Google hat zahlende KI-Abonnenten wegen Drittanbieter-Tools gesperrt. Das ist passiert.
Vor vier Tagen haben wir “Anthropic hat Drittanbieter-Tools verboten. Das steckt dahinter.” veröffentlicht. Wir dokumentierten, wie Anthropic OAuth-Tokens aus Abonnements serverseitig blockierte und das Verbot sechs Wochen später auf einer eigenen Rechtsseite formalisierte.
In dem Beitrag erwähnten wir Google kurz: Entwickler hatten OAuth-Tokens aus Googles Antigravity IDE extrahiert und in Drittanbieter-Tools injiziert. Google stufte das als Verstoß gegen die Nutzungsbedingungen ein und verhängte Kontosperren.
Die vollständige Geschichte hatten wir damals nicht. Jetzt schon. Und Google ist ganz anders vorgegangen als Anthropic.
Was ist Antigravity
Zum Hintergrund: Google Antigravity ist Googles KI-gestützte IDE, gestartet im November 2025 zusammen mit Gemini 3. Es ist ein modifizierter Fork von VS Code mit einer „Agent-first”-Architektur, die es Entwicklern ermöglicht, mehrere KI-Agenten gleichzeitig auf Programmieraufgaben anzusetzen. Google bietet es kostenlos in der Public Preview an, mit kostenpflichtigen Stufen: Pro für 200 $/Monat und Ultra für 249 $/Monat mit höheren Nutzungslimits und Premium-Modellen.
Die kostenpflichtigen Stufen authentifizieren sich über OAuth-Tokens gegen Googles Antigravity-Server. Diese Tokens wurden zum Problem.
Die Sperren: 12. Februar
Am 12. Februar 2026 berichtete ein Ultra-Abonnent im offiziellen KI-Entwicklerforum von Google über eine plötzliche Einschränkung seines Kontos, die seit drei Tagen andauerte, ohne jegliche Vorwarnung.
Die einzige Änderung im Workflow: die Verbindung von Gemini-Modellen über OpenClaws OAuth-Integration. Das 249-$-Monatsabonnement wurde sofort eingeschränkt, ohne Erklärung.
Ein Google-Mitarbeiter antwortete innerhalb einer Stunde. Der Vorschlag: das In-App-Feedback-Tool verwenden, um das Problem zu melden.
Die Antwort des Entwicklers:
“I am logged out of my account and I can’t even get into the app!!”
Die Person, die aus ihrem Konto ausgesperrt war, wurde aufgefordert, das Konto zu nutzen, aus dem sie ausgesperrt war, um die Aussperrung zu melden. Das setzte den Ton für alles, was folgte.
Was danach geschah
In der folgenden Woche dokumentierte der Forenthread ein Muster von Support-Versagen.
Tag 4. Der ursprüngliche Verfasser meldete „völlige Stille vom Support” und „null Bestätigung über offizielle Kanäle.”
Weitere Nutzer meldeten sich. Einer beschrieb eine zirkuläre Support-Weiterleitung: Google Cloud Support verwies an Google One Support, der zurück an Google Cloud Support verwies. Ein anderer berichtete von einem im Voraus bezahlten Jahresabonnement, das nun komplett unzugänglich war, und begann, rechtliche Schritte zu prüfen. Andere meldeten die Sperrung innerhalb eines Tages nach der Integration von Drittanbieter-Tools. Ein Nutzer verbrachte eine Woche damit, Screenshots und Aufnahmen an den Google One Support zu senden, ohne Lösung.
Der Support löschte seine eigenen Stellungnahmen. Am 20. Februar berichtete ein Nutzer, dass Googles Vertreter eine kurze Bestätigung zu „403 ToS-Problemen” mit einer Priorisierungsaussage gepostet und den Beitrag innerhalb von Minuten wieder gelöscht hatte. Als der Nutzer mit einer höflichen Nachfrage reagierte, wurde sein Forenkonto gesperrt.
Auch neue Konten wurden gesperrt. Nutzer berichteten, dass das Erstellen neuer Google-Konten für Antigravity sofort zu einer Einschränkung führte. Die Durchsetzung war nicht auf Konten beschränkt, die Drittanbieter-Tools genutzt hatten.
Die Abrechnung lief weiter. Mehrere Nutzer berichteten, dass ihnen 200 bis 250 $ pro Monat für Konten berechnet wurden, auf die sie keinen Zugriff hatten. Automatische Erstattungen gab es nicht.
Ein zweiter Forenthread mit dem Titel „$250/mo Ultra Subscriber Banned Without Warning” bezeichnete es als „systemisches Versagen von Googles Entwickler-Support.”
Googles offizielle Antwort
Fünf Tage nach dem ersten Forenbeitrag und drei Wochen nach Beginn der Sperren teilte Google die Ergebnisse einer Untersuchung mit:
“Use of your credentials within the third-party tool ‘open claw’ for testing purposes constitutes a violation of the Google Terms of Service.”
Die Antwort verwies auf „die Nutzung von Antigravity-Servern zum Betrieb eines Nicht-Antigravity-Produkts” und berief sich auf eine „Null-Toleranz-Richtlinie”, die eine Aufhebung unmöglich mache.
Keine Warnung vor der Sperre. Keine abgestufte Reaktion. Kein Einspruchsweg. Keine Erstattung für die Wochen an Abonnementzahlungen, die von gesperrten Konten eingezogen wurden. Der Vorschlag eines anderen Forennutzers: ein anderes Google-Konto erstellen und von vorn anfangen.
Ein Google-Mitarbeiter auf Hacker News (selbst identifiziert, nicht im Antigravity-Team) stellte später klar, dass nur der Antigravity-Zugang blockiert wurde, nicht die gesamten Google-Konten. Gmail, Drive und andere Google-Dienste der Nutzer blieben zugänglich. Das war eine wichtige Unterscheidung, die Googles offizielle Kommunikation nicht deutlich gemacht hatte, sodass Nutzer vom Schlimmsten ausgingen.
Unterdessen bestätigten betroffene Nutzer auf OpenClaw GitHub, dass die Sperren weitverbreitet waren. OpenClaw-Gründer Peter Steinberger nannte Googles Durchsetzung „ziemlich drakonisch” und kündigte an, die Antigravity-Unterstützung komplett aus OpenClaw zu entfernen, mit der Warnung, Nutzer sollten „vorsichtig sein, wenn sie es einbinden.” Die Maintainer schlossen das Issue letztendlich als „won’t fix” und merkten an, dass „einige Anbieter Nutzungsbedingungen haben, die bei der Verwendung Ihrer Agenten mit diesen Anbietern verletzt werden können.”
Google vs. Anthropic
Beide Unternehmen standen vor derselben Situation: Entwickler nutzten OAuth-Tokens aus Abonnements in Drittanbieter-Tools und umgingen damit die Ratenlimits und Optimierungen, die pauschale Preismodelle tragfähig machen. Beide entschieden sich, dem ein Ende zu setzen. Ihre Ansätze unterschieden sich erheblich.
| Anthropic | ||
|---|---|---|
| Warning | None (server-side block) | None (instant suspension) |
| Enforcement | Error message in API response | Account suspended, no access |
| Account impact | API calls rejected; account intact | Full Antigravity access revoked |
| Billing | Subscription continued normally | Charged for suspended service |
| Support | Acknowledged issues, reversed accidental bans | Circular routing, deleted posts, banned users asking questions |
| Communication | Published legal page 6 weeks later | Forum reply after 3-week investigation |
| Reversal | N/A (accounts never banned) | “Zero tolerance,” no reversal |
| Official stance | ”Nothing changes for normal account usage" | "We cannot reverse the suspension” |
Anthropics Vorgehen war nicht perfekt. Die Blockade im Januar traf ohne Vorwarnung und zerstörte Workflows im gesamten Ökosystem. Aber Anthropic lieferte eine klare Fehlermeldung, ließ Konten intakt, machte versehentliche Sperren rückgängig und veröffentlichte schließlich eine formelle Dokumentation.
Googles Ansatz war in jeder Kategorie härter. Wie ein Hacker News Kommentator es formulierte: „Anthropic had the same problem with Claude Code third-party tools. They communicated first, flagged it, gave people time to adjust.”
Die Tabelle macht die sachlichen Unterschiede deutlich. Die schwierigere Frage ist, ob Googles Ansatz verhältnismäßig war und ob er Googles langfristigen Interessen in einem Markt dient, der sich noch formt.
Die Wirtschaftlichkeit und eine Frage der Verhältnismäßigkeit
Die Nutzung von OAuth-Tokens aus Abonnements außerhalb offizieller Tools verstößt gegen die Nutzungsbedingungen. Das steht nicht zur Debatte. Google hat das Recht, seine Bedingungen durchzusetzen. Jeder Anbieter hat das.
Die Wirtschaftlichkeit ist identisch mit dem, was wir im Anthropic-Beitrag beschrieben haben. Googles Antigravity optimiert Prompt-Caching und Inference-Routing für seinen offiziellen Client. Wenn Anfragen über die offizielle IDE kommen, kann Google Anfragen bündeln, zwischengespeicherte Prefills wiederverwenden und die Parallelität steuern. Drittanbieter-Tools umgehen diese Optimierungen und können die Kosten pro Anfrage um das 5- bis 10-Fache erhöhen. Ein 249-$-Ultra-Abonnement pro Monat wird zutiefst unprofitabel, wenn die Tokens durch Tools fließen, die diese Kostenoptimierungen aushebeln.
Die Frage ist die der Verhältnismäßigkeit und des Timings.
Der KI-Agenten-Markt ist kaum zwei Jahre alt. Preismodelle haben sich nicht stabilisiert. Nutzungsmuster entwickeln sich noch. Die gesperrten Entwickler sind zahlende Abonnenten, die 200 bis 250 $ pro Monat ausgeben und mit einer Technologie experimentieren, die Google selbst als transformativ vermarktet. Es gab alternative Reaktionsmöglichkeiten: Warnungen, Ratenlimits, abgestufte Durchsetzung oder die Zusammenarbeit mit der Community an nachhaltigen Preismodellen. Google entschied sich für permanente Sperren ohne Vorankündigung und ohne Einspruchsmöglichkeit.
Ein Argument für die Sperren ist, dass Drittanbieter-Tools die Prompt-Caching-Optimierungen umgehen und so die Bereitstellungskosten in die Höhe treiben. Aber Prompt-Caching ist kein Geschäftsgeheimnis. Anthropic, OpenAI und Google selbst bieten alle öffentliche Prompt-Caching-APIs an. Wenn die Bereitstellungskosten das eigentliche Problem sind, gibt es kooperative Alternativen: die Caching-Anforderungen dokumentieren, sie über die API durchsetzen, Clients drosseln, die sich nicht daran halten, oder eine Drittanbieter-Zugangsstufe zu nachhaltigen Preisen anbieten. Das sind Standardansätze in Plattform-Ökosystemen. Permanente Sperren ohne Vorwarnung sind es nicht.
Es gibt eine lose historische Parallele. Im Januar 2023 verbot Twitter alle Drittanbieter-Clients über Nacht. Tweetbot, Twitterrific und andere Apps, die über ein Jahrzehnt lang Twitters engagierteste Nutzer bedient hatten, wurden ohne Vorankündigung abgeschaltet. Die Entwickler hinter diesen Apps kehrten nicht zum offiziellen Client zurück. Die Tweetbot-Macher wechselten zu Mastodon und starteten Ivory. Twitterrific-Schöpfer Craig Hockenberry schrieb: „Personally, I’m done.” Twitter hat überlebt, natürlich, und der Entwickler-Exodus hatte viele Ursachen jenseits des API-Verbots. Aber der Präzedenzfall ist bemerkenswert: Die Einschränkung des Drittanbieter-Zugangs hat Twitters Entwickler-Ökosystem nicht gestärkt. Sie hat es verkleinert.
Der KI-Markt unterscheidet sich in wichtigen Punkten von Social Media. Aber das Risiko ist ähnlich: In einem entstehenden Markt, in dem sich die Preise noch nicht stabilisiert haben, könnte eine punitive Durchsetzung gegen zahlende, engagierte Nutzer einige von ihnen zu Alternativen drängen, anstatt zurück ins offizielle Produkt. Und in einem Markt, in dem DeepSeek für 0,25 $ pro Million Tokens läuft und vier der fünf meistgenutzten Modelle auf OpenRouter Open Source sind, sind die Alternativen zugänglicher als je zuvor.
Die wahren Kosten geschlossener Modelle
Beide Sperrwellen teilen eine gemeinsame Annahme: dass Entwickler den Zugang zu einem bestimmten proprietären Modell so dringend brauchen, dass sie die Bedingungen, Preise und Durchsetzungspraktiken des Anbieters akzeptieren. Diese Annahme wird schnell schwächer.
So sieht der Markt heute aus, via OpenRouter:
| Model | Type | Input / Output (per 1M tokens) |
|---|---|---|
| Claude Opus 4.6 | Closed | $5.00 / $25.00 |
| Claude Sonnet 4 | Closed | $3.00 / $15.00 |
| GPT-5.2 | Closed | $2.00 / $14.00 |
| Gemini 3 Pro | Closed | $2.00 / $12.00 |
| Gemini 3 Flash | Closed | $0.50 / $3.00 |
| DeepSeek V3.2 | Open | $0.25 / $0.38 |
| Qwen 3.5 Plus | Open | $0.40 / $2.00 |
| GLM 4.7 | Open | $0.40 / $2.00 |
| Kimi K2.5 | Open | $0.50 / $2.00 |
| MiniMax M2.5 | Open | $0.28 / $1.00 |
| Grok 4.1 Fast | Open | $0.20 / $0.50 |
| Devstral 2 | Open | $0.05 / $0.22 |
DeepSeek V3.2 erreicht etwa 90 % der Programmierleistung von GPT-5 bei einem Fünfzigstel der Kosten. MiniMax M2.1 erzielt 72,5 % auf SWE-bench Multilingual. Devstral 2 erreicht über 73 % auf SWE-bench bei fünf Cent pro Million Eingabe-Tokens. Vier der fünf meistgenutzten Modelle auf OpenRouter sind mittlerweile Open Source.
OpenClaw-Nutzer stimmen bereits mit ihren Tokens ab. OpenRouters Nutzungsdaten für OpenClaw zeigen: Die Top-Modelle nach Volumen sind Kimi K2.5 (867 Mrd. Tokens), Arcee Trinity Large (496 Mrd.), Gemini 3 Flash (438 Mrd.), Step 3.5 Flash (399 Mrd.) und MiniMax M2.5 (365 Mrd.). Vier von fünf sind Open Source. Das einzige geschlossene Modell auf der Liste, Gemini 3 Flash, ist die günstigste Option, die Google anbietet. Entwickler wählen Open-Source-Modelle nicht aus Ideologie. Sie wählen sie, weil die Leistung stimmt und der Preis passt.
Der Preisunterschied zwischen geschlossenen und offenen Modellen ist kein Rundungsfehler. Er beträgt eine Größenordnung. Und mit jeder Sperrwelle wird die Risikoseite der Gleichung ebenfalls schlechter: Proprietäre Modelle tragen das zusätzliche Risiko eines plötzlichen Zugangsentzugs.
Was das für OpenClaw-Nutzer bedeutet
Einige OpenClaw-Nutzer hatten sich über Antigravity OAuth-Tokens mit Gemini-Modellen verbunden. Als Google Anfragen erkannte, die nicht vom offiziellen Antigravity-Client kamen, wurden die Konten dieser Nutzer gesperrt. Steinberger hat seitdem angekündigt, dass er die Antigravity-Unterstützung aus OpenClaw entfernt. Das ist funktional dieselbe Situation, die wir im Anthropic-Beitrag beschrieben haben: Drittanbieter-Tools nutzen OAuth-Tokens aus Abonnements, um auf Modelle zum Pauschalpreis zuzugreifen, und umgehen dabei den offiziellen Client des Anbieters mit seinen eingebauten Kostenkontrollen.
Abonnement-OAuth von jedem Anbieter ist subventionierter Zugang auf geborgter Zeit. Jeder Anbieter wird diesen Weg irgendwann schließen, weil die Wirtschaftlichkeit es verlangt. Anthropic hat ihn im Januar geschlossen. Google hat ihn im Februar geschlossen. Andere werden folgen.
Wenn Sie betroffen waren: Ihr OpenClaw-Agent funktioniert weiterhin. Der Agent selbst, Ihre Konversationen, Ihre Daten, Ihre Automatisierungen: Nichts davon ist an die Art gebunden, wie Sie sich bei einem Modellanbieter authentifizieren. Sie haben zwei Wege.
Bringen Sie Ihre eigenen API-Schlüssel mit. Verbinden Sie sich direkt mit dem Anbieter, der Ihnen das beste Preis-Leistungs-Verhältnis bietet. Basierend auf der Preistabelle oben liefern Open-Source-Modelle über Anbieter wie DeepSeek, Fireworks oder Together Frontier-Level-Programmierleistung zu einem Bruchteil der Kosten. Kein Abonnement, kein Sperrrisiko, Sie zahlen nur für das, was Sie nutzen.
Nutzen Sie Fuel. Dienste wie OpenRouter lösen bereits Multi-Provider-Routing für allgemeine Nutzung. Fuel macht dasselbe, ist aber speziell für OpenClaw-Agenten konzipiert: Wir wählen und aktualisieren das beste Modell für jede Aufgabe basierend auf laufenden Benchmarks, sodass Sie das nicht tun müssen. Es funktioniert als Pay-as-you-go-Skill, den Sie auf jedem OpenClaw-Agenten installieren können, einschließlich vollständig selbst gehosteter.
Drei Erkenntnisse
Zwei große KI-Anbieter haben innerhalb von sechs Wochen den Zugang für Drittanbieter-Tools eingeschränkt:
| Provider | Date | Action |
|---|---|---|
| Anthropic | January 9, 2026 | Blocked subscription OAuth in third-party tools |
| ~February 9, 2026 | Suspended Antigravity accounts using third-party OAuth | |
| February 17, 2026 | Confirmed “zero tolerance policy,” no reversal | |
| Anthropic | February 19, 2026 | Published formal legal page codifying the ban |
Wenn Sie auf Abonnement-OAuth von irgendeinem Anbieter bauen, ist es vernünftig anzunehmen, dass ähnliche Durchsetzung kommt.
-
Hören Sie auf, OAuth-Tokens aus Abonnements in Drittanbieter-Tools zu verwenden. Das gilt für jeden Anbieter, nicht nur für Anthropic und Google. Abonnement-OAuth ist subventionierter Zugang, und jeder Anbieter wird ihn irgendwann schützen. Wechseln Sie zu API-Schlüsseln oder einem verwalteten Dienst wie Fuel, bevor Ihr Konto markiert wird.
-
Berücksichtigen Sie den Durchsetzungs-Präzedenzfall. Googles Reaktion umfasste sofortige permanente Sperren, fortlaufende Abrechnung während der Sperre und begrenzte Support-Möglichkeiten. Wenn Sie auf den KI-Stack eines Anbieters bauen, berücksichtigen Sie, wie dieser Anbieter mit Richtlinienstreitigkeiten umgeht, nicht nur wie seine Modelle performen.
-
Open-Source-Modelle haben aufgeholt, und sie können nicht widerrufen werden. DeepSeek V3.2 liefert bei 0,25 $ pro Million Eingabe-Tokens 90 % der Frontier-Leistung. Kein Anbieter kann einem MIT-lizenzierten Modell den Stecker ziehen. Kombinieren Sie offene Modelle mit einem anbieteragnostischen Setup, ob eigene API-Schlüssel oder ein Routing-Dienst wie Fuel, und die nächste Sperrwelle wird irrelevant.
Die KI-Branche folgt einem vorhersehbaren Pfad: offener Zugang in der Frühphase, um Ökosysteme aufzubauen, dann Einschränkungen, sobald die Wirtschaftlichkeit zuschlägt. Die Frage für jeden Entwickler und jedes Team ist einfach: Haben Sie auf Boden gebaut, den Sie kontrollieren, oder auf Boden, der Ihnen ohne Vorwarnung entzogen werden kann?