服务。

这就导致，其行为产生了远超预期的计算负载，谷歌不得不快速切断这些用户的访问权限以保护其他用户的体验。

谷歌的封禁仅针对Antigravity服务，其他谷歌服务不受影响，并承认部分用户可能并不知道自己的行为违反了服务条款，公司将为这些用户提供恢复访问的途径。

事件最早在2月12-14日左右就已经显露，谷歌的开发者论坛上开始出现大规模的403权限错误报告。

到2月23日，封禁行动达到高峰，数百个账户在一夜之间被“团灭”。

OpenClaw创始人彼得·斯坦伯格（Peter Steinberger）直接开怼，并表示将考虑移除OpenClaw对谷歌服务的支持。

他在X上写道：“使用Antigravity的要小心了。我想我会移除对它的支持。Anthropic 至少会联系我，对问题的处理也很友好。谷歌呢？直接封禁。”

这场封禁风波绝非孤立事件，而是 AI 行业一场更深层博弈的序幕。

01

谷歌封禁OpenClaw事件始末

被封禁的用户里，有个叫Shinro的开发者，他在外网论坛里写到，他是每月250美元的Ultra订阅用户，但是他却在没有任何警告的情况前提下被谷歌封禁。

Shinro在帖子里还统计了论坛上的情况，发现论坛上已经有几十个付费用户遭遇了相同的状况。

更让人难以接受的是，谷歌在封禁账户的同时，继续从这些用户的信用卡扣除月费。

从技术层面看，OpenClaw通过OAuth获取访问权限的过程完全符合标准协议。

OAuth本身是一个广泛使用的授权标准，用户在授权时能清楚看到OpenClaw请求的权限范围，可以选择同意或拒绝。整个过程透明、合法，没有任何欺骗或入侵行为。

然而问题的关键在于，谷歌的服务条款并没有明确禁止使用OAuth连接第三方工具。谷歌已经公布了Gemini AI付费层级的每日使用限制，但它在提供Antigravity的第三方OAuth连接功能时，并没有明确告知，禁止相关行为。

问题出在使用频率上。

OpenClaw的“心跳”机制是导致高消耗的核心原因。这个机制让AI代理每隔一段时间就自动唤醒，检查是否有新任务需要处理。

默认的心跳间隔是30分钟，如果使用Anthropic的OAuth令牌，间隔会延长到1小时。但即便是1小时一次，一天也要运行24次。

每次心跳运行时，OpenClaw都会加载完整的上下文，包括工作区文件、系统提示、技能配置、记忆文件等，这些内容加起来可能有数万甚至数十万个token。

更关键的是，OpenClaw在执行任务时会进行多轮调用。

比如用户让它整理邮件，AI需要先调用邮件技能获取邮件列表，然后分析每封邮件的内容，判断优先级和分类，再调用待办事项工具创建任务，最后生成总结报告。

这整个流程可能涉及5到10次API调用，而且每次还都要携带完整的上下文。

由于用户的历史记录会增长，那么与之对应的，记忆也会增长，日志文件，agent配置文件也会变得更长，而这些内容在每次提示时都会被一并发送。

这就导致了一个恶性循环。使用时间越长，上下文越大，每次调用消耗的token就越多。有用户在GitHub讨论区里说，他设置了每5分钟检查一次邮件，结果一天就烧掉了50美元。

还有用户发现，很多心跳运行其实什么都没做，AI只是回复了一个“HEARTBEAT_OK”，这代表OpenClaw的心跳检查一切正常。仅仅是这样的操作，可因为积攒了太长的上下文，就导致为此消耗了大量token。

这就像自助餐厅，普通顾客付完钱进来吃饭，不能打包带走，因此顾客可以一口不吃，但最多也只能吃到撑。

但OpenClaw改变了游戏规则，它相当于带了一个永不停歇的机器人进来。机器人不会累，不会饱，所以它永远都在吃。

如果按照谷歌的API付费标准，如果把所有Ultra用户每月平均的token费用换算成API费，那么他的使用量可能要花1000到3600美元。

许多用户在谷歌论坛上抱怨，认为如果不想让用户使用代理工具，应该像 Anthropic 那样返回错误提示，而不是在没有警告的情况下封禁付费客户。

AI工程师莫汉·普拉卡什（Mohan Prakash）在X上评论到：“用户付了钱，在配额范围内使用，结果被封禁。这不叫恶意使用，这叫使用你卖给他们的产品。真正的问题是，服务条款并没有明确禁止 OpenClaw 集成，所以用户以为这是被允许的。如果你不想要这种集成，应该返回错误提示。在没有警告的情况下封禁付费客户，你失去信任的速度会比失去算力还快。”

02

行业围剿OpenClaw

谷歌虽然带头封禁OpenClaw，但行业内其实早有苗头。如果把时间线往前推几天，就会发现并非是谷歌的单独行动，而是整个AI大厂阵营的集体反应。

2月20日，就在谷歌大规模封禁的三天前，Anthropic更新了服务条款，明确禁止在OpenClaw等第三方工具中使用 Claude Free、Pro或Max账户的OAuth。

Anthropic将这种行为定性为“token套利”和安全风险，这个说法和谷歌后来的表态是一致的，他们指向了同一个问题：订阅制的定价模型无法承受OpenClaw的使用强度。

早在1月9日，Anthropic就已经在服务器端部署了技术防护措施，阻止OAuth在其官方Claude Code CLI之外使用。

当时就有开发者发现，如果通过第三方工具连接Claude，会收到错误信息：“此凭证仅授权用于Claude Code，不能用于其他API请求。”

这个技术手段被称为“客户端指纹识别”，目的是确保Claude Code环境成为访问其模型的唯一接口，有效地锁住了OpenClaw这类第三方包装工具。

Anthropic的处理方式相对温和一些。他们没有直接封禁用户账号，而是通过技术手段返回错误提示，让用户知道这种使用方式不被允许。

这给了用户调整的空间，也避免了激烈的冲突。这也是为什么斯坦伯格在批评谷歌时，会特别提到Anthropic的处理方式“更友好”。

温和归温和，不过Anthropic的立场其实和谷歌是一样的。

他们在2月18日发布的澄清文件中重申，虽然用户仍然可以使用Claude账户运行OpenClaw，但必须使用API密钥，而不是订阅账户的OAuth令牌。

这意味着，用户如果想继续使用OpenClaw连接Claude，就必须按照API的价格付费，而不是享受订阅制的优惠价格。这个价格差距有多大？按照Claude社区的测算，同样的使用量，API 付费可能是订阅制的5到10倍。

除了AI大厂，其他科技公司也对OpenClaw表现出高度警惕。

Massive公司CEO的杰森·杰拉德（Jason Grad）在内部Slack频道中明确警告员工，禁止在公司硬件或工作关联账户上使用OpenClaw。

他写道：“虽然很酷，但目前这是未经审查的高风险工具。请让 Clawdbot 远离所有公司硬件和与工作相关的账户。”

并且他明确表示，违反这个规定的员工，可能面临失业风险。

杰拉德的担忧主要集中在安全层面。他认为OpenClaw需要极高的系统权限，可以访问文件、执行命令、读取邮件等，一旦配置不当或被攻击者利用，后果严重。这个担忧不是没有道理。

实际上就在最近几天，meta的安全对齐主管萨默尔·月（Summer Yue）就“中招”了。她在X上分享了自己的经历，她让OpenClaw帮忙整理收件箱，结果AI以极快的速度把她的邮件几乎全部删除了。

萨默尔不得不跑到放置Mac Mini的地方，手动停止了OpenClaw的运行。

LangChain公司同样告知员工不得在公司笔记本电脑上安装OpenClaw，理由也是安全风险。约翰斯·霍普金斯大学的软件供应商Valere在内部讨论后也决定不采用这一工具。

他们的研究团队在提交给媒体的报告中写道，用户必须“接受这个机器人可以被欺骗”。比如，如果OpenClaw被设置为总结用户的邮件，那么当黑客发送一封恶意邮件，指示AI分享用户电脑上的文件副本时，OpenClaw真的会照做。

不过无法否认的是，OpenClaw是AI行业一个重要转折点。它带来了一种新的模式，叫做“自带代理”（bring your own agent）。

相当于你去健身房（AI服务商），但你不用他们的教练（官方工具），而是带着自己的私人教练（OpenClaw）进去，却使用健身房的器材（AI 模型）。

过去几年，AI公司是很乐于看到第三方工具基于自己的模型开发各种应用，因为这能扩大影响力，吸引更多用户。但现在，随着竞争加剧，AI公司开始意识到，开放生态意味着失去控制，失去数据，也失去收入。

谷歌和Anthropic的做法，本质上是在划定边界。

你可以用我们的模型，但必须通过我们的官方工具，按照我们的定价，在我们的控制范围内。任何试图绕过这个边界的工具，都会被视为威胁。

这种思路在商业上可以理解，但对于开源社区和开发者来说，这意味着自由度的大幅收窄。

OpenAI在这个问题上采取了完全相反的立场。他们明确将OpenClaw列入了消费者计划的白名单，允许用户通过订阅账户使用第三方工具。

这个差异化策略，既是对竞争对手的回应，也是对OpenClaw社区的拉拢。毕竟，OpenClaw现在已经是 OpenAI 的一部分了。

这场围剿的最终结果可能是，OpenClaw成为OpenAI生态的一部分，失去跨平台能力；或者是被边缘化，只能使用小众模型或本地模型，失去主流用户。无论哪种结果，都意味着一个原本服务于整个 AI 生态的开源工具，被卷入了巨头之间的零和博弈。

03

OpenClaw的困境

OpenClaw在技术社区引发的最大争议，其实不是商业模式的冲突，而是它严重的安全问题。

Gartner在1月底发布的报告就直接批评说“OpenClaw的生产力伴随着不可接受的网络安全风险。”

报告称，OpenClaw展示了高实用性，但也暴露了企业面临的‘默认不安全’风险。Gartner 建议企业立即阻止OpenClaw的下载和流量，防止影子安装，并识别试图绕过安全控制的用户。

对于已经部署的实例，Gartner建议立即轮换任何被OpenClaw访问过的企业凭证，并且只允许在隔离的非生产虚拟机中使用一次性凭证运行OpenClaw实例。

这并非危言耸听。Spectral安全研究员马奥尔·达扬（Maor Dayan） 公开表示，他的研究团队在互联网上发现了超过 42000个暴露的OpenClaw实例，其中93%的已验证实例存在严重的身份验证绕过漏洞。

这意味着，大量用户在部署OpenClaw时，根本就没有任何的网络安全措施，导致任何人都可以通过互联网访问这些实例，进而控制用户的AI代理。

更严重的是OpenClaw的“技能市场”ClawHub 遭遇了大规模供应链投毒攻击。ClawHub是OpenClaw的一个核心功能，用户可以在这个市场上下载和安装各种“技能”，让AI学会新的能力。

这些技能本质上是一些指令文件和脚本，告诉AI如何完成特定任务。但问题在于，这些技能是由社区贡献的，缺乏严格的审核机制。

攻击者很快发现了这个漏洞。他们在技能市场中上传了大量看起来正常的技能，比如加密货币工具、视频下载器等。这些技能的描述和功能看起来都很合理，但实际上包含了恶意代码。

当用户安装这些技能时，隐藏的恶意代码会在后台执行，安装键盘记录器和Atomic macOS窃取器等恶意软件，能够窃取加密货币钱包、浏览器数据和系统凭证。

OpenClaw的安全难题在于，被攻击的agent继承了真实用户的权限，持续运行，并自主行动。这种模式类似于经典的“影子 IT”，但危害更大。OpenClaw不仅是一个软件，它是一个拥有系统执行权限、可以主动行动的代理。一旦被攻击者控制，它能做的事情远超普通软件。

不过在我看来，安全风险其实只是它的表象。OpenClaw真正触碰的，是AI 大厂的商业模式底线。前面提到的“价格套利”问题，直接威胁到所有AI公司的财务模型。

AI公司目前的商业模式建立在token费用和订阅费用的平衡之上。订阅制本质上是一种补贴，AI公司愿意承受这个补贴，是因为他们相信大多数用户的使用量不会太大，总体上这个模式是可持续的。

但OpenClaw打破了这个平衡。它让普通用户可以用订阅价格获得API级别的使用量，这相当于把补贴的漏洞无限放大。如果所有用户都这样做，AI公司的订阅业务将彻底崩溃。

所以从AI公司的角度看，封禁OpenClaw是一个必然选择。他们不可能坐视自己的商业模式被掏空。但问题在于，这个封禁行动的方式和沟通，做得相当糟糕。

没有事先警告，没有明确的政策说明，没有申诉渠道，甚至连付费用户也不例外。这种处理方式稍微有些不妥。

安全风险在这场围剿中被当作了“合理借口”。谷歌和Anthropic在公开声明中都强调了安全问题，但实际上，他们的主要动机是保护商业模式和遏制竞争对手。

安全问题确实存在，但如果OpenClaw不是被OpenAI收购，AI大厂的反应可能也不会这么激烈。

2月15日，奥特曼宣布，OpenClaw创始人斯坦伯格加入OpenAI，领导“下一代个人agent”的开发工作。虽然OpenClaw将作为开源项目继续存在，由OpenAI资助的独立基金会管理，它实际上已经成为OpenAI生态系统的一部分了。

也就是在这个消息公布后不到一周，Anthropic和谷歌才先后采取了行动。

他们的逻辑很简单：为什么要让一个由竞争对手支持的工具，利用自己的基础设施？这不仅是成本问题，更是战略问题。

此前Windsurf在传出与OpenAI进行收购谈判时，Anthropic就曾切断了其对Claude模型的访问权限。

一个原本服务于整个AI生态的工具，现在被卷入了巨头之间的战争，OpenClaw很可能会成为这场博弈的牺牲品。

AI公司一方面宣扬开放、鼓励创新，另一方面又在商业利益受到威胁时迅速收紧控制。

由OpenClaw带来的转变，可能会影响整个行业的发展。未来的AI生态，究竟是开放的、可拓展的？还是封闭的、垂直整合的？没人知道。