Token生意：AI时代的"石油"与"地雷"

中国日均Token调用量突破140万亿，DeepSeek V4把缓存命中价格打到$3.6/十亿tokens，GitHub Copilot从订阅转向按量计费——当"词元"成为结算单位，一场重塑AI产业链的计量革命正在发生。但在这门万亿生意背后，Token也可能是攻击者替你买单的"地雷"。

从"卖算力"到"卖智力"

2026年3月，国家数据局披露了一组惊人数据：中国日均Token调用量突破140万亿，较2024年初的1000亿增长超1000倍。仅豆包一个大模型，日均调用量就超过120万亿。

这不仅是量的爆发，更是商业范式的质变。

蒸汽时代计量马力，电气时代计量度电，云计算时代计量CPU时——这些计量的都是资源消耗。而Token同时计量"输入理解"与"输出生成"，天然与任务复杂度挂钩。Anthropic联合创始人直言："AI能力终将像电力一样按使用量计费，而Token就是那个电表。"

阿里成立了Alibaba Token Hub独立事业群，腾讯云升级全域TokenHub平台，字节跳动两度上调MaaS业务收入目标。巨头争的不是模型本身，而是AI时代的计量标准制定权。

DeepSeek的"结构性降本"

4月24日，DeepSeek V4上线。表面看又是一次降价，但本质完全不同。

DeepSeek将KV缓存命中输入价格降至$3.6/十亿tokens，与GPT-5.5 Pro的输入价格$30/百万tokens相差17倍，输出价格相差52倍。这不是简单的token单价竞争，而是针对智能体场景的结构性降本。

智能体进入多轮交互范式后，上下文长度随轮次迅速膨胀，但每轮新增需计算的token极少——95%都是缓存命中。DeepSeek的DualPath推理系统精准命中了这个痛点：让开发者跑智能体任务时，成本不再被重复加载的上下文击穿。

GitHub Copilot打响了第一枪——6月1日起全面转向按量计费（"GitHub AI积分"），本质上就是API调用付费保留了订阅外壳。Cursor、智谱Coding Plan紧随其后，从固定配额转向按模型和任务复杂度加权的积分池。

订阅模式正在被智能体经济击穿。 当Agent 7×24小时持续调用，套餐制下重度用户靠轻度用户补贴的逻辑彻底崩塌——模型厂商反而承担了比按量付费更高的成本。

Token消耗的冰与火

但Token生意的繁荣背后，有两组数据值得警惕：

第一，消耗增速远超货币化增速。 递归协作推理架构可使Token使用量减少34.6%~75.6%，同时准确率提升8.3%。Token消耗绝对增长会被效率提升部分对冲，营收增速可能低于调用量增速。

第二，高消耗尚未转化为高毛利。 中国AI应用ARPU仅为美国的1/3~1/4。日均140万亿Token中大部分来自豆包等AI视频生成——一分钟720p AI视频消耗超100万token，是普通对话的5000倍——但视频生成的货币化路径尚未清晰。

Token消耗量在不区分场景属性的前提下，是可能被高估的价值信号。

Token地雷：当攻击者替你花钱

更少人关注的是：Token不仅是"石油"，也可能是"地雷"。

TokenFence的最新研究揭示了一个被大多数团队忽略的风险维度——Prompt Injection不仅威胁安全，还威胁预算。攻击者无需支付账单，却能通过三种机制榨取受害者的Token预算：

• 模型升级注入
  ：欺骗路由逻辑，迫使系统调用GPT-4o/Claude Opus等昂贵模型
• 上下文膨胀
  ：迫使Agent加载不必要的数据，Token成本成倍增加
• 循环诱导
  ：创建循环工具调用，持续燃烧Token直到触及速率限制

最可怕的是多Agent级联攻击：Agent A携带恶意载荷调用Agent B，B再调用C，5个Agent级联使用GPT-4o可以在几分钟内烧掉$1,000+。

而传统安全工具监控数据渗出、未授权访问和策略违规——完全忽略Token成本信号。攻击者可以抽干你的预算，而每个安全仪表盘都显示绿色。

成本异常就是安全信号。 当请求成本达到中位数的10倍时，意味着发生了异常——生产环境中的"异常"通常不是Bug就是攻击。

预防的成本为零，后悔的成本由攻击者替你决定。 为每个Agent设置预算上限、将"每请求成本"作为安全指标、设置3倍中位数告警——这些措施几乎零成本，却能把年度攻击损失从3万美元降到接近零。

三个判断

第一，Token计费将取代订阅制成为主流。 不是因为厂商想按量收费，而是因为智能体7×24小时运行的成本结构让订阅模式不可持续。GitHub Copilot的转型只是开始。

第二，推理端国产芯片是最确定的近期投资机会。 2026年国产GPU市场份额达45%，推理端国产化进展明显快于训练端。推理专用芯片不需要追赶英伟达Blackwell训练性能，只需满足特定模型高并发推理吞吐。

第三，Token成本安全是下一个被忽视的战场。 当企业把Token当"石油"一样采购，却没装"油表"——没有每请求预算上限、没有成本异常告警、没有模型路由锁定——就是在邀请攻击者替你花钱。安全团队应该把"每请求Token成本"加入监控面板，和CPU、内存、网络并列。

Token正在从技术概念变成经济概念，再变成安全概念。当140万亿个"词元"每天在中国流转，谁掌握了计量标准，谁就掌握了定价权；谁忽视了成本安全，谁就替攻击者买了单。

作者：James | 数据来源：国家数据局, DeepSeek, TokenFence, 快思慢想研究院