谷歌的封禁仅针对Antigravity服务,其他谷歌服务不受影响,并承认部分用户可能并不知道自己的行为违反了服务条款,公司将为这些用户提供恢复访问的途径。 被封禁的用户里,有个叫Shinro的开发者,他在外网论坛里写到,他是每月250美元的Ultra订阅用户,但是他却在没有任何警告的情况前提下被谷歌封禁。 OAuth本身是一个广泛使用的授权标准,用户在授权时能清楚看到OpenClaw请求的权限范围,可以选择同意或拒绝。整个过程透明、合法,没有任何欺骗或入侵行为。 然而问题的关键在于,谷歌的服务条款并没有明确禁止使用OAuth连接第三方工具。谷歌已经公布了Gemini AI付费层级的每日使用限制,但它在提供Antigravity的第三方OAuth连接功能时,并没有明确告知,禁止相关行为。 每次心跳运行时,OpenClaw都会加载完整的上下文,包括工作区文件、系统提示、技能配置、记忆文件等,这些内容加起来可能有数万甚至数十万个token。 比如用户让它整理邮件,AI需要先调用邮件技能获取邮件列表,然后分析每封邮件的内容,判断优先级和分类,再调用待办事项工具创建任务,最后生成总结报告。 由于用户的历史记录会增长,那么与之对应的,记忆也会增长,日志文件,agent配置文件也会变得更长,而这些内容在每次提示时都会被一并发送。 这就导致了一个恶性循环。使用时间越长,上下文越大,每次调用消耗的token就越多。有用户在GitHub讨论区里说,他设置了每5分钟检查一次邮件,结果一天就烧掉了50美元。 还有用户发现,很多心跳运行其实什么都没做,AI只是回复了一个“HEARTBEAT_OK”,这代表OpenClaw的心跳检查一切正常。仅仅是这样的操作,可因为积攒了太长的上下文,就导致为此消耗了大量token。 许多用户在谷歌论坛上抱怨,认为如果不想让用户使用代理工具,应该像 Anthropic 那样返回错误提示,而不是在没有警告的情况下封禁付费客户。 AI工程师莫汉·普拉卡什(Mohan Prakash)在X上评论到:“用户付了钱,在配额范围内使用,结果被封禁。这不叫恶意使用,这叫使用你卖给他们的产品。真正的问题是,服务条款并没有明确禁止 OpenClaw 集成,所以用户以为这是被允许的。如果你不想要这种集成,应该返回错误提示。在没有警告的情况下封禁付费客户,你失去信任的速度会比失去算力还快。” 谷歌虽然带头封禁OpenClaw,但行业内其实早有苗头。如果把时间线往前推几天,就会发现并非是谷歌的单独行动,而是整个AI大厂阵营的集体反应。 Anthropic将这种行为定性为“token套利”和安全风险,这个说法和谷歌后来的表态是一致的,他们指向了同一个问题:订阅制的定价模型无法承受OpenClaw的使用强度。 这个技术手段被称为“客户端指纹识别”,目的是确保Claude Code环境成为访问其模型的唯一接口,有效地锁住了OpenClaw这类第三方包装工具。 Anthropic的处理方式相对温和一些。他们没有直接封禁用户账号,而是通过技术手段返回错误提示,让用户知道这种使用方式不被允许。 这意味着,用户如果想继续使用OpenClaw连接Claude,就必须按照API的价格付费,而不是享受订阅制的优惠价格。这个价格差距有多大?按照Claude社区的测算,同样的使用量,API 付费可能是订阅制的5到10倍。 杰拉德的担忧主要集中在安全层面。他认为OpenClaw需要极高的系统权限,可以访问文件、执行命令、读取邮件等,一旦配置不当或被攻击者利用,后果严重。这个担忧不是没有道理。 实际上就在最近几天,Meta的安全对齐主管萨默尔·月(Summer Yue)就“中招”了。她在X上分享了自己的经历,她让OpenClaw帮忙整理收件箱,结果AI以极快的速度把她的邮件几乎全部删除了。 LangChain公司同样告知员工不得在公司笔记本电脑上安装OpenClaw,理由也是安全风险。约翰斯·霍普金斯大学的软件供应商Valere在内部讨论后也决定不采用这一工具。 他们的研究团队在提交给媒体的报告中写道,用户必须“接受这个机器人可以被欺骗”。比如,如果OpenClaw被设置为总结用户的邮件,那么当黑客发送一封恶意邮件,指示AI分享用户电脑上的文件副本时,OpenClaw真的会照做。 过去几年,AI公司是很乐于看到第三方工具基于自己的模型开发各种应用,因为这能扩大影响力,吸引更多用户。但现在,随着竞争加剧,AI公司开始意识到,开放生态意味着失去控制,失去数据,也失去收入。 你可以用我们的模型,但必须通过我们的官方工具,按照我们的定价,在我们的控制范围内。任何试图绕过这个边界的工具,都会被视为威胁。 OpenAI在这个问题上采取了完全相反的立场。他们明确将OpenClaw列入了消费者计划的白名单,允许用户通过订阅账户使用第三方工具。 这场围剿的最终结果可能是,OpenClaw成为OpenAI生态的一部分,失去跨平台能力;或者是被边缘化,只能使用小众模型或本地模型,失去主流用户。无论哪种结果,都意味着一个原本服务于整个 AI 生态的开源工具,被卷入了巨头之间的零和博弈。 报告称,OpenClaw展示了高实用性,但也暴露了企业面临的‘默认不安全’风险。Gartner 建议企业立即阻止OpenClaw的下载和流量,防止影子安装,并识别试图绕过安全控制的用户。 对于已经部署的实例,Gartner建议立即轮换任何被OpenClaw访问过的企业凭证,并且只允许在隔离的非生产虚拟机中使用一次性凭证运行OpenClaw实例。 这并非危言耸听。Spectral安全研究员马奥尔·达扬(Maor Dayan) 公开表示,他的研究团队在互联网上发现了超过 42000个暴露的OpenClaw实例,其中93%的已验证实例存在严重的身份验证绕过漏洞。 这意味着,大量用户在部署OpenClaw时,根本就没有任何的网络安全措施,导致任何人都可以通过互联网访问这些实例,进而控制用户的AI代理。 更严重的是OpenClaw的“技能市场”ClawHub 遭遇了大规模供应链投毒攻击。ClawHub是OpenClaw的一个核心功能,用户可以在这个市场上下载和安装各种“技能”,让AI学会新的能力。 这些技能本质上是一些指令文件和脚本,告诉AI如何完成特定任务。但问题在于,这些技能是由社区贡献的,缺乏严格的审核机制。 攻击者很快发现了这个漏洞。他们在技能市场中上传了大量看起来正常的技能,比如加密货币工具、视频下载器等。这些技能的描述和功能看起来都很合理,但实际上包含了恶意代码。 当用户安装这些技能时,隐藏的恶意代码会在后台执行,安装键盘记录器和Atomic macOS窃取器等恶意软件,能够窃取加密货币钱包、浏览器数据和系统凭证。 OpenClaw的安全难题在于,被攻击的agent继承了真实用户的权限,持续运行,并自主行动。这种模式类似于经典的“影子 IT”,但危害更大。OpenClaw不仅是一个软件,它是一个拥有系统执行权限、可以主动行动的代理。一旦被攻击者控制,它能做的事情远超普通软件。 不过在我看来,安全风险其实只是它的表象。OpenClaw真正触碰的,是AI 大厂的商业模式底线。前面提到的“价格套利”问题,直接威胁到所有AI公司的财务模型。 AI公司目前的商业模式建立在token费用和订阅费用的平衡之上。订阅制本质上是一种补贴,AI公司愿意承受这个补贴,是因为他们相信大多数用户的使用量不会太大,总体上这个模式是可持续的。 但OpenClaw打破了这个平衡。它让普通用户可以用订阅价格获得API级别的使用量,这相当于把补贴的漏洞无限放大。如果所有用户都这样做,AI公司的订阅业务将彻底崩溃。 所以从AI公司的角度看,封禁OpenClaw是一个必然选择。他们不可能坐视自己的商业模式被掏空。但问题在于,这个封禁行动的方式和沟通,做得相当糟糕。 安全风险在这场围剿中被当作了“合理借口”。谷歌和Anthropic在公开声明中都强调了安全问题,但实际上,他们的主要动机是保护商业模式和遏制竞争对手。 2月15日,奥特曼宣布,OpenClaw创始人斯坦伯格加入OpenAI,领导“下一代个人agent”的开发工作。虽然OpenClaw将作为开源项目继续存在,由OpenAI资助的独立基金会管理,它实际上已经成为OpenAI生态系统的一部分了。
京公网安备11010202000001号
