Ngày 25/05 có hai diễn biến đáng chú ý với bất kỳ đội ngũ nào đang sử dụng API: DeepSeek chính thức hóa mức giá API thấp nhất thị trường, tạo ra khoảng cách chi phí khó thu hẹp với phần lớn đối thủ phương Tây; trong khi đó, Aikido Security phát hiện lỗ hổng trong quy trình thu hồi API key của Google Gemini.
1. DeepSeek cắt giá API vĩnh viễn: output token rẻ hơn GPT-5.5 gần 35 lần
Đây không phải gia hạn khuyến mãi. DeepSeek xác nhận mức giảm 75% trên V4 Pro là mức giá vĩnh viễn, thay vì kết thúc vào ngày 31/5 như kế hoạch ban đầu.
Các con số cụ thể: 1 triệu token đầu ra hiện có giá 0.87 USD, so với 30 USD của GPT-5.5, tức rẻ hơn gần 34.5 lần. Giá đầu vào giảm từ 1.74 USD xuống 0.435 USD trên mỗi triệu token. Claude Opus 4.7 tính 5 USD đầu vào và 25 USD đầu ra. Giá cache input giảm tiếp về 1/10 so với thời điểm ra mắt.
Điều đáng chú ý không chỉ là con số, mà là lý do DeepSeek duy trì được mức giá này: V4 Pro chạy trên chip Huawei Ascend, không phụ thuộc hoàn toàn vào GPU Nvidia. Khi chuỗi cung ứng chip không phải điểm nghẽn, chi phí vận hành có thể được giữ ở mức thấp dài hạn theo cách mà các lab phương Tây hiện tại chưa thể làm được.
Với startup, SME và team phát triển sản phẩm AI tại Việt Nam: bài toán chi phí API đã thay đổi căn bản. Câu hỏi không còn là “có đủ tiền dùng mô hình AI hàng đầu không”, mà liệu DeepSeek V4 Pro có đáp ứng yêu cầu về độ trễ, dữ liệu và quy định của từng doanh nghiệp hay không.
Nguồn: The Decoder
Ghi chú thuật ngữ
- Token: Đơn vị tính phí của API ngôn ngữ; mỗi từ thường tương đương 1 đến 2 token.
- Cache input: Cơ chế lưu lại phần đầu vào đã xử lý, giúp giảm chi phí khi gọi API nhiều lần với cùng nội dung.
- Huawei Ascend: Dòng chip AI tính toán do Huawei sản xuất, là lựa chọn thay thế GPU Nvidia tại thị trường Trung Quốc.
2. Google API key vẫn hoạt động 23 phút sau khi bị xóa
Aikido Security phát hiện: khi key Gemini bị lộ và người dùng xóa ngay lập tức, kẻ tấn công vẫn tiếp tục dùng được thêm tới 23 phút. Trong khoảng thời gian đó, tỷ lệ xác thực thành công vượt 90% ở nhiều thời điểm, đủ để truy xuất file và dữ liệu cuộc trò chuyện đã lưu trong cache Gemini.
Ban đầu Google đóng báo cáo với nhận xét “Won’t Fix (Infeasible)”: sự chậm trễ là hoạt động bình thường của hệ thống. Sau khi vấn đề được công bố rộng rãi vào ngày 22/5, Google mở lại và đánh dấu P0, mức ưu tiên cao nhất.
Khoảng cách 23 phút không phải ràng buộc kỹ thuật mà là vấn đề ưu tiên. Service account credential thu hồi trong khoảng 5 giây; định dạng key mới AQ-prefixed của Gemini chỉ mất khoảng 1 phút. TechCrunch nhận định nhiều công ty đang xây hệ thống AI trên hạ tầng cũ vốn chưa được thiết kế cho tốc độ và mức độ nhạy cảm của dữ liệu AI.
Với team đang tích hợp Gemini API hoặc dùng Google Cloud cho ứng dụng AI: kiểm tra ngay quy trình rotation key. Xóa key khi phát hiện lộ là chưa đủ; cần thêm lớp kiểm soát truy cập độc lập với key để đảm bảo mức an toàn cao nhất cho hệ thống.
Nguồn: TechCrunch
Ghi chú thuật ngữ
- API key: Chuỗi ký tự dùng để xác thực quyền truy cập vào dịch vụ API, tương đương mật khẩu cho các lệnh gọi phần mềm.
- Thu hồi key (key revocation): Quy trình vô hiệu hóa một API key để ngăn sử dụng trái phép.
- P0: Mức độ ưu tiên cao nhất trong hệ thống phân loại lỗi, cần xử lý ngay lập tức.
- Cache: Bộ nhớ đệm lưu trữ dữ liệu tạm thời để tăng tốc truy xuất.
Bài viết của đội ngũ ZTO Labs, chuyên đào tạo và nghiên cứu AI tại Việt Nam.
