谷歌的封禁仅针对Antigravity服务，其他谷歌服务不受影响，并承认部分用户可能并不知道自己的行为违反了服务条款，公司将为这些用户提供恢复访问的途径。 被封禁的用户里，有个叫Shinro的开发者，他在外网论坛里写到，他是每月250美元的Ultra订阅用户，但是他却在没有任何警告的情况前提下被谷歌封禁。 OAuth本身是一个广泛使用的授权标准，用户在授权时能清楚看到OpenClaw请求的权限范围，可以选择同意或拒绝。整个过程透明、合法，没有任何欺骗或入侵行为。 然而问题的关键在于，谷歌的服务条款并没有明确禁止使用OAuth连接第三方工具。谷歌已经公布了Gemini AI付费层级的每日使用限制，但它在提供Antigravity的第三方OAuth连接功能时，并没有明确告知，禁止相关行为。 每次心跳运行时，OpenClaw都会加载完整的上下文，包括工作区文件、系统提示、技能配置、记忆文件等，这些内容加起来可能有数万甚至数十万个token。 比如用户让它整理邮件，AI需要先调用邮件技能获取邮件列表，然后分析每封邮件的内容，判断优先级和分类，再调用待办事项工具创建任务，最后生成总结报告。 由于用户的历史记录会增长，那么与之对应的，记忆也会增长，日志文件，agent配置文件也会变得更长，而这些内容在每次提示时都会被一并发送。 这就导致了一个恶性循环。使用时间越长，上下文越大，每次调用消耗的token就越多。有用户在GitHub讨论区里说，他设置了每5分钟检查一次邮件，结果一天就烧掉了50美元。 还有用户发现，很多心跳运行其实什么都没做，AI只是回复了一个“HEARTBEAT_OK”，这代表OpenClaw的心跳检查一切正常。仅仅是这样的操作，可因为积攒了太长的上下文，就导致为此消耗了大量token。 许多用户在谷歌论坛上抱怨，认为如果不想让用户使用代理工具，应该像 Anthropic 那样返回错误提示，而不是在没有警告的情况下封禁付费客户。 AI工程师莫汉·普拉卡什（Mohan Prakash）在X上评论到：“用户付了钱，在配额范围内使用，结果被封禁。这不叫恶意使用，这叫使用你卖给他们的产品。真正的问题是，服务条款并没有明确禁止 OpenClaw 集成，所以用户以为这是被允许的。如果你不想要这种集成，应该返回错误提示。在没有警告的情况下封禁付费客户，你失去信任的速度会比失去算力还快。” 谷歌虽然带头封禁OpenClaw，但行业内其实早有苗头。如果把时间线往前推几天，就会发现并非是谷歌的单独行动，而是整个AI大厂阵营的集体反应。 Anthropic将这种行为定性为“token套利”和安全风险，这个说法和谷歌后来的表态是一致的，他们指向了同一个问题：订阅制的定价模型无法承受OpenClaw的使用强度。 这个技术手段被称为“客户端指纹识别”，目的是确保Claude Code环境成为访问其模型的唯一接口，有效地锁住了OpenClaw这类第三方包装工具。 Anthropic的处理方式相对温和一些。他们没有直接封禁用户账号，而是通过技术手段返回错误提示，让用户知道这种使用方式不被允许。 这意味着，用户如果想继续使用OpenClaw连接Claude，就必须按照API的价格付费，而不是享受订阅制的优惠价格。这个价格差距有多大？按照Claude社区的测算，同样的使用量，API 付费可能是订阅制的5到10倍。 杰拉德的担忧主要集中在安全层面。他认为OpenClaw需要极高的系统权限，可以访问文件、执行命令、读取邮件等，一旦配置不当或被攻击者利用，后果严重。这个担忧不是没有道理。 实际上就在最近几天，Meta的安全对齐主管萨默尔·月（Summer Yue）就“中招”了。她在X上分享了自己的经历，她让OpenClaw帮忙整理收件箱，结果AI以极快的速度把她的邮件几乎全部删除了。 LangChain公司同样告知员工不得在公司笔记本电脑上安装OpenClaw，理由也是安全风险。约翰斯·霍普金斯大学的软件供应商Valere在内部讨论后也决定不采用这一工具。 他们的研究团队在提交给媒体的报告中写道，用户必须“接受这个机器人可以被欺骗”。比如，如果OpenClaw被设置为总结用户的邮件，那么当黑客发送一封恶意邮件，指示AI分享用户电脑上的文件副本时，OpenClaw真的会照做。 过去几年，AI公司是很乐于看到第三方工具基于自己的模型开发各种应用，因为这能扩大影响力，吸引更多用户。但现在，随着竞争加剧，AI公司开始意识到，开放生态意味着失去控制，失去数据，也失去收入。 你可以用我们的模型，但必须通过我们的官方工具，按照我们的定价，在我们的控制范围内。任何试图绕过这个边界的工具，都会被视为威胁。 OpenAI在这个问题上采取了完全相反的立场。他们明确将OpenClaw列入了消费者计划的白名单，允许用户通过订阅账户使用第三方工具。 这场围剿的最终结果可能是，OpenClaw成为OpenAI生态的一部分，失去跨平台能力；或者是被边缘化，只能使用小众模型或本地模型，失去主流用户。无论哪种结果，都意味着一个原本服务于整个 AI 生态的开源工具，被卷入了巨头之间的零和博弈。 报告称，OpenClaw展示了高实用性，但也暴露了企业面临的‘默认不安全’风险。Gartner 建议企业立即阻止OpenClaw的下载和流量，防止影子安装，并识别试图绕过安全控制的用户。 对于已经部署的实例，Gartner建议立即轮换任何被OpenClaw访问过的企业凭证，并且只允许在隔离的非生产虚拟机中使用一次性凭证运行OpenClaw实例。 这并非危言耸听。Spectral安全研究员马奥尔·达扬（Maor Dayan） 公开表示，他的研究团队在互联网上发现了跨越 42000个暴露的OpenClaw实例，其中93%的已验证实例存在严重的身份验证绕过漏洞。 这意味着，大量用户在部署OpenClaw时，根本就没有任何的网络安全措施，导致任何人都可以通过互联网访问这些实例，进而控制用户的AI代理。 更严重的是OpenClaw的“技能市场”ClawHub 遭遇了大规模供应链投毒攻击。ClawHub是OpenClaw的一个核心功能，用户可以在这个市场上下载和安装各种“技能”，让AI学会新的能力。 这些技能本质上是一些指令文件和脚本，告诉AI如何完成特定任务。但问题在于，这些技能是由社区贡献的，缺乏严格的审核机制。 攻击者很快发现了这个漏洞。他们在技能市场中上传了大量看起来正常的技能，比如加密货币工具、视频下载器等。这些技能的描述和功能看起来都很合理，但实际上包含了恶意代码。 当用户安装这些技能时，隐藏的恶意代码会在后台执行，安装键盘记录器和Atomic macOS窃取器等恶意软件，能够窃取加密货币钱包、浏览器数据和系统凭证。 OpenClaw的安全难题在于，被攻击的agent继承了真实用户的权限，持续运行，并自主行动。这种模式类似于经典的“影子 IT”，但危害更大。OpenClaw不仅是一个软件，它是一个拥有系统执行权限、可以主动行动的代理。一旦被攻击者控制，它能做的事情远超普通软件。 不过在我看来，安全风险其实只是它的表象。OpenClaw真正触碰的，是AI 大厂的商业模式底线。前面提到的“价格套利”问题，直接威胁到所有AI公司的财务模型。 AI公司目前的商业模式建立在token费用和订阅费用的平衡之上。订阅制本质上是一种补贴，AI公司愿意承受这个补贴，是因为他们相信大多数用户的使用量不会太大，总体上这个模式是可持续的。 但OpenClaw打破了这个平衡。它让普通用户可以用订阅价格获得API级别的使用量，这相当于把补贴的漏洞无限放大。如果所有用户都这样做，AI公司的订阅业务将完全崩溃。 所以从AI公司的角度看，封禁OpenClaw是一个必然选择。他们不可能坐视自己的商业模式被掏空。但问题在于，这个封禁行动的方式和沟通，做得相当糟糕。 安全风险在这场围剿中被当作了“合理借口”。谷歌和Anthropic在公开声明中都强调了安全问题，但实际上，他们的主要动机是保护商业模式和遏制竞争对手。 2月15日，奥特曼宣布，OpenClaw创始人斯坦伯格加入OpenAI，领导“下一代个人agent”的开发工作。虽然OpenClaw将作为开源项目继续存在，由OpenAI资助的独立基金会管理，它实际上已经成为OpenAI生态系统的一部分了。