多名 Google AI Ultra 订阅者反映,因使用 OpenClaw 的 OAuth 接入方式,他们的账号遭到了限制。就在几天前,Anthropic 刚刚封堵了第三方访问渠道。
根据 Google AI 开发者论坛上持续发酵的讨论帖,Google 限制了通过第三方 OAuth 客户端 OpenClaw 访问 Gemini 模型的 AI Ultra 订阅者账号。此次限制没有任何预警或解释,直接切断了每月支付 249.99 美元的用户对 Gemini 2.5 Pro 的访问权限,部分用户甚至面临 Gmail、Workspace 等关联服务一同受限的风险。而就在两天前,Anthropic 刚刚更新了法律条款,明确禁止在包括 OpenClaw 在内的第三方工具中使用 OAuth 令牌。
三大 AI 模型厂商中的两家,在同一周内封锁了第三方访问。同样的算盘,同一周打的。
核心要点
- Google 在毫无预警的情况下,限制了使用 OpenClaw OAuth 的 AI Ultra 订阅者(249.99 美元/月)账号。
- Anthropic 两天前率先禁止第三方 OAuth 令牌使用,直指令牌套利的经济问题。
- OpenClaw 暴露出 21,639 个公网实例,同时面临窃密恶意软件和供应链攻击的多重威胁。
- OpenAI 反其道而行之,招揽了 OpenClaw 创始人,并公开支持第三方工具接入,竞争格局进一步分化。
每月 249.99 美元买到的是访问权限,而不是灵活性
引发此事的论坛帖子标题本身就值得玩味:“Account Restricted Without Warning, Google AI Ultra, OAuth via OpenClaw(账号在无警告情况下被限制)。“发帖人称,在通过 OpenClaw——一个可将现有订阅路由到替代界面的开源 AI Agent 框架——接入后,便失去了 Gemini 2.5 Pro 的访问权限。没有引用任何违规条款,也没有任何后续解释。
其他用户纷纷跟帖,遭遇如出一辙。有人提交申诉后只收到自动回复,有人压根找不到任何人工客服。一位用户写道,他尝试注册一个全新的 Google 账号,结果发现新号也被限制了。“没有任何警告,什么都没有,当了几十年的客户就这么被封了,“这位用户写道,并扬言要取消 YouTube、Google Ultra 和所有 Google 产品。另一位用户一针见血:“想拿回我那点可怜的费用,我得去起诉一家万亿市值的公司。”
每年近三千美元的费用,Google 能提供的最好回应只是社区管理员承诺"将与我们的内部团队分享”。没有时间表。没有具体细节。讨论帖还在不断增长。
问题远不止于此——Google 的账号架构让这件事雪上加霜。Google 的 AI 产品构建在其统一的账号体系之上,Gemini 触发的限制可以连锁波及 Gmail、Workspace 和云存储——因为这些服务全部绑定在同一套凭据上。多位论坛用户表达了同样的忧虑。对于把整套业务都跑在 Google 服务上的开发者而言,AI 订阅被标记不仅仅切断了一个产品的入口,而是让一切都悬在了钢丝上。
Anthropic 率先制定了规则
Google 的封锁并非空穴来风。两天前的 2 月 20 日,Anthropic 率先修改了消费者服务条款,将自 2024 年 2 月以来一直含糊其辞的规定写得明明白白:Claude Free、Pro 和 Max 账号的 OAuth 令牌仅限在 Claude Code 和 Claude.ai 中使用。在任何其他地方使用,包括 OpenClaw,均属违规。
值得注意的是,Anthropic 第 3.7 节中的合同条款,早在 2024 年 2 月就已禁止未经授权的第三方访问。但两年来,这一条款形同虚设,OpenClaw 和 OpenCode 等工具一直在悄然允许用户接入 Claude 订阅密钥。Anthropic 要么默许了这种行为,要么干脆无力执法——直到经济账算不过来了。
更新后的合规页面明确写道:“在任何其他产品、工具或服务(包括 Agent SDK)中使用通过 Claude Free、Pro 或 Max 账号获取的 OAuth 令牌,均不被允许,且构成对消费者服务条款的违反。”
Anthropic 工程师 Thariq Shihipar 在 1 月的社交媒体帖子中解释了背后的商业逻辑。他写道,第三方工具带来了"缺乏 Claude Code 常规遥测数据的异常流量模式”,这导致用户遇到速率限制或账号封禁时,官方根本无从排查。“我们也没有其他渠道为他们提供支持。”
《The Register》记者 Thomas Claburn 一语道破了经济学本质。相比 API 按量计费,Anthropic 的订阅令牌是以折扣价出售的——本质上是一场设定了使用预期的"全包自助餐”。第三方工具打破了这种预期,让订阅者可以榨取远超订阅模型所预设的价值。这就是令牌套利:交着固定费率,却把令牌灌入一个消耗速度远超预期的自动化管道。
周四,OpenCode 提交了一个 commit,移除了对 Claude Pro 和 Max 账号密钥的支持。提交信息写着"anthropic legal requests(Anthropic 法律要求)"。从政策条文到代码执行,整个过程不到一周。
OpenAI 则趁虚而入。其员工 Thibault Sottiaux 公开表态支持第三方工具使用 Codex 订阅——这与其说是对开发者的善意,不如说是一次精心包装的竞争卡位。
OpenClaw 处于这一切的中心
OpenClaw 持续霸占着头条——只不过不是以其社区所期望的方式。这个开源 AI Agent 框架(前身分别叫 Clawdbot 和 Moltbot),自 2025 年 11 月发布以来已在 GitHub 上收获超过 20 万颗星。Sam Altman 在 2 月 15 日宣布,OpenClaw 创始人 Peter Steinberger 将加盟 OpenAI,OpenClaw 也将在 OpenAI 的支持下转型为基金会架构。
然而,流行度和安全性恰恰背道而驰。Censys 报告显示,截至 1 月 31 日,有 21,639 个 OpenClaw 实例暴露在公共互联网上。SecurityScorecard 的 STRIKE 团队更发现了数十万个存在远程代码执行(RCE)风险的实例。1 月 25 日至 30 日期间共修补了五个 CVE,其中一个一键式 RCE 漏洞修了两次才真正修好,直到 2026.1.30 版本才堵上所有缺口。
窃密恶意软件也已经闻风而动。Hudson Rock 在 2 月中旬披露,一个 Vidar 变种窃取了某 OpenClaw 用户的完整配置——包括网关令牌、加密密钥,以及记录了 Agent 操作指令的 soul.md 文件。Hudson Rock CTO Alon Gal 对《The Hacker News》表示,这款恶意软件甚至不是专门针对 OpenClaw 的。一个普通的文件批量窃取例程,“无意间捞到了大鱼——用户 AI 助手的全部操作上下文”。
还有供应链攻击。Koi Security 在 1 月底发现的 ClawHavoc,通过向 ClawHub(OpenClaw 的插件市场)上传制作精良的"技能包"来实施攻击。这些技能包会引导用户安装一个所谓的"助手代理”,实际上却在后台部署 Atomic Stealer 窃密软件,最终完全接管受害者的 OpenClaw 实例及其连接的全部服务。
AI 红队公司 Adversa AI 创始人 Alex Polyakov 为此开发了 SecureClaw 作为应对方案——一款基于 OWASP 和 MITRE 框架的开源审计工具,可执行 55 项安全强化检查。Polyakov 对此保持清醒:“我们不敢说能’根治’提示注入,但通过多层防御,确实能让攻击变得难上加难。”
自助餐正在关门
撇开厂商名称不谈,背后的逻辑一目了然。在 Google 和 Anthropic 内部,财务团队盯着用量面板,看到了同一个问题。AI 模型厂商的订阅定价建立在一个假设之上:用户会通过官方界面、以人类正常的使用节奏、按照可预测的使用曲线来消费。OpenClaw 和同类工具彻底打破了这个假设——订阅者把令牌灌入自动化、高吞吐的 Agent 工作流中。对于一直在补贴用户访问的厂商来说,这笔账再也算不过来了。
Google 和 Anthropic 殊途同归,但 Anthropic 至少把话说在了明面上:更新了法律条款,安排工程师在社交媒体上公开解释,还给了工具开发者几天的缓冲期。OpenCode 在周四移除了 Claude 支持。过程虽然仓促,但路径是清晰的。
反观 Google,直接动手限制账号。没有政策更新,没有公开声明,没有任何一句解释给到每月付 249.99 美元的用户。Google 的产品工程团队仅向一名论坛用户确认,其账号"因使用 Antigravity 服务而被暂停"(Antigravity 是 Google 面向开发者的 Gemini AI 平台品牌),但对于触发封禁的具体原因以及今后该如何规避,只字未提。
那个仍在持续发酵的开发者论坛帖子,是这件事唯一的公开记录。作为一家发明了 OAuth 协议、并在从 Gmail 到 YouTube 再到 Google Drive 的全产品线中大力推广它的公司,Google 却对"为何通过 OAuth 访问 Gemini 会触发账号限制"三缄其口,着实令人费解。
开发者目前面临的情况
开发者社区给出的短期建议简单粗暴:立即停止在 AI 订阅中使用第三方 OAuth 客户端,退回到官方原生界面。如需编程接入,改用按量计费的 API 密钥,虽然单价更高但不会触发自动封禁。有开发者走得更远,直接迁移到本地模型——在自有硬件上跑 Kimi K2.5 或 Qwen 3.5,彻底摆脱对厂商的依赖。一篇广为流传的 Medium 文章记录了整个迁移过程:从通过 OpenClaw 订阅 Claude Max(200 美元/月),转向双 VPS 运行开源模型的方案,月费仅 15 美元。
但信任的裂痕比任何技术方案都更难弥合。如今选择 AI 平台的开发者不得不多考量一个全新的风险维度:厂商是否会在毫无预警的情况下,追溯性地限制你已经付费获得的服务。Anthropic 好歹提前打了招呼,Google 却让自己的付费用户直接吃了闷亏。
然而,所有这些变通方案背后,隐藏着一个更根本的问题。如果订阅定价从一开始就是补贴性质的,而厂商现在正在强制执行那些让补贴得以运转的隐性使用限制,那么 AI 模型访问的真实成本其实远高于所有人一直以来的支付水平。OpenClaw 及同类工具所打开的套利窗口并没有凭空制造需求——它只是暴露了订阅标价与底层算力实际成本之间的巨大鸿沟。
OpenAI 目前是个异类——不仅欢迎第三方工具接入,还直接把 OpenClaw 的创始人招了进来。这看上去很大方,但也可能是一场豪赌:掌控开发者关系和 Agent 基础设施的长期价值,可能远超短期内保护订阅利润的收益。这一策略能否持续,取决于随着 Agent 工作负载的扩展,OpenAI 自身的成本增速有多快。
但这些对于今天的 Google AI Ultra 订阅者来说毫无意义。他们掏了真金白银,买到了最强 Gemini 模型的高级访问权限。他们使用的是 Google 自己设计、并在旗下所有产品线中力推的标准认证协议。最终却被拒之门外。论坛帖子的回复仍在增长。然而迄今为止,Google 没有发表任何公开声明,也没有任何受影响用户报告账号被恢复。
常见问题解答(FAQ)
什么是 OpenClaw,为什么它在这里很重要? OpenClaw 是一个在 GitHub 上拥有超过 20 万颗星的开源 AI Agent 框架,允许用户通过替代界面接入现有的 AI 订阅服务。它通过 OAuth 方式访问 Google 和 Anthropic 模型的做法,在同一周内触发了两家厂商的账号限制。
为什么 Google 会限制 AI Ultra 账号? Google 尚未发布公开解释。论坛证据表明,当用户通过 OpenClaw 等第三方 OAuth 客户端访问 Gemini 模型时,账号会被标记。受影响的用户没有被告知具体的违反服务条款的行为。
Anthropic 的 OAuth 政策有何变化? 2 月 20 日,Anthropic 明确禁止在任何第三方工具中使用来自 Claude Free、Pro 和 Max 账号的 OAuth 令牌。这条规则自 2024 年 2 月起就写在第 3.7 节中,但直到令牌套利让经济模型难以为继时才真正执行。
Google AI 限制是否会影响 Gmail 和其他服务? 有这种可能。Google 的 AI 产品与 Gmail、Workspace 和云存储共享同一套账号基础设施。论坛用户已表达了担忧:因 Gemini 触发的限制有可能连锁波及整个 Google 账号及相关的商业服务。
如果第三方 OAuth 访问被阻止,有什么替代方案? 开发者可以切换到按量计费的 API 密钥访问,使用厂商的原生界面,或者迁移到本地开源模型(如 Kimi K2.5 或 Qwen 3.5)。已有案例显示,有人将 200 美元/月的订阅方案替换为仅需 15 美元/月的双 VPS 开源模型配置。
关于
📬 关注我获取更多资讯
