2 月 19 日的早晨,對大多數基於 Claude 開發的工程師來說一切如常。到了中午,一切都變了。
Anthropic 更新了服務條款,明確禁止在第三方應用程式中使用訂閱制 OAuth token。那些透過 OpenCode、Cline 等工具轉發訂閱憑證的 Claude Pro 和 Max 訂閱者,一覺醒來只看到一條錯誤訊息:存取被拒。沒有緩衝期、沒有遷移方案,就只是一個政策變更和一個壞掉的工作流程。
開發者社群的反應完全在預料之中。GitHub issue 如潮水般湧入,Discord 伺服器炸了鍋,標題像是「Claude 訂閱漏洞的終結」之類的 Substack 文章在幾小時內就開始流傳。對於那些把整個身份驗證模型建立在搭便車 Claude 訂閱之上的專案來說,這不是小小的不便——而是生存危機。
與此同時,NanoClaw 的使用者完全沒有察覺任何變化。不是因為他們運氣好,而是因為 NanoClaw 從一開始就不是設計來使用 OAuth 的。
到底發生了什麼事
要理解這件事為什麼重要,你需要先了解 Anthropic 封殺的那個漏洞。Claude Pro 和 Max 訂閱包含 Claude Code 的使用權限,也就是 Anthropic 的官方 CLI 工具。Claude Code 透過 OAuth 進行身份驗證——你登入一次、取得 token,CLI 就用這個 token 來呼叫 API。這個 token 綁定的是你的訂閱方案,而不是按量計費的 API key。
開發者很快就發現這個 OAuth token 可以被提取出來用在其他工具上。與其透過 Anthropic API 按 token 付費,你可以每月花 20 美元訂閱 Claude Pro,然後透過訂閱 token 轉發無限量的請求。像 OpenCode 這樣的專案就是圍繞這個概念打造整個價值主張的:「不用 API 費用就能使用 Claude。」
這筆帳算起來很誘人。一個重度 Claude API 使用者每月可能花 200 到 500 美元在 token 上。同樣的用量透過訂閱漏洞只要 20 美元。對於跑 agent swarm 或持續自動化的團隊來說,省下的錢非常可觀。
Anthropic 容忍了好幾個月。然後在 2026 年 1 月 9 日,他們部署了伺服器端的防護措施,阻止訂閱 token 在官方客戶端以外的地方使用。2 月 19 日,他們將此正式寫入政策。The Register 報導說 Anthropic 在「鞏固其營收模式」。開發者社群則稱之為背叛。兩種說法都沒錯。
為什麼 NanoClaw 從未受到影響
NanoClaw 的身份驗證模型刻意保持簡單:你在 .env 檔案中設定 ANTHROPIC_API_KEY,這個 key 在執行時透過 stdin 傳遞給 agent 容器。就這樣。沒有 OAuth 流程、沒有 token 提取、沒有搭訂閱的便車。
這不是疏忽或限制——而是基於一個明確理念的有意設計決策:不要把產品建立在別人的價格套利之上。
OAuth 漏洞從來就是一個等待被執行的政策違規。Anthropic 的服務條款從未明確允許在第三方工具中使用訂閱 token。它能用只是因為執行上的漏洞,而不是一個功能。把產品建立在這個漏洞上,就等於建在沙子上。
還有一個更深層的架構原因。OAuth token 是基於 session 的,可以被撤銷。它們會過期、可以在伺服器端被作廢,而且需要定期的 refresh 流程。相比之下,API key 是一個簡單的 bearer token,在你主動輪換之前都能持續使用。對於一個在隔離容器中運行的常駐 agent 來說,更簡單的身份驗證模型同時也是更可靠的。
當 NanoClaw 啟動一個 agent 容器時,它在執行時從 .env 讀取 API key,並透過 stdin JSON 傳遞給容器程序。這個 key 永遠不會碰到容器內的 process.env,永遠不會被寫入磁碟,也永遠不會出現在日誌中。這不只比 OAuth 更簡單——還更安全。一個被入侵的容器無法提取 session token 來冒充使用者,因為根本就沒有 session token。
OAuth 依賴專案的後續影響
那些建立在 OAuth 漏洞上的專案,現在正處於不同程度的危機中。有些已經轉向 API key 身份驗證——本質上就是採用 NanoClaw 從第一天就在用的模型,只是還得承受遷移現有使用者的痛苦。其他的則在探索替代方案,但很可能在下一輪封鎖中被擋下。
OpenCode 發布了一個「Antigravity」模式,試圖使用替代的身份驗證路徑。社群反應褒貶不一——有人認為這是聰明的工程手段,也有人認為這是在一個已經失敗過的策略上加倍下注。
更有趣的後續影響是哲學層面的。OAuth 漏洞讓開發者產生了一種期待:Claude 的使用應該是固定費率且無限量的。現在漏洞被封了,開發者不得不面對運行 AI agent 的真實成本:token 費用是真實存在的,會隨用量增長,而且沒有捷徑可走。
這對整個生態系統其實是健康的。當 API 呼叫的成本被隱藏在訂閱漏洞背後時,開發者不會去優化效率。他們會用冗長的 prompt、跳過快取、讓 agent 在沒有成本意識的情況下不斷循環。當每個 token 都有價格時,你就會開始思考 prompt 工程、context window 管理,以及那個 agent 是否真的需要每 60 秒跑一次。
這對未來意味著什麼
Anthropic 的政策變更是更大趨勢的一部分。AI 供應商在摸索永續商業模式的過程中,正在收緊存取控制。OpenAI 已經限制 API 存取好幾個月了。Google 的 Gemini API 每次更新都有更嚴格的用量上限。透過創意身份驗證漏洞來無限使用 AI 的時代正在結束。
對於開發 AI agent 的工程師來說,教訓很直白:透過官方、有文件記載的管道進行身份驗證。使用 API key。為你的用量付費。根據實際的 API 定價來建立成本模型,而不是根據可能一夜之間消失的套利機會。
NanoClaw 的做法——在 .env 中放一個 ANTHROPIC_API_KEY,在執行時安全地傳遞給容器——一點都不花俏。它不是什麼 hack,不算聰明,也不會透過創意的 token 路由幫你省錢。但它昨天能用、今天能用、明天也能用,因為它建立在 Anthropic 實際支援並有文件記載的身份驗證模型之上。
有時候,最無聊的架構決策反而是最經得起時間考驗的。2 月 19 日那天,無聊贏了。