Cuộc đua an ninh mạng bằng AI đang xuất hiện một biến số mới: chi phí token. Sau khi Anthropic công bố kết quả đánh giá đối với Claude Mythos Preview, giới công nghệ bắt đầu tranh luận liệu bên phòng thủ có buộc phải chi ngân sách token lớn hơn cả hacker để giữ an toàn cho hệ thống hay không.

Theo Gigazine ngày 20/4/2026, tranh luận này bùng lên sau khi Anthropic thông báo hôm 7/4 rằng họ đã cung cấp Claude Mythos Preview cho một số công ty phát triển phần mềm chủ chốt. Ban đầu, chuyên gia công nghệ Drew Breunig tỏ ra thận trọng với những đánh giá tích cực dành cho mô hình này. Theo ông, trong lĩnh vực an ninh mạng, việc AI có thực sự phát hiện được lỗ hổng hay không là điều tương đối dễ kiểm chứng, trong khi việc cấp nhiều token hơn cũng có thể tạo ra những kết quả nổi bật.

Tuy nhiên, Viện An ninh AI của Anh (AISI) sau đó nhận định Claude Mythos Preview “đã vượt lên trên các mô hình hiện có về hiệu năng trong lĩnh vực an ninh mạng”.

Điểm khiến Breunig đặc biệt chú ý là bài kiểm tra mang tên “The Last Ones”, mô phỏng toàn bộ quy trình tấn công vào một mạng doanh nghiệp. Bài kiểm tra gồm 32 nhiệm vụ, từ khâu thu thập thông tin đến giành quyền kiểm soát toàn bộ hệ thống mạng, với sự tham gia của Claude Mythos Preview, GPT-5.4 và nhiều mô hình khác.

Quy mô thử nghiệm khá lớn. Mỗi lượt chạy được phép sử dụng tối đa 100 triệu token. Trong giới hạn này, chỉ Claude Mythos Preview hoàn thành toàn bộ 32 nhiệm vụ. Mô hình này làm được điều đó 3 lần trong 10 lượt thử. Theo AISI, ở một số trường hợp, hiệu quả của Claude Mythos Preview thậm chí chưa cho thấy dấu hiệu chững lại ngay cả khi đã chạm ngưỡng 100 triệu token.

Từ đây, bài toán chi phí bắt đầu được đặt ra rõ hơn. Anthropic niêm yết mức giá 25 USD cho mỗi 1 triệu token đầu vào và 125 USD cho mỗi 1 triệu token đầu ra. Với điều kiện thử nghiệm nêu trên, chi phí cho 10 lượt chạy, mỗi lượt tối đa 100 triệu token, có thể lên tới khoảng 12.500 USD. Breunig từ đó cho rằng bên phòng thủ có thể sẽ phải dùng nhiều token hơn để tìm lỗ hổng trước khi hacker kịp khai thác.

Theo Breunig, cách nhìn này có thể ảnh hưởng trực tiếp đến quy trình phát triển phần mềm. Trong môi trường các AI agent tham gia viết mã, công việc có thể được chia thành ba bước: phát triển, rà soát và tăng cường an toàn. Ông cho rằng giai đoạn xây dựng tính năng thường vẫn bị giới hạn bởi phán đoán của con người và phản hồi từ người dùng. Ngược lại, giai đoạn phát hiện và loại bỏ lỗ hổng chủ yếu lại phụ thuộc vào ngân sách. Nói cách khác, chi phí viết mã có thể tiếp tục giảm, nhưng chi phí để biến mã nguồn thành sản phẩm an toàn sẽ hình thành một cấu trúc riêng.

Một số ý kiến vì vậy cho rằng doanh nghiệp nên giảm phụ thuộc vào bên thứ ba và tự triển khai trực tiếp các chức năng cần thiết bằng mô hình ngôn ngữ lớn (LLM). Dù vậy, Breunig cho rằng điều này không đồng nghĩa với việc phải lập tức loại bỏ mọi phụ thuộc. Theo ông, nếu doanh nghiệp sẵn sàng chi đủ token để kiểm toán các thư viện mã nguồn mở, mức độ an toàn thậm chí có thể cao hơn so với việc tự xây dựng từng thành phần.

Tuy nhiên, ông cũng lưu ý rằng các dự án mã nguồn mở phổ biến vốn là mục tiêu có giá trị đối với hacker. Vì vậy, nếu bên phòng thủ tăng đầu tư, phía tấn công cũng có thể nâng mức chi tương ứng, khiến ngân sách token trở thành một biến số quan trọng trong cuộc đua này.

Phản ứng từ thị trường và cộng đồng lập trình viên hiện vẫn trái chiều. Trên Hacker News, một số ý kiến cho rằng còn quá sớm để khái quát rằng “phòng thủ cần nhiều token hơn tấn công” chỉ từ kết quả đánh giá của AISI. Theo họ, cần xem xét thêm các biện pháp khác, chẳng hạn các phương pháp kiểm chứng hình thức (formal verification).

Ở chiều ngược lại, cũng có quan điểm cho rằng bên phòng thủ có thể định kỳ gom toàn bộ mã nguồn cùng các thay đổi để kiểm tra tập trung, qua đó vận hành hiệu quả hơn hacker và thậm chí cải thiện mức độ an toàn của phần mềm.

Bản thân AISI cũng chỉ ra giới hạn của đợt đánh giá lần này. Theo cơ quan này, bài kiểm tra được thực hiện trong điều kiện AI không bị đặt vào thế bất lợi ngay cả khi thực hiện các hành vi có thể kích hoạt cảnh báo bảo mật. Vì vậy, chưa thể kết luận liệu các công cụ bảo mật chủ động và đội ngũ an ninh có thể tấn công thành công những hệ thống thực tế đã được phòng vệ tốt hay không.

Dù vậy, tranh luận cốt lõi đã trở nên rõ ràng hơn: trong an ninh mạng dùng AI, lợi thế có thể không chỉ nằm ở chất lượng mô hình, mà còn ở khả năng chi trả cho token và hạ tầng vận hành.