他声称,Google检测到自家AI编程对象Antigravity后端出现“大年夜范围恶意应用行动”,严重降低了正常用户的办事质量。
这些被封禁的用户有一个合营特点,他们都应用OpenClaw对象,将Antigravity后端算作代理来拜访Google的Gemini模型办事。
这就导致,其行动产生了远超预期的计算负载,Google不得不快速割断这些用户的拜访权限以保护其他用户的体验。
事宜最早在2月12-14日阁下就已经显露,Google的开辟者论坛上开端出现大年夜范围的403权限缺点申报。
到2月23日,封禁行动达到岑岭,数百个账户在一夜之间被“团灭”。
OpenClaw开创人彼得·斯坦伯格(Peter Steinberger)直接开怼,并表示将推敲移除OpenClaw对Google办事的支撑。
他在X上写道:“应用Antigravity的要当心了。我想我会移除对它的支撑。Anthropic 至少会接洽我,对问题的处理也很友爱。Google呢?直接封禁。”
这全部流程可能涉及5到10次API调用,并且每次还都要携带完全的高低文。
进击者很快发清楚明了这个马脚。他们在技能市场中上传了大年夜量看起来正常的技能,比如加密泉币对象、视频下载器等。这些技能的描述和功能看起来都很合理,但实际上包含了恶意代码。
这场封禁风波绝非孤立事宜,而是 AI 行业一场更深层博弈的序幕。
01
Google封禁OpenClaw事宜始末
被封禁的用户里,有个叫Shinro的开辟者,他在外网论坛里写到,他是每月250美元的Ultra订阅用户,然则他却在没有任何警告的情况前提下被Google封禁。
Shinro在帖子里还统计了论坛上的情况,发明论坛上已经有几十个付费用户遭受了雷同的状况。
更让人难以接收的是,Google在封禁账户的同时,持续从这些用户的信用卡扣除月费。
从技巧层面看,OpenClaw经由过程OAuth获取拜访权限的过程完全相符标准协定。
OAuth本身是一个广泛应用的授权标准,用户在授权时能清楚看到OpenClaw请求的权限范围,可以选择赞成或拒绝。全部过程透明、合法,没有任何欺骗或入侵行动。
然而问题的关键在于,Google的办事条目并没有明白禁止应用OAuth连接第三方对象。Google已经颁布了Gemini AI付费层级的每日应用限制,但它在供给Antigravity的第三方OAuth连接功能时,并没有明白告诉,禁止相干行动。
问题出在应用频率上。
OpenClaw的“心跳”机制是导致高消费的核心原因。这个机制让AI代理每隔一段时光就主动唤醒,检查是否有新义务须要处理。
默认的心跳距离是30分钟,假如应用Anthropic的OAuth令牌,距离会延长到1小时。但即就是1小时一次,一天也要运行24次。
所以从AI公司的角度看,封禁OpenClaw是一个必定选择。他们弗成能坐视本身的贸易模式被掏空。但问题在于,这个封禁行动的方法和沟通,做得相当糟糕。
每次心跳运行时,OpenClaw都邑加载完全的高低文,包含工作区文件、体系提示、技能设备、记忆文件等,这些内容加起来可能稀有万甚至数十万个token。
更关键的是,OpenClaw在履行义务时会进行多轮调用。
比如用户让它整顿邮件,AI须要先调用邮件技能获取邮件列表,然后分析每封邮件的内容,断定优先级和分类,再调用待干事项对象创建义务,最后生成总结申报。
因为用户的汗青记录会增长,那么与之对应的,记忆也会增长,日记文件,agent设备文件也会变得更长,而这些内容在每次提示时都邑被一并发送。
还有效户发明,很多心跳运行其实什么都没做,AI只是答复了一个“HEARTBEAT_OK”,这代表OpenClaw的心跳检查一切正常。仅仅是如许的操作,可因为积攒了太长的高低文,就导致为此消费了大年夜量token。
这就像自助餐厅,通俗顾客付完钱进来吃饭,不克不及打包带走,是以顾客可以一口不吃,但最多也只能吃到撑。
但OpenClaw改变了游戏规矩,它相当于带了一个永一向歇的机械人进来。机械人不会累,不会饱,所以它永远都在吃。
假如按照Google的API付费标准,假如把所有Ultra用户每月平均的token费用换算成API费,那么他的应用量可能要花1000到3600美元。
很多用户在Google论坛上抱怨,认为假如不想让用户应用代理对象,应当像 Anthropic 那样返回缺点提示,而不是在没有警告的情况下封禁付费客户。
AI工程师莫汉·普拉卡什(Mohan Prakash)在X上评论到:“用户付了钱,在配额范围内应用,成果被封禁。这不叫恶意应用,这叫应用你卖给他们的产品。真正的问题是,办事条目并没有明白禁止 OpenClaw 集成,所以用户认为这是被许可的。假如你不想要这种集成,应当返回缺点提示。在没有警告的情况下封禁付费客户,你掉去信赖的速度会比掉去算力还快。”
02
行业围剿OpenClaw
Google固然带头封禁OpenClaw,但行业内其实早有苗头。假如把时光线往前推几天,就会发明并非是Google的零丁行动,而是全部AI大年夜厂阵营的集体反响。
2月20日,就在Google大年夜范围封禁的三天前,Anthropic更新了办事条目,明白禁止在OpenClaw等第三方对象中应用 Claude Free、Pro或Max账户的OAuth。
这就导致了一个恶性轮回。应用时光越长,高低文越大年夜,每次调用消费的token就越多。有效户在GitHub评论辩论区里说,他设置了每5分钟检查一次邮件,成果一天就烧掉落了50美元。
早在1月9日,Anthropic就已经在办事器端安排了技巧防护办法,阻拦OAuth在其官方Claude Code CLI之外应用。
当时就有开辟者发明,假如经由过程第三方对象连接Claude,会收到缺点信息:“此凭证仅授权用于Claude Code,不克不及用于其他API请求。”
这个技巧手段被称为“客户端指纹辨认”,目标是确保Claude Code情况成为拜访其模型的独一接口,有效地锁住了OpenClaw这类第三方包装对象。
Anthropic的处理方法相对平和一些。他们没有直接封禁用户账号,而是经由过程技巧手段返回缺点提示,让用户知道这种应用方法不被许可。
Google的封禁仅针对Antigravity办事,其他Google办事不受影响,并承认部分用户可能并不知道本身的行动违背了办事条目,公司将为这些用户供给恢复拜访的门路。
这给了用户调剂的空间,也避免了激烈的冲突。这也是为什么斯坦伯格在批驳Google时,会特别提到Anthropic的处理方法“更友爱”。
平和归平和,不过Anthropic的立场其实和Google是一样的。
他们在2月18日宣布的澄清文件中重申,固然用户仍然可以应用Claude账户运行OpenClaw,但必须应用API密钥,而不是订阅账户的OAuth令牌。
这意味着,用户假如想持续应用OpenClaw连接Claude,就必须按照API的价格付费,而不是享受订阅制的优惠价格。这个价格差距有多大年夜?按照Claude社区的测算,同样的应用量,API 付费可能是订阅制的5到10倍。
除了AI大年夜厂,其他科技公司也对OpenClaw表示出高度当心。
Massive公司CEO的杰森·杰拉德(Jason Grad)在内部Slack频道中明白警告员工,禁止在公司硬件或工作接洽关系账户上应用OpenClaw。
他写道:“固然很酷,但今朝这是未经审查的高风险对象。请让 Clawdbot 远离所有公司硬件和与工作相干的账户。”
并且他明白表示,违背这个规定的员工,可能面对掉业风险。
杰拉德的担心重要集中在安然层面。他认为OpenClaw须要极高的体系权限,可以拜访文件、履行敕令、读取邮件等,一旦设备欠妥或被进击者应用,后果严重。这个担心不是没有事理。
实际上就在比来几天,Meta的安然对齐主管萨默尔·月(Summer Yue)就“中招”了。她在X上分享了本身的经历,她让OpenClaw协助整顿收件箱,成果AI以极快的速度把她的邮件几乎全部删除了。
萨默尔不得不跑到放置Mac Mini的处所,手动停止了OpenClaw的运行。
LangChain公司同样告诉员工不得在公司笔记本电脑上安装OpenClaw,来由也是安然风险。约翰斯·霍普金斯大年夜学的软件供给商Valere在内部评论辩论后也决定不采取这一对象。
他们的研究团队在提交给媒体的申报中写道,用户必须“接收这个机械人可以被欺骗”。比如,假如OpenClaw被设置为总结用户的邮件,那么当黑客发送一封恶意邮件,指导AI分享用户电脑上的文件副本时,OpenClaw真的会照做。
不过无法否定的是,OpenClaw是AI行业一个重要转折点。它带来了一种新的模式,叫做“自带代理”(bring your own agent)。
相当于你去健身房(AI办事商),但你不消他们的锻练(官方对象),而是带着本身的私家锻练(OpenClaw)进去,却应用健身房的器材(AI 模型)。
以前几年,AI公司是很乐于看到第三方对象基于本身的模型开辟各类应用,因为这能扩大年夜影响力,吸引更多用户。但如今,跟着竞争加剧,AI公司开端意识到,开放生态意味着掉去控制,掉去数据,也掉去收入。
Google和Anthropic的做法,本质上是在规定界线。
你可以用我们的模型,但必须经由过程我们的官方对象,按照我们的订价,在我们的控制范围内。任何试图绕过这个界线的对象,都邑被视为威逼。
Anthropic将这种行动定性为“token套利”和安然风险,这个说法和Google后来的表态是一致的,他们指向了同一个问题:订阅制的订价模型无法遭受OpenClaw的应用强度。
OpenAI在这个问题上采取了完全相反的立场。他们明白将OpenClaw列入了花费者筹划的白名单,许可用户经由过程订阅账户应用第三方对象。
他们的逻辑很简单:为什么要让一个由竞争敌手支撑的对象,应用本身的基本举措措施?这不仅是成本问题,更是计谋问题。
这个差别化策略,既是对竞争敌手的回应,也是对OpenClaw社区的拉拢。毕竟,OpenClaw如今已经是 OpenAI 的一部分了。
这场围剿的最终成果可能是,OpenClaw成为OpenAI生态的一部分,掉去跨平台才能;或者是被边沿化,只能应用小众模型或本地模型,掉去主流用户。无论哪种成果,都意味着一个本来办事于全部 AI 生态的开源对象,被卷入了巨擘之间的零和博弈。
03
OpenClaw的困境
OpenClaw在技巧社区激发的最大年夜争议,其实不是贸易模式的冲突,而是它严重的安然问题。
Gartner在1月底宣布的申报就直接批驳说“OpenClaw的临盆力伴跟着弗成接收的收集安然风险。”
申报称,OpenClaw展示了高实用性,但也裸露了企业面对的‘默认不安然’风险。Gartner 建议企业急速阻拦OpenClaw的下载和流量,防止影子安装,并辨认试图绕过安然控制的用户。
对于已经安排的实例,Gartner建议急速轮换任何被OpenClaw拜访过的企业凭证,并且只许可在隔离的非临盆虚拟机中应用一次性凭证运行OpenClaw实例。
这并非危言耸听。Spectral安然研究员马奥尔·达扬(Maor Dayan) 公开表示,他的研究团队在互联网上发清楚明了跨越 42000个裸露的OpenClaw实例,个中93%的已验证实例存在严重的身份验证绕过马脚。
这意味着,大年夜量用户在安排OpenClaw时,根本就没有任何的收集安然办法,导致任何人都可以经由过程互联网拜访这些实例,进而控制用户的AI代理。
更严重的是OpenClaw的“技能市场”ClawHub 遭受了大年夜范围供给链投毒进击。ClawHub是OpenClaw的一个核心功能,用户可以在这个市场高低载和安装各类“技能”,让AI学会新的才能。
这些技能本质上是一些指令文件和脚本,告诉AI若何完成特定义务。但问题在于,这些技能是由社区供献的,缺乏严格的审核机制。
当用户安装这些技能时,隐蔽的恶意代码会在后台履行,安装键盘记录器和Atomic macOS窃取器等恶意软件,可以或许窃取加密泉币钱包、浏览器数据和体系凭证。
OpenClaw的安然难题在于,被进击的agent持续了真实用户的权限,持续运行,并自立行动。这种模式类似于经典的“影子 IT”,但伤害更大年夜。OpenClaw不仅是一个软件,它是一个拥有体系履行权限、可以主动行动的代理。一旦被进击者控制,它能做的工作远超通俗软件。
不过在我看来,安然风险其实只是它的表象。OpenClaw真正触碰的,是AI 大年夜厂的贸易模式底线。前面提到的“价格套利”问题,直接威逼到所有AI公司的财务模型。
AI公司今朝的贸易模式建立在token费用和订阅费用的均衡之上。订阅制本质上是一种补贴,AI公司愿意遭受这个补贴,是因为他们信赖大年夜多半用户的应用量不会太大年夜,总体上这个模式是可持续的。
但OpenClaw打破了这个均衡。它让通俗用户可以用订阅价格获得API级其余应用量,这相当于把补贴的马脚无穷放大年夜。假如所有效户都如许做,AI公司的订阅营业将彻底崩溃。
没有事先警告,没有明白的政策解释,没有申述渠道,甚至连付费用户也不例外。这种处理方法稍微有些不当。
安然风险在这场围剿中被算作了“合理饰辞”。Google和Anthropic在公开声明中都强调了安然问题,但实际上,他们的重要念头是保护贸易模式和遏制竞争敌手。
安然问题确切存在,但假如OpenClaw不是被OpenAI收购,AI大年夜厂的反响可能也不会这么激烈。
2月15日,奥特曼宣布,OpenClaw开创人斯坦伯格参加OpenAI,引导“下一代小我agent”的开辟工作。固然OpenClaw将作为开源项目持续存在,由OpenAI赞助的自力基金会治理,它实际上已经成为OpenAI生态体系的一部分了。
也就是在这个消息颁布后不到一周,Anthropic和Google才先后采取了行动。
此前Windsurf在传出与OpenAI进行收购会谈时,Anthropic就曾割断了其对Claude模型的拜访权限。
这种思路在贸易上可以懂得,但对于开源社区和开辟者来说,这意味着自由度的大年夜幅收窄。
一个本来办事于全部AI生态的对象,如今被卷入了巨擘之间的战斗,OpenClaw很可能会成为这场博弈的就义品。
AI公司一方面宣传开放、鼓励立异,另一方面又在贸易好处受到威逼时敏捷收紧控制。
由OpenClaw带来的改变,可能会影响全部行业的成长。将来的AI生态,毕竟是开放的、可拓展的?照样封闭的、垂直整合的?没人知道。
发表评论 取消回复