Google AI Ultra 订阅者报告称,由于使用 OpenClaw OAuth,他们的账号受到了限制。就在几天前,Anthropic 刚刚禁止了第三方访问。
据 Google AI 开发者论坛上不断增长的讨论显示,Google 限制了通过第三方 OAuth 客户端 OpenClaw 访问 Gemini 模型的 AI Ultra 订阅者的账号。这些限制在没有预警或解释的情况下发生,切断了每月支付 249.99 美元的用户访问 Gemini 2.5 Pro 的权限,在某些情况下,甚至威胁到他们访问 Gmail、Workspace 和其他相关连服务的权限。此举发生在Anthropic 更新其法律条款明确禁止在第三方工具(包括 OpenClaw)中使用 OAuth 令牌的两天之后。
三大 AI 模型提供商中的两家在同一周内锁定了第三方访问。相同的计算。同一周。
主要收获
- Google 限制了使用 OpenClaw OAuth 的 AI Ultra 订阅者(249.99美元/月),没有提供预警或解释。
- Anthropic 在两天前禁止了第三方 OAuth 令牌的使用,理由是代币套利经济学。
- OpenClaw 面临 21,639 个暴露的实例,针对配置文件的窃密恶意软件(infostealers),以及供应链攻击。
- OpenAI 聘请了 OpenClaw 的创作者,并认可第三方工具的使用,扩大了竞争差距。
每月 249.99 美元买到的是访问权限,而不是灵活性
引发此事的论坛帖子的标题值得全文阅读:“在没有警告的情况下账号被限制,Google AI Ultra,通过 OpenClaw 的 OAuth(Account Restricted Without Warning, Google AI Ultra, OAuth via OpenClaw)。”发帖人描述了在通过 OpenClaw(一个通过替代接口路由现有订阅的开源 AI 代理框架)连接后,失去了对 Gemini 2.5 Pro 的访问权限。没有引用任何服务条款的违规行为。没有后续的解释。
其他用户也分享了类似的经历。一些人提交了申诉,但只收到了自动回复。其他人根本找不到人工客服。一位用户写道,他们尝试创建一个新的 Google 账号,结果发现新账号也被限制了。“没有任何警告,什么都没有,在作为客户几十年之后就被封禁了,”该用户写道,并威胁要取消 YouTube、Google Ultra 以及所有其他的 Google 产品。另一位用户道出了这种感觉的本质:“我必须起诉一家市值万亿美元的公司,才能要回我支付的那点微不足道的费用。”
每年近三千美元的费用,Google 能提供的最好回应只是社区管理员承诺“将与我们的内部团队分享”。没有时间表。没有具体细节。讨论帖还在不断增长。
这正是 Google 的架构将烦恼变成更严重问题的地方。Google 的 AI 产品建立在更广泛的 Google 账号基础设施之上。由 Gemini 使用触发的限制可以级联到 Gmail、Workspace 和云存储。所有这些都绑定到相同的凭据。几位论坛用户都指出了这个确切的担忧。对于整个业务都在 Google 服务上运行的开发者来说,AI 订阅被标记不仅切断了一个产品的访问。它把一切都置于危险之中。
Anthropic 率先制定了规则
Google 的打击行动并非空穴来风。两天前,即 2 月 20 日,Anthropic 修改了其消费者服务条款,拼写出了自 2024 年 2 月以来一直被松散暗示的内容:来自 Claude Free、Pro 和 Max 账号的 OAuth 令牌仅允许在 Claude Code 和 Claude.ai 中使用。在其他任何地方使用它们,包括 OpenClaw,都违反了条款。
让这个时机值得注意的是,Anthropic 在第 3.7 节的合同语言中,至少从 2024 年 2 月起就已经禁止了未经授权的第三方访问。两年来,该条款一直存在,而像 OpenClaw 和 OpenCode 这样的工具却悄悄地让用户提供 Claude 订阅密钥。Anthropic 容忍了这种做法,或者至少没有针对它执行,直到经济因素迫使他们采取行动。
“在任何其他产品、工具或服务(包括 Agent SDK)中使用通过 Claude Free、Pro 或 Max 账号获取的 OAuth 令牌是不允许的,并构成违反消费者服务条款。”更新后的合规页面指出。
Anthropic 工程师 Thariq Shihipar 在 1 月份的社交媒体帖子中提供了商业原因。第三方工具创造了“没有任何 Claude Code 工具通常提供的遥测数据的异常流量模式,”他写道。这使得当用户达到速率限制或账号封禁时根本无法进行调试。“他们没有任何其他渠道获得这种支持。”
《The Register》的 Thomas Claburn 直言不讳地指出了其经济学原理。与 API 定价相比,Anthropic 折扣销售订阅令牌。这是一个带有特定使用预期的“全包自助餐”。第三方工具打破了这些预期,允许订阅者提取超出订阅模型假设的更多价值。代币套利。支付统一费率,将令牌路由到通过消耗它们的速度比任何人计划的都快的工具。
周四,OpenCode 提交了一个 commit,移除了对 Claude Pro 和 Max 账号密钥的支持。提交信息引用了“anthropic 的法律要求”。政策语言在不到一周的时间里变成了强制执行的代码。
而 OpenAI 趁机介入。OpenAI 的 Thibault Sottiaux 明确支持第三方工具使用 Codex 订阅。这是一种伪装成对开发者友好的竞争定位。
OpenClaw 处于这一切的中心
OpenClaw 继续占据头条,尽管不是其社区想要的那种方式。这个开源代理框架,以前被称为 Clawdbot 和后来的 Moltbot,自 2025 年 11 月推出以来已经在 GitHub 上获得了超过 200,000 颗星。Sam Altman 在 2 月 15 日宣布 OpenClaw 创始人 Peter Steinberger 将加入 OpenAI。OpenClaw 将在 OpenAI 的支持下转变为基金会结构。
但是流行度和安全性背道而驰。Censys 发现截至 1 月 31 日,有 21,639 个暴露的 OpenClaw 实例位于公共互联网上。SecurityScorecard 的 STRIKE 团队发现了数十万个携带潜在远程代码执行(RCE)风险的实例。1 月 25 日至 1 月 30 日期间修补了五个 CVE,包括一个需要两次尝试才能正确修复的一键式 RCE 漏洞,直到版本 2026.1.30 才关闭了剩余的安全漏洞。
窃密软件(Infostealers)已经做出了调整。Hudson Rock 在 2 月中旬披露,一个 Vidar 变种窃取了一个 OpenClaw 用户的完整配置,包括网关令牌、加密密钥以及包含其操作指令的代理 soul.md 文件。Hudson Rock 的 CTO Alon Gal 告诉《The Hacker News》,该恶意软件甚至不是专门针对 OpenClaw 的。一个广泛的文件抓取例程“通过捕获用户 AI 助手的整个操作上下文而无意中挖到了金矿”。
然后是供应链攻击。由 Koi Security 在 1 月底发现的 ClawHavoc 使用了上传到 ClawHub(OpenClaw 的插件市场)的看起来很专业的技能。这些技能指示用户安装一个实际部署了 Atomic Stealer 窃密软件的“助手代理”。完全远程控制受害者的 OpenClaw 实例以及它接触到的每一项服务。
AI 红队公司 Adversa AI 的创始人 Alex Polyakov 开发了 SecureClaw 作为回应。这是一个开源审计工具,运行映射到 OWASP 和 MITRE 框架的 55 项强化检查。Polyakov 并没有过度推销它。“我们不声称能‘解决’提示注入问题。但是,我们确实通过多层防御使其变得困难得多。”
自助餐正在关门
剥去供应商的名字,模式是显而易见的。在 Google 和 Anthropic 内部的某个地方,财务团队盯着使用情况仪表板,看到了同样的问题。AI 模型提供商的订阅定价假定用户将通过第一方界面以人类的速度、以可预测的使用曲线进行交互。OpenClaw 和类似的工具打破了这一假设,通过让订阅者通过自动化、高吞吐量的代理工作流路由令牌。对于一直在补贴访问的提供商来说,这种计算方式不再成立。
Google 和 Anthropic 得出了同样的结论,但 Anthropic 至少告诉了人们发生了什么。更新了法律条款。让一位工程师在社交媒体上发布了解释。给了工具开发者几天的时间来调整。OpenCode 在周四删除了 Claude 支持。混乱,但清晰明了。
Google 只是开始限制账号。没有出台政策更新。没有发表公开声明。没有任何解释传达到每月支付 249.99 美元的用户那里。Google 的产品工程团队至少向一个论坛用户确认,他们的账号“因使用我们的 Antigravity 服务而被暂停”(这是 Google 面向开发者的 Gemini AI 平台品牌),但没有提供关于什么触发了执行或如何在未来避免执行的任何详细信息。
依然在增长的开发者论坛讨论帖,是关于发生了什么的唯一公开记录。对于一家构建了 OAuth 并在其从 Gmail 到 YouTube 再到 Google Drive 的所有其他产品线中倡导该协议的公司而言,对为何通过 OAuth 访问 Gemini 会触发账号限制保持沉默,令人费解。
开发者目前面临的情况
开发者社区中提供给开发者的短期建议很直白:立即停止将第三方 OAuth 客户端与 AI 订阅一起使用。退回到原生界面。考虑使用 API 密钥访问,它带有每个令牌的定价,但避免了自动化执行。一些开发者已经开始完全迁移到本地模型,在他们自己的硬件上运行 Kimi K2.5 或 Qwen 3.5 以完全消除对提供商的依赖。一篇广为流传的 Medium 文章详细介绍了一个迁移过程:从通过 OpenClaw 以每月 200 美元订阅 Claude Max 的方案,迁移到了每月只需 15 美元运行开源模型的双 VPS 配置。
信任危机比任何单一的解决方法都更深。现在选择 AI 平台的开发者必须权衡一个新变量:提供商会追溯限制你访问已付费内容的风险。Anthropic 至少提前预告了这一变化。而 Google 却让其付费客户措手不及。
但所有这些快速解决方法的背后,还有一个更为关键的问题。如果订阅定价总是有补贴的,而现在提供商正在强制执行那些使补贴变得可行的隐性限制,那么模型访问的真实成本实际上高于任何人所支付的价格。OpenClaw 及类似工具所利用的套利窗口并没有创造人为需求。它暴露了提供商的订阅收费与运行基础计算的实际成本之间的差距。
暂且不谈 OpenAI 目前在这一趋势中的独特位置,他们不仅欢迎大家使用第三方工具,还聘用了 OpenClaw 的创作者。这看起来很慷慨大方。这也可能是一个赌注:拥有建立开发者关系以及发展代理基础设施这件事情本身,比短期内保护订阅利润更具价值。这种观点是否能站得住脚,取决于随着代理工作负载(agent workloads)的扩展,OpenAI 自身的成本增长有多快。
所有这些对于现在的 Google AI Ultra 订阅者来说都无济于事。他们花钱获得了最强 Gemini 模型的高级访问权限。他们通过 Google 自己设计、并且在其他各个地方广泛推广的标准认证协议进行了连接。最终却被拒之门外。该论坛帖子现在已有许多回复。然而,Google 并未发布公开声明,也没有受影响的用户报告其账户已被恢复。
常见问题解答(FAQ)
什么是 OpenClaw,为什么它在这里很重要? OpenClaw 是一个在 GitHub 上拥有超过 20 万颗星的开源 AI 代理框架,它允许用户通过替代接口路由现有的 AI 订阅。它对 Google 和 Anthropic 模型的基于 OAuth 的访问在同一周内触发了这两个提供商的账号限制。
为什么 Google 会限制 AI Ultra 账号? Google 尚未发布公开解释。论坛证据表明,当用户通过 OpenClaw 等第三方 OAuth 客户端访问 Gemini 模型时,账号会被标记。受影响的用户没有被告知具体的违反服务条款的行为。
Anthropic 的 OAuth 政策有何变化? 2 月 20 日,Anthropic 明确禁止在任何第三方工具中使用来自 Claude Free、Pro 和 Max 账号的 OAuth 令牌。该基础规则自 2024 年 2 月起就存在于第 3.7 节中,但直到代币套利使经济模式不可持续时才被执行。
Google AI 限制是否会影响 Gmail 和其他服务? 潜在可能是。Google 的 AI 产品与 Gmail、Workspace 和云存储共享相同的账号基础设施。论坛用户报告了他们的担忧,即 Gemini 触发的限制可能会级联到他们更广泛的 Google 账号和商业服务中。
如果第三方 OAuth 访问被阻止,有什么替代方案? 开发者可以切换到按令牌计费的 API 密钥访问,使用原生提供商界面,或迁移到本地开源模型,如 Kimi K2.5 或 Qwen 3.5。有一个被记录的设置是将 200 美元/月的订阅替换为 15 美元/月的双 VPS 配置。
关于
📬 关注我获取更多资讯
