文章总结： 本文探讨安全行业按token收费模式将引发的价值重估，指出该模式从拥有能力转向消费结果的本质变化。文章预测四类对象将被淘汰：客户低频使用的产品、依赖客户自行完成结果的厂商、无法定义单次价值的企业，以及依赖信息不透明盈利的模式。最终胜出者将是能将安全能力拆解为可调用、可计量、高频使用且对结果负责的公司。 综合评分： 85 文章分类： 安全运营,安全建设,解决方案,安全工具,其他

---

当安全开始按Token收费，谁会被淘汰？

原创

T先生 MrT T先生 MrT

T先生 Mr.Think

2026年4月16日 21:28 北京

在小说阅读器读本章

去阅读

当安全开始按Token收费，谁会被淘汰？

真正危险的，不是收费方式变了。 真正危险的是：很多安全产品，第一次要为“真实使用”负责了。

这几年，安全行业一直在努力做一件事： 把自己从“项目制”往“订阅制”里拉。

大家都知道，项目制不好。 收入不稳定、交付太重、客户关系短、复购弱、估值也不好看。 所以越来越多厂商开始讲平台化、SaaS化、订阅化、持续运营。

但现在，一个更大的变化来了：

如果安全进入“智能体时代”，收费模式很可能不只是年费，而是进一步走向 Token / 调用量 / 使用量 计费。

很多人第一反应是： 这不就是换个计费方式吗？

不是。

这不是财务模型的小调整，这是安全行业的一次价值重估。

因为当安全开始按Token收费，行业里大量“卖了但没怎么用”、“买了但没产生结果”、“上线了但没有持续价值”的东西，会第一次被迫接受最残酷的审视：客户到底有没有真的在用你？你每一次被调用，值不值这笔钱？

而一旦问题变成这个样子，行业就不是“谁更会讲故事”，而是“谁更能持续创造可计量的价值”。

到那时，一批公司会被放大， 也会有一批公司，被快速边缘化，甚至被淘汰。

当然，也有新星会快速的冉冉升起，占据市场高地。

---

#

01

一、Token收费，表面上是计费变化，本质上是价值逻辑变化

#

先把一件事说清楚。

传统订阅制，本质上卖的是：“你拥有这项能力的使用权。”

而Token收费卖的是：“你实际调用了多少次能力，消耗了多少智能处理，产生了多少结果。”

这两者看起来都叫“持续付费”，但底层逻辑完全不同。

订阅制时代，厂商可以说：

• 你买的是平台
• 你买的是能力底座
• 你买的是持续更新
• 你买的是长期保障

客户即便用得不深，用得不频繁，只要预算还在，合同还有可能续。

但Token时代不是这样。

Token模式会追着问一句最致命的话：如果客户不调用你，你还值多少钱？

这个问题，会让很多安全公司非常难受。

因为在过去很长时间里，很多安全产品的商业成功，并不完全建立在“高频使用”上，而是建立在：

• 合规采购
• 预算占坑
• 平台建设
• 技术先进感
• 大而全叙事
• “先买了再说”的组织决策

但按Token收费之后，“先买了再说”这件事本身会失效。

因为不用，就没有收入。 调用少，收入就少。 调用后觉得不值，下个月就立刻减少。

这不是小变化。 这是安全商业逻辑第一次从“拥有能力”转向“消费结果”。

---

02

二、第一个会被淘汰的：那些“卖了但没人用”的安全产品

#

#

安全行业里有一类产品，过去一直活得不错。

它们有预算属性，有平台属性，有采购合理性，也有技术解释空间。 上线时看起来很重要，汇报时也很好讲，架构图里永远占一个核心位置。

但真实情况是：

客户买了，不代表客户在高频使用。

有些产品的命运你很熟悉：

• 买的时候是核心平台
• 上线的时候很隆重
• 培训的时候大家都来了
• 三个月后只有一两个人偶尔登录
• 一年后只有续费前才想起来看一下

在订阅制时代，这类产品还可以活。 因为“存在”本身就能构成一部分价值。

但到了Token时代，这类产品会非常危险。

为什么？

因为Token模式会把一个过去可以被模糊处理的问题，直接摆到台面上：

客户到底有没有真的在依赖你完成工作？

如果答案是否定的，那你就不是一个“被消费的能力”，你只是一个“被买过的资产”。

而未来最先被市场抛弃的，恰恰就是这种东西。

不是它完全没价值， 而是它的价值不够频繁、不够显性、不够刚需， 以至于无法支撑按使用付费。

说得更狠一点：

所有“装上就行、用不用都差不多”的安全产品，都会在Token时代掉下神坛。

---

03

三、第二个会被淘汰的：那些“结果全靠客户自己完成”的厂商

#

#

安全智能体为什么会推动Token模式？

因为它把交付单位从“工具”变成了“任务完成”。

过去客户买安全产品，本质上买的是一套工具：

• 给你一个告警平台
• 给你一个策略引擎
• 给你一个检测能力
• 给你一个分析视图

但最终能不能产生效果，很大程度上还依赖客户自己：

• 自己看告警
• 自己做判断
• 自己写策略
• 自己排查资产
• 自己跟进事件
• 自己做闭环

也就是说，很多厂商过去卖的，其实不是“结果”，而是“做结果的条件”。

这套逻辑在工具时代没有问题。 但到了Agent时代，客户会越来越不耐烦。

因为他会开始问：

• 你到底是给我一个工具，还是直接帮我把告警分析掉？
• 你到底是让我自己写规则，还是你能自动生成和优化？
• 你到底是让我自己查，还是你能直接做研判和溯源？
• 你到底是卖软件，还是卖完成度？

一旦客户的预期从“有工具”变成“有结果”， 那些仍然停留在“能力展示型”“平台陈列型”“工具箱型”的厂商，就会被迅速甩开。

原因很简单：

Token只会奖励“做成了什么”，不会奖励“提供了多少界面和模块”。

如果每次调用之后，客户还要投入大量人工去完成真正的工作， 那你这个“调用”本身就不值钱。

---

04

四、第三个会被淘汰的：那些无法定义“单次价值”的公司

#

#

Token模式有个非常残酷的要求：

你必须把自己的价值拆成一次次可计量、可调用、可定价的动作。

比如：

• 一次告警研判
• 一次恶意样本分析
• 一次暴露面扫描
• 一次策略生成
• 一次主机异常排查
• 一次合规报告生成

这些都属于相对容易被定义的“单次价值”。

但问题来了。

行业里很多公司，长期以来卖的是一种很宏大的叙事：

• 整体安全体系
• 全栈安全能力
• 一体化运营平台
• 全生命周期防护
• 综合安全中台

这些说法在卖平台的时候很有用， 在写方案、做汇报、做招投标时也很好使。 但一旦进入Token世界，它们会立刻碰到一个问题：

请问，你到底在按什么收费？

客户不会为“宏大叙事”买Token。 客户只会为“具体动作”和“清晰结果”买Token。

这意味着什么？

意味着未来安全公司的价值表达方式会被迫重构。

不是你不能讲平台， 而是你必须能把平台拆解为一连串可消费的能力单元。

谁拆不出来，谁就会掉队。

因为当市场开始按调用付费时， “概念型公司”会比“结果型公司”更先失去议价权。

---

05

五、第四个会被淘汰的：那些依赖“信息不透明”赚钱的模式

#

#

坦白说，过去安全行业里有一些收入，是建立在“客户很难衡量你到底做了多少、做得值不值”之上的。

比如有些服务，客户只能模糊地感觉：

• 好像有人在维护
• 好像有人在看告警
• 好像系统一直在运行
• 好像每月都有报告
• 好像团队一直在支持

这种模式在传统服务时代可以成立， 因为安全本来就有一定“黑箱属性”。 客户知道自己需要安全，但不一定能精确评估每一份工作量。

可Token模式会天然要求更高透明度：

• 这次调用做了什么？
• 花了多少Token？
• 解决了什么问题？
• 相比人工省了多少时间？
• 相比其他方案效果差异是什么？

也就是说，模糊价值会越来越难收费，清晰价值会越来越容易收费。

这对真正做事的公司是好事。 但对那些长期依靠“安全很复杂，客户看不懂”来维持高毛利的模式，是坏事。

因为市场最终会把问题简化成一句：

你这一笔调用，到底替我完成了什么？

回答不出来，就会被替代。 回答得不够好，就会被压价。 回答得越清楚，越有可能放大收入。

---

06

六、Token时代，真正会赢的，不是“模型公司”，而是“结果公司”

#

#

这里也要破一个迷思。

很多人一谈安全智能体，就以为未来赢家一定是谁模型更大、谁参数更多、谁Agent框架更新。

这不一定。

在安全场景里，客户最终不会为“大模型”付费， 客户会为“安全结果”付费。

他不关心你背后调了几个模型，串了几层链路，做了多少推理。 他真正关心的是：

• 告警是不是更准了
• 误报是不是更少了
• 分析是不是更快了
• 响应是不是更及时了
• 人是不是能少干很多重复活了
• 风险是不是被更早发现了

所以，Token时代的竞争，不会只是AI能力竞争， 更是安全结果工程能力竞争。

谁能把模型、规则、数据、流程、上下文、处置动作，真正编排成客户愿意反复调用的结果，谁就能活下来。

而那些只是“把大模型接进产品里”就开始讲Agent故事的公司， 很快会发现：

接了模型，不等于能收费； 能演示，不等于能被持续调用； 能回答，不等于能在安全现场里负责任。

---

07

七、真正危险的不是小公司，而是“中间层公司”

#

#

很多人会以为，Token时代最危险的是小厂商。

不一定。

真正危险的，反而可能是那些过去靠“平台整合”“能力拼装”“模块齐全”活得还不错的中间层公司。

为什么？

因为它们的价值最容易被上下两头挤压。

往下，基础能力越来越商品化：

• 日志处理
• 基础检测
• 常规分析
• 报告生成
• 一般性策略建议

这些会越来越被模型和自动化吃掉，价格越来越透明。

往上，真正能拿到高价值Token的，是那些能直接对业务结果负责的能力：

• 高质量威胁研判
• 高可信攻击调查
• 自动化闭环响应
• 面向业务的风险决策支持

中间那一层最尴尬：

• 有平台，但不够刚需
• 有功能，但不够高频
• 有能力，但不够结果化
• 有客户，但不够深度绑定

在订阅时代，这类公司还可以靠“平台位”活着。 在Token时代，它们会发现自己的位置变得非常危险：

往下比不过低成本自动化， 往上比不过高价值结果交付。

这才是真正的生死线。

---

08

八、所以，谁不会被淘汰？

#

#

说了这么多“谁会被淘汰”，也要说一句更重要的：

Token时代，真正能活下来的，会有非常清晰的共性。

1. 能把安全能力拆成可调用单元的公司

不是卖一个大平台，而是把能力做成一个个可消费的动作。

2. 能对结果负责的公司

不是“我给你一个工具”，而是“我帮你完成一项工作”。

3. 能被高频使用的公司

调用频率越高，说明价值越嵌入流程，收入就越稳定。

4. 能证明ROI的公司

每一笔Token消耗，都能解释清楚省了什么、做成了什么、替代了什么。

5. 能把人机协同做好的公司

安全不可能完全无人化，但谁能让机器做80%的重复劳动、人聚焦20%的高价值判断，谁就能真正放大商业价值。

说到底，Token时代奖励的是一种能力：

把“安全很重要”这件事，变成“这一次调用真的很值”。

---

09

九、结语：Token淘汰的不是安全公司，而是所有“假价值”

#

#

最后说一句最核心的判断。

当安全开始按Token收费， 真正被淘汰的，不是某一种产品形态，也不是某一类厂商标签。

被淘汰的，是那些不能被清晰使用、不能被明确计量、不能被持续证明的价值。

过去，行业还允许很多模糊地带存在：

• 买了但少用
• 用了但没结果
• 有系统但没闭环
• 有平台但没依赖
• 有功能但没频率

未来，这些空间会越来越小。

因为Token模式会把所有问题都压缩成一句最直接的话：

客户到底愿不愿意，为这一次能力调用付钱？

如果愿意，你就是真价值。 如果不愿意，再宏大的叙事也只是包装。

所以，与其问“当安全开始按Token收费，谁会被淘汰”， 不如问一句更扎心的：

如果明天你的客户不再按年买单，而是按结果调用付费， 你现在的产品，还能活下来吗？

---

#

#

#

#

关于 T先生  Mr.T

使命：让安全更简单

Mr.T，

是Trend、Tech、Think，

是对趋势、技术的思考；

是对产品、行业的思考；

也是甲乙方不同思维的思考和碰撞。

网络信息安全的洞察和认知，

多维工作经历的提炼和升华。

#

#

#

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：T先生 Mr.Think T先生 MrT T先生 MrT《当安全开始按Token收费，谁会被淘汰？》