← 所有文章

業務效益 發佈於 2026-06-03 · 6 分鐘閱讀

為何本地 AI 部署於採購階段卡關(以及打破僵局的論述框架)

企業 AI 採購卡關的是部署者義務,而非技術本身。2026 年化解僵局的部署架構特性,以及為何「我們有 SOC 2」並非合規團隊現時所提問題的正確答案。

到 2027 年 12 月 2 日,EU AI Act 之下的部署者義務將適用於應用於生物特徵、關鍵基礎設施、教育、就業、移民、庇護及邊境管控之高風險 AI 系統 [1]。2026 年的合規團隊並無打算等到 2027 年 12 月才表態。他們現時已在撰寫供應商盡職審查問卷,而企業 AI 採購卡在這些問卷上的比率,與所採購的技術本身關係甚微。解決辦法並不是更精彩的示範,而是重新界定採購對話實際上是關於甚麼。

2026 年的「卡關」實際看起來是怎樣

技術概念驗證通過了。模型在客戶自家工作負載上產出有用結果。技術評估人員寫了一份正面記錄,並將檔案交予採購。然後檔案就停滯了。三個星期後,客戶的合規團隊回覆一份備忘:「如果推理發生於我們無法控制的端點,我們便無法就此工作流程舉證我們的部署者義務。」

a16z 的企業調查在這個模式成形之際已捕捉到其輪廓:對於符合新要求的產品,「以往需要超過一年才能完成的交易週期,現在在 2 至 3 個月內推進完成」[4]。反方向同樣成立。對於不符合新要求的產品,採購仍要拖足一年。再強的技術試行亦改變不了這一點。

採購實際被要求舉證的是甚麼

EU AI Act 區分 AI 系統的提供者部署者 [1]。一間銀行運用第三方 LLM API 為貸款申請評分,該銀行就是部署者。部署者義務包括人類監督、監察、事故通報,以及應要求展示這些能力。這些義務適用於銀行,而非該 LLM 供應商 —— 而銀行的採購團隊正是供應商選擇決定能否實際達成這些義務的接觸面。

這一方向並非歐盟獨有。NIST 於 2026 年 4 月 7 日發佈了關於《關鍵基礎設施可信賴 AI 之 AI RMF Profile》的概念說明 [2],這是美國聯邦層面首次就關鍵基礎設施營運者之 AI RMF 部署者義務制定範圍。OECD AI Policy Observatory 維護一個「來自逾 80 個司法管轄區及機構」的滾動資料庫 [3]。跨司法管轄區於部署者一方義務上的趨同是大趨勢,而非例外。

受規管行業的採購團隊讀懂這些訊號,並提前部署。他們不能等到 2027 年 12 月 2 日才得知某個供應商架構能否讓他們達成義務。

為何「我們有 SOC 2」是錯誤答案

歷來能化解企業採購對話的供應商管控答案 —— SOC 2 Type II、ISO 27001、符合 GDPR 的 DPA —— 處理的是供應商一方的管控。這些是必要的,但對於現時落地的部署者義務,並不足夠。

部署者義務要求部署者按要求展示有哪些數據流經 AI 系統。這是關於部署者自身日誌的問題,而非供應商的。一個 SOC-2 合規的供應商若將提示詞與回應保留在受管理的雲端,亦無法填補這個空隙,因為空隙位於部署者一方的邊界:部署者無法產出他們看不到的東西的日誌。

這就是令採購對話卡關的結構性錯配。合規團隊以部署者義務為依據撰寫備忘。供應商以供應商一方的認證作回應。兩艘船擦身而過。

化解僵局的論述框架

在供應商問卷中事先點明的三項部署架構特性,可令僵局崩解:

  1. 推理位於部署者本地。不論是於用戶裝置上,或於部署者營運的伺服器上。提示詞與回應永遠不離開部署者的邊界。
  2. 由部署者擁有、不含內容的審計日誌。每項管理動作均連同時間戳及操作者於部署者的 SIEM 中記錄。審計列中不會出現提示詞或回應。該列即為證據;內容由部署者依其自身保留政策保存。
  3. 透過部署者 IdP 之身份驗證。透過 OIDC 對接 Microsoft Entra ID 或 Google Workspace。部署者既有的存取控制及 SSO 政策原封不動地適用。

這些不是供應商需要認證的特性,而是部署架構需要明確訂定的特性。一旦供應商問卷以此為框架,合規備忘便自然而生:每一項部署者義務都有一項對應的架構特性,讓部署者可以指着說明。

在我們交付的形態中,這是怎樣的樣子

Software Tailor 的 AI Suite 以桌面安裝程式形式交付,並與本地推理進程對話。AI Admin Console 是部署者 IT 團隊用以執行政策、管理授權及呈現審計的管理介面。自 2007 年以來,已有六家《財富》世界 500 強客戶橫跨製藥、金融、政府、法律、國防與能源行業(過往客戶)以此形態部署,而當中每一個項目於合約簽訂前,都經歷過上述框架的某個版本。

將之具體化最快的方法,就是於一個真實工作負載上走一遍。免費的 1-week 試行將模型放於客戶的硬件、審計列放於客戶的 SIEM,身份驗證透過客戶的 IdP —— 已足夠讓合規團隊就他們實際面對的義務撰寫備忘。

參考資料

  1. European Commission。「AI Act — Regulatory framework on AI。」digital-strategy.ec.europa.eu。檢索於 2026-06-03。
  2. NIST。「AI Risk Management Framework。」nist.gov/itl/ai-risk-management-framework。檢索於 2026-06-03。Critical Infrastructure 概念說明發佈於 2026 年 4 月 7 日。
  3. OECD AI Policy Observatory。「Policy Navigator dashboards。」oecd.ai/en/dashboards。檢索於 2026-06-03。
  4. Andreessen Horowitz。「State of Generative AI in the Enterprise。」a16z.com/generative-ai-enterprise-2024。發佈於 2024 年 3 月 21 日。檢索於 2026-06-03。

相關文章

用一個真實工作負載走一遍這個框架。

免費的 1-week 試行將模型、審計列與身份驗證放於客戶邊界內,讓合規團隊就他們實際面對的義務撰寫備忘。

開始免費 1-week 試行

訂閱產品更新

全新免費 AI 產品、重大更新、以及僅在本網站發布的新版本。絕無垃圾訊息。