Poranek 19 lutego zaczął się normalnie dla większości deweloperów budujących na Claude. Do lunchu — już nie.
Anthropic zaktualizował warunki korzystania z usługi, wyraźnie zabraniając używania tokenów OAuth opartych na subskrypcji w aplikacjach firm trzecich. Subskrybenci Claude Pro i Max, którzy kierowali swoje dane uwierzytelniające przez narzędzia takie jak OpenCode, Cline i dziesiątki mniejszych projektów, obudzili się z jednym komunikatem błędu: odmowa dostępu. Bez okresu przejściowego. Bez ścieżki migracji. Tylko zmiana polityki i zepsuty workflow.
Społeczność deweloperów zareagowała przewidywalnie. Zgłoszenia na GitHub posypały się lawinowo. Serwery Discord zapłonęły. Posty na Substacku z tytułami w stylu „Koniec hacka na subskrypcję Claude" zaczęły krążyć w ciągu kilku godzin. Dla projektów, które zbudowały cały model uwierzytelniania na podpinaniu się pod subskrypcje Claude, to nie była drobna niedogodność — to było zagrożenie egzystencjalne.
Użytkownicy NanoClaw tymczasem nie zauważyli żadnej zmiany. Nie dlatego, że mieli szczęście, ale dlatego, że NanoClaw nigdy nie był zaprojektowany do korzystania z OAuth.
Co tak naprawdę się stało
Żeby zrozumieć, dlaczego to miało znaczenie, trzeba poznać hack, który Anthropic uśmiercił. Subskrypcje Claude Pro i Max obejmują dostęp do Claude Code, oficjalnego narzędzia CLI od Anthropic. Claude Code uwierzytelnia się przez OAuth — logujesz się raz, dostajesz token, a CLI używa tego tokena do wywołań API. Token jest powiązany z subskrypcją, nie z mierzonym kluczem API.
Deweloperzy szybko zorientowali się, że ten token OAuth można wyciągnąć i użyć w innych narzędziach. Zamiast płacić za token przez Anthropic API, można było zapłacić stałe 20$/miesiąc za Claude Pro i kierować nieograniczone żądania przez token subskrypcyjny. Projekty takie jak OpenCode zbudowały na tym całą swoją propozycję wartości: „Używaj Claude bez kosztów API."
Ekonomia była kusząca. Intensywny użytkownik Claude API mógł wydawać 200-500$/miesiąc na tokeny. To samo użycie przez hack subskrypcyjny kosztowało 20$. Dla zespołów uruchamiających roje agentów lub ciągłą automatyzację oszczędności były ogromne.
Anthropic tolerował to przez miesiące. Potem, 9 stycznia 2026 roku, wdrożyli zabezpieczenia po stronie serwera, które blokowały tokeny subskrypcyjne poza oficjalnymi klientami. 19 lutego uczynili to oficjalną polityką. The Register opisał to jako „wzmacnianie modelu przychodowego" przez Anthropic. Społeczność deweloperów nazwała to zdradą. Oba opisy były trafne.
Dlaczego NanoClaw nigdy nie był zagrożony
Model uwierzytelniania NanoClaw jest celowo prosty: ustawiasz ANTHROPIC_API_KEY w pliku .env, a ten klucz jest przekazywany do kontenerów agentów w czasie wykonania przez stdin. To wszystko. Żadnego flow OAuth, żadnego wyciągania tokenów, żadnego podpinania się pod subskrypcje.
To nie było przeoczenie ani ograniczenie — to była świadoma decyzja projektowa zakorzeniona w konkretnej filozofii: nie buduj na cudzym arbitrażu cenowym.
Hack OAuth zawsze był naruszeniem polityki czekającym na egzekucję. Warunki korzystania z usługi Anthropic nigdy wyraźnie nie zezwalały na używanie tokenów subskrypcyjnych w narzędziach firm trzecich. Fakt, że to działało, był luką w egzekucji, nie funkcją. Budowanie produktu na tej luce oznaczało budowanie na piasku.
Jest też głębszy powód architektoniczny. Tokeny OAuth są sesyjne i odwołalne. Wygasają, mogą być unieważnione po stronie serwera i wymagają okresowego odświeżania. Klucz API natomiast to prosty token okaziciela, który działa, dopóki go nie zrotujesz. Dla zawsze włączonego agenta działającego w izolowanych kontenerach prostszy model uwierzytelniania jest też bardziej niezawodny.
Kiedy NanoClaw uruchamia kontener agenta, odczytuje klucz API z .env w czasie wykonania i przekazuje go do procesu kontenera przez stdin JSON. Klucz nigdy nie trafia do process.env wewnątrz kontenera, nigdy nie jest zapisywany na dysku i nigdy nie pojawia się w logach. To nie jest tylko prostsze niż OAuth — to jest bezpieczniejsze. Skompromitowany kontener nie może wyciągnąć tokena sesji i użyć go do podszywania się pod użytkownika gdzie indziej, bo żadnego tokena sesji nie ma.
Konsekwencje dla projektów zależnych od OAuth
Projekty, które zbudowały się na hacku OAuth, są teraz na różnych etapach kryzysu. Niektóre przeszły na uwierzytelnianie kluczem API — w zasadzie adoptując model, którego NanoClaw używa od pierwszego dnia, ale z dodatkowym bólem migracji istniejących użytkowników. Inne eksplorują obejścia, które prawdopodobnie zostaną zablokowane w następnej rundzie egzekucji.
OpenCode wypuścił tryb „Antigravity", który próbuje używać alternatywnych ścieżek uwierzytelniania. Reakcja społeczności była mieszana — jedni widzą w tym sprytną inżynierię, inni widzą podwajanie stawki na strategii, która już raz zawiodła.
Ciekawsze konsekwencje mają charakter filozoficzny. Hack OAuth stworzył wśród deweloperów oczekiwanie, że dostęp do Claude powinien być ryczałtowy i nieograniczony. Teraz, gdy hack nie żyje, deweloperzy konfrontują się z rzeczywistą ekonomią uruchamiania agentów AI: koszty tokenów są realne, skalują się z użyciem i nie ma na nie skrótu.
To jest właściwie zdrowe dla ekosystemu. Kiedy koszt wywołań API jest ukryty za hackiem subskrypcyjnym, deweloperzy nie optymalizują pod kątem wydajności. Uruchamiają rozwlekłe prompty, pomijają cache i pozwalają agentom zapętlać się bez świadomości kosztów. Kiedy każdy token ma cenę, zaczynasz myśleć o prompt engineeringu, zarządzaniu oknem kontekstu i o tym, czy ten agent naprawdę musi działać co 60 sekund.
Co to oznacza na przyszłość
Zmiana polityki Anthropic jest częścią szerszego trendu. Dostawcy AI zaostrzają kontrolę dostępu, szukając zrównoważonych modeli biznesowych. OpenAI ogranicza dostęp do API od miesięcy. API Gemini od Google ma limity użycia, które stają się coraz bardziej restrykcyjne z każdą aktualizacją. Era nieograniczonego dostępu do AI przez kreatywne hacki uwierzytelniania dobiega końca.
Dla deweloperów budujących agentów AI lekcja jest prosta: uwierzytelniaj się przez oficjalne, udokumentowane kanały. Używaj kluczy API. Płać za to, czego używasz. Buduj model kosztowy wokół rzeczywistych cen API, a nie okazji arbitrażowych, które mogą zniknąć z dnia na dzień.
Podejście NanoClaw — pojedynczy ANTHROPIC_API_KEY w .env, bezpiecznie przekazywany do kontenerów w czasie wykonania — nie jest ekscytujące. To nie jest hack, nie jest sprytne i nie oszczędza pieniędzy przez kreatywne przekierowywanie tokenów. Ale działało wczoraj, działa dziś i będzie działać jutro, bo jest zbudowane na modelu uwierzytelniania, który Anthropic faktycznie wspiera i dokumentuje.
Czasem nudna decyzja architektoniczna jest tą, która starzeje się najlepiej. 19 lutego wygrała nuda.