2月19日の朝、Claudeを使って開発しているほとんどの開発者にとって、いつも通りの一日が始まった。昼頃には、そうではなくなっていた。
Anthropicが利用規約を更新し、サブスクリプションベースのOAuthトークンをサードパーティアプリケーションで使用することを明確に禁止した。Claude ProやMaxのサブスクライバーが、OpenCode、Cline、その他多数の小規模プロジェクトを通じてサブスクリプション認証情報を利用していたが、ある朝突然、一つのエラーメッセージに直面した:アクセス拒否。猶予期間なし。移行パスなし。ポリシー変更と壊れたワークフローだけが残った。
開発者コミュニティの反応は予想通りだった。GitHub issueが殺到し、Discordサーバーが炎上し、「Claudeサブスクリプションハックの終焉」といったタイトルのSubstack記事が数時間以内に出回り始めた。Claudeサブスクリプションへの便乗を認証モデル全体の基盤にしていたプロジェクトにとって、これは些細な不便ではなく、存続に関わる脅威だった。
一方、NanoClawユーザーは何も変わったことに気づかなかった。運が良かったからではない。NanoClawは最初からOAuthを使う設計ではなかったからだ。
実際に何が起きたのか
なぜこれが重要だったかを理解するには、Anthropicが潰したハックを理解する必要がある。Claude ProとMaxのサブスクリプションには、Anthropic公式CLIツールであるClaude Codeへのアクセスが含まれている。Claude CodeはOAuthで認証する——一度ログインしてトークンを取得すれば、CLIはそのトークンでAPI呼び出しを行う。トークンは従量制APIキーではなく、サブスクリプションに紐づいている。
開発者たちはすぐに、このOAuthトークンを抽出して他のツールで使えることに気づいた。Anthropic APIでトークン単位の課金を払う代わりに、月額20ドルのClaude Proで無制限のリクエストをサブスクリプショントークン経由で送れたのだ。OpenCodeのようなプロジェクトは、この仕組みを価値提案の中核に据えていた:「APIコストなしでClaudeを使おう」。
経済的なメリットは魅力的だった。ヘビーなClaude APIユーザーなら月に200〜500ドルのトークン代がかかるところ、サブスクリプションハックを使えば同じ使用量が20ドルで済んだ。エージェントスウォームや継続的な自動化を実行するチームにとって、節約額は莫大だった。
Anthropicはこれを数ヶ月間黙認していた。そして2026年1月9日、サブスクリプショントークンが公式クライアント以外で機能しないようサーバーサイドの防御策を展開した。2月19日には正式にポリシー化された。The Registerはこれを「Anthropicが収益モデルを強化」と報じた。開発者コミュニティは裏切りと呼んだ。どちらの表現も正確だった。
NanoClawがリスクにさらされなかった理由
NanoClawの認証モデルは意図的にシンプルだ:.envファイルにANTHROPIC_API_KEYを設定し、そのキーは実行時にstdin経由でエージェントコンテナに渡される。それだけだ。OAuthフローなし、トークン抽出なし、サブスクリプション便乗なし。
これは見落としでも制限でもなく、明確な哲学に基づいた意図的な設計判断だった:他者の価格裁定の上にプロダクトを構築するな。
OAuthハックは常に、いつ執行されてもおかしくないポリシー違反だった。Anthropicの利用規約は、サブスクリプショントークンをサードパーティツールで使用することを明示的に許可したことはなかった。動いていたのは機能ではなく、執行のギャップだった。そのギャップの上にプロダクトを構築するということは、砂の上に建てるということだ。
より深いアーキテクチャ上の理由もある。OAuthトークンはセッションベースで失効可能だ。期限切れになり、サーバーサイドで無効化でき、定期的なリフレッシュフローが必要になる。一方、APIキーはシンプルなベアラートークンで、ローテーションするまで機能し続ける。隔離されたコンテナ内で常時稼働するエージェントにとって、よりシンプルな認証モデルはより信頼性の高いモデルでもある。
NanoClawがエージェントコンテナを起動する際、実行時に.envからAPIキーを読み取り、stdin JSON経由でコンテナプロセスに渡す。キーはコンテナ内のprocess.envに触れることなく、ディスクに書き込まれることもなく、ログに表示されることもない。これはOAuthよりシンプルなだけでなく、より安全だ。侵害されたコンテナがセッショントークンを抽出して他の場所でユーザーになりすますことはできない。セッショントークン自体が存在しないからだ。
OAuth依存プロジェクトへの影響
OAuthハックの上に構築していたプロジェクトは、現在さまざまな段階の危機に陥っている。一部はAPIキー認証に移行した——本質的にNanoClawが初日から使っていたモデルを採用したわけだが、既存ユーザーの移行という追加の苦痛を伴っている。他のプロジェクトは、次の執行ラウンドでブロックされるであろう回避策を模索している。
OpenCodeは代替認証パスを試みる「Antigravity」モードをリリースした。コミュニティの反応は賛否両論で、巧みなエンジニアリングと見る人もいれば、一度失敗した戦略に倍賭けしていると見る人もいる。
より興味深い影響は哲学的なものだ。OAuthハックは、Claudeへのアクセスは定額・無制限であるべきだという期待を開発者の間に生み出した。ハックが死んだ今、開発者たちはAIエージェント運用の実際の経済性に向き合っている:トークンコストは現実であり、使用量に応じてスケールし、近道はない。
これは実はエコシステムにとって健全なことだ。API呼び出しのコストがサブスクリプションハックの裏に隠れていると、開発者は効率を最適化しない。冗長なプロンプトを実行し、キャッシュをスキップし、コスト意識なくエージェントをループさせる。すべてのトークンに価格がつくと、プロンプトエンジニアリング、コンテキストウィンドウ管理、そのエージェントが本当に60秒ごとに実行される必要があるかどうかを考え始める。
今後の展望
Anthropicのポリシー変更は、より広いトレンドの一部だ。AIプロバイダーは持続可能なビジネスモデルを模索する中で、アクセス制御を厳格化している。OpenAIは数ヶ月前からAPIアクセスを制限している。GoogleのGemini APIは更新のたびに使用制限が厳しくなっている。創造的な認証ハックによる無制限AIアクセスの時代は終わりつつある。
AIエージェントを構築する開発者にとって、教訓は明快だ:公式の、ドキュメント化されたチャネルで認証せよ。APIキーを使え。使った分だけ払え。一夜にして消える可能性のある裁定機会ではなく、実際のAPI価格に基づいてコストモデルを構築せよ。
NanoClawのアプローチ——.envに単一のANTHROPIC_API_KEYを置き、実行時にコンテナへ安全に渡す——は刺激的ではない。ハックでもなく、巧妙でもなく、創造的なトークンルーティングでコストを節約するものでもない。しかし昨日も動き、今日も動き、明日も動く。Anthropicが実際にサポートしドキュメント化している認証モデルの上に構築されているからだ。
時に、退屈なアーキテクチャ判断こそが最も長持ちする。2月19日、退屈が勝った。