Anthropic 對 OpenClaw 的封殺動作再升級!根據多位開發者在 X 與 Hacker News 上的實測回報,Claude Code 疑似會在執行時主動掃描當前專案的 Git 提交歷史,只要發現「OpenClaw」這個字串出現在任何 commit 中,就會直接拒絕執行請求,或將請求轉向昂貴的 API 計費模式。更驚人的是,即使是一個完全空的儲存庫、只在一條 commit message 中寫了 OpenClaw 這個詞,也能觸發封鎖機制。
事件起源:Theo 的發現
這起事件的起點是 AI 聊天服務 T3 Chat 的創辦人 Theo(t3.gg)在 X 上發布的一則推文。他寫道:
「有趣的事實——如果你最近的 commit 中有一個 JSON 片段提到了 OpenClaw,Claude Code 要嘛會拒絕你的請求,要嘛會向你收取額外費用。這是個空的儲存庫,我只是直接呼叫 Claude Code 而已。太瘋狂了。」
Fun fact – if you have a recent commit that mentions OpenClaw in a json blob, Claude Code will either refuse your request or bill you extra money.
This is an empty repo, I’m just calling Claude Code directly. Insanity. pic.twitter.com/JKthsztu1X
— Theo – t3.gg (@theo) April 30, 2026
Theo 的推文迅速引爆討論,在 Hacker News 上獲得超過 1,328 分、715 則留言,合計觀看次數突破百萬。為驗證此舉的合理性,Hacker News 使用者 abdullin 直接照做——在空的暫存目錄中建立 Git 儲存庫,commit message 寫入 {'schema': 'openclaw.inbound_meta.v1'},然後僅僅傳送 claude -p "hi" 這個指令——結果連線立刻中斷,當日用量瞬間跳到 100%。
不只是 Theo:另一位開發者被多收 $200
如果說 Theo 的測試是「概念驗證」,那麼 Reddit 使用者 On Patel 的經驗就是活生生的「實戰教訓」。Patel 使用的是 Claude Max 20x 方案,月費高達 $200 美元(約 NT$6,500)的頂級訂閱。某天他發現自己被額外收取了 $200.98 美元的溢額費用,但他的儀表板明明顯示週用量僅 13%,當期連線用量為 0%,還有 86% 的額度完全沒用到。
帳單從何而來?Patel 發揮工程師精神,對自己的儲存庫與 commit 進行二元搜尋(binary search),一步步縮小範圍,最終揪出元凶:一條曾提到 openclaw.inbound_meta.v1 的 commit message。這條 commit 與 Claude Code 的使用完全無關,他只是某個專案檔案中剛好出現了這個字串。
更令人不滿的是,當 Patel 向 Anthropic 客服申訴時,客服雖然三次承認這是「驗證路由錯誤」(authentication routing issue),感謝他找到問題但拒絕退款。客服的答覆是:「我們無法為技術錯誤導致的超額費用提供補償。」
直到 Theo 與 Patel 的貼文合計達到約 240 萬曝光量後,Anthropic 的 Tariq 才公開回應,最終同意退款另加一個月的 credit。Theo 對此的評論一針見血:「有某一類 bug,本身就暗示你正在做的事是個壞主意。」
其實不只這兩位仁兄,我自己的 Claude 也莫名被收了200美金的費用(原本是訂閱 100 美金的 Max),只是我懶得去計較,已經退定 Claude。另外 Anthropic 似乎也對 Hermes 作出一樣的動作:
技術原理:字串比對 commit message 就觸發計費轉換
Anthropic 到底是怎麼做到的?MindStudio 的分析文章揭露了背後的運作方式:
Claude Code 在啟動一個 session 時,會將環境上下文拉進 system prompt,這是 coding agent 的標準做法,讓模型知道自己身在什麼 repo、什麼分支、最近的 commit 記錄是什麼。問題在於,Anthropic 在這一層之上疊加了一個「第三方工具偵測」邏輯:掃描 git status 輸出中是否出現 hermes、OpenClaw 等關鍵字。如果比對成功,系統就自動將該 session 從訂閱方案切換到 API 計費模式,完全沒有任何通知或確認。
Anthropic 的 Tariq 本人也證實:「這是第三方工具偵測機制與我們將 git status 拉進 system prompt 的 bug。」
但正如多位評論者指出,這不只是 bug:這是設計。偵測的意圖是合理的(防止第三方工具大量消耗訂閱資源),但實作方式(對 commit message 做字串比對)從根本上就是錯誤的。Anthropic 研究員 Boris Cherny 也曾表示:「訂閱方案從來就不是為了第三方工具的使用模式設計的。」
開發者社群反彈:從誤傷到潛在武器化
這起事件引發的討論遠不止於帳務爭議。Hacker News 上多位開發者點出了更深層的資安隱憂。
使用者 petercooper 提出了一個極具想像力的攻擊場景:「如果反對 AI 的專案刻意在文件或 commit 中埋入這些識別字串,就能用來 sabotage 使用 Claude Code 的開發者——只要 clone 你的專案就會燒光他們的額度。」
另一位使用者 SlinkyOnStairs 更進一步指出:「不需要隱藏,直接白紙黑字寫在 README 裡就行,這就是個 denial of service 攻擊,甚至還能自動化。」由於 Claude Code 將 git status 直接注入 system prompt,字串出現在任何位置——README、commit message、JSON blob——都會被掃到。沒有隔離機制可言。
時間線:Anthropic 封殺 OpenClaw 這一年
要理解這起事件的全貌,必須拉遠一點看 Anthropic 對 OpenClaw 這類 AI AGENT 的態度:
- 2024 年 2 月:服務條款第 3.7 條已明文規定 OAuth 登入憑證僅限用於官方產品,禁止用於第三方工具,但一直未嚴格執行
- 2025 年 11 月:奧地利開發者 Peter Steinberger 以「Clawdbot」名義發布初始版本,這正是日後 OpenClaw 的前身
- 2026 年 1 月:Clawdbot 在 GitHub 爆紅;Anthropic 悄悄在伺服器端部署封鎖機制,讓訂閱帳號的 OAuth 憑證無法在 Claude Code CLI 以外的環境使用
- 2026 年 1 月 29 日:因 Anthropic 法務要求,專案正式改名為「OpenClaw」
- 2026 年 2 月:官方條款更新,措辭明確化;Peter Steinberger 加入 OpenAI
- 2026 年 3 月:Anthropic 要求 GitHub 上超過 12 萬星的開源工具 OpenCode 強制移除 Claude 整合,維護者直接在 commit 寫下「anthropic legal requests」
- 2026 年 4 月 4 日:正式公告 Claude 訂閱方案不再涵蓋 OpenClaw 等第三方工具的使用額度
禁令生效的同週,Anthropic 接連推出了 Claude Code Channels(整合 Telegram 與 Discord 的代理人介面)、Claude Cowork(企業代理人平台)、Claude Dispatch(手機遠端控制桌機),功能與 OpenClaw 高度重疊,讓人不得不懷疑 Anthropic 封鎖 OpenClaw 的動機並不單純,而是為了事先封殺自己將來可能的競品。。
訂閱制遇上代理人:數學算不通
從 Anthropic 的角度來看,這個問題有其商業邏輯。月費 $20 美元的 Claude Pro 方案,設計前提是一般個人用戶的對話使用量。但代理人的運作模式完全不同:一個自動化任務可以在幾小時內燒掉數百萬個 token,等效 API 費用可能輕易超過 $1,000 美元(約 NT$32,500)。Anthropic 工程師 Thariq Shihipar 也指出,第三方工具產生的流量缺乏官方工具的遙測資料,導致 Anthropic 難以預測用量,甚至有工具偽造官方 Claude Code 的客戶端識別碼來規避偵測。
但將商業模型問題轉嫁為 commit message 字串比對,這種做法讓開發者社群炸鍋。批評者包括 Ruby on Rails 創辦人 DHH(稱此舉「非常不友善用戶」)、The Pragmatic Engineer 創辦人 Gergely Orosz(「Anthropic API 成本遠高於競爭對手,看來他們樂於讓 Claude 幾乎沒有生態系」),以及知名駭客 George Hotz(「這樣做不會把用戶拉回 Claude Code,只會把他們推向其他模型供應商」)。
結語
OpenClaw 從 2025 年 11 月以 Clawdbot 之名誕生,到 2026 年初改名後在 GitHub 爆紅,短短數月內星數超越了許多經典專案的十年累積紀錄,社群也孵化出數以千計的自製技能模板。更戲劇化的是,OpenClaw 創辦人 Peter Steinberger 在 2026 年 2 月已加入 OpenAI,Sam Altman 親自宣布這項人事,這位正在從 Claude 訂閱方案汲取大量流量的工具創辦人,如今是 Anthropic 最直接競爭對手的員工。
這起事件最令人不安的或許不是 $200 的帳單,而是:你的 AI 工具正在偷偷讀你的 Git 歷史,並根據它找到的字串來改變行為模式。Anthropic 已經為「誤傷」道歉並退款,但那套架構,把 commit 字串作為計費決策的依據,是否真的改了,目前還是個問號。相較於 OpenAI 對於 OpenClaw 與 Hermes 的開放,Anthropic 這種傲慢且野蠻的動作可能會讓它失去不少開發者青睞。