目錄

1. 看到什麼？五角大廈為何在意「機密級AI安全」

我最近看了一則針對國防體系的報導，直覺反應是：這不是在比誰的模型更能講、誰的幻覺更少；而是在比誰能把 AI「關進籠子裡」還不讓它亂跑。根據報導內容，一群新創公司正在搶著做一套能保護五角大廈最敏感、最看不順眼被洩漏的機密資料的安全與防護工具。重點落在三類能力：形式驗證（formal verification）、越獄偵測（jailbreak detection）、政策強制（policy enforcement）。換句話說，他們要的是：AI 在使用機密資料時，行為能被「風險評估」檢查通過，而不是只有工程師說「我覺得夠安全」。

這種方向特別有意思，因為它把安全從「系統功能」推到「認證/採購語言」。只要你看過政府或大型軍工的採購流程，就會知道他們最愛問的問題永遠很一致：你如何證明？證明材料在哪？出了事故誰負責？所以報導裡提到的「認證 AI 框架（certified AI frameworks）」其實是整個產業在被迫改寫作法：把安全能力做成可交付、可測試、可追溯的東西。

2. 形式驗證會取代傳統測試嗎？為什麼「可證明」正在變成門票

先講白一點：傳統測試像是在問「你在已知情境下表現如何？」但形式驗證更像是在問「在規格範圍內，你能不能永遠不做壞事？」對機密環境來說，這差異會直接影響採購決策。

報導描述的方向是，這些新創正開發先進安全工具，用於保護分類資料在 AI 使用時的安全性。其中形式驗證通常被用來對某些行為規則或系統層面的約束做數學/邏輯層級的證明。你可以把它想成：不是只靠測試樣本覆蓋率，而是用更硬的方式去把「政策不能違反」變成系統的保證。

那它會跟哪些「權威框架」一起上場？答案是 NIST。NIST 在 2023 年發布 NIST AI Risk Management Framework (AI RMF 1.0)，提供一套風險治理的結構，幫助組織在設計、開發、使用與評估 AI 時納入可信賴（trustworthiness）考量。到了 2024 年 NIST 又推出 AI RMF 的 Generative AI Profile，讓治理更貼近生成式 AI 的特性。對國防/保密級場景而言，形式驗證就很容易被包進「證據」這件事裡：你不是只有政策，你也有證明或至少有能被稽核的流程。

以上不是空話。因為 NIST 本身就是用風險導向（risk-based）方式，鼓勵組織用治理框架來把安全落到可衡量可管理的流程，而形式驗證正好能提供更強的「不違反」證據。

3. 越獄偵測與政策強制：安全不是關鍵字，是一套執行管線

很多人把 AI 安全想成「偵測越獄成功就擋下來」。但在機密資料情境，越獄偵測只是第一層，真正要的是政策強制（policy enforcement）能在「整個互動流程」持續生效。報導提到的三要素（formal verification、jailbreak detection、policy enforcement）其實像三段式安全管線：你得先辨識可能的攻擊意圖（偵測），再確保模型/工具依規則運作（強制），最後能被風險評估檢查通過（驗證/稽核）。

你可以把它具體化：對話輸入到模型之前，要先做意圖與風險初判；模型輸出之後，要做政策符合性判斷（包含是否嘗試把機密資料「請出來」）；對於需要工具呼叫/檢索的情境，還要確保工具層級有權限與限制。這些如果只靠單一系統設定，通常很難穩定穿越「多輪對話 + 夾帶提示 + 角色扮演」的攻擊模式。

這也解釋為什麼報導提到「政府核准的 AI pipeline（安全管線）」：因為當政策強制能在流程中被一致執行，稽核就變成可落地的工程問題，而不是行政壓力。

4. 2026 採購邏輯改了：你的 AI 框架要能通過風險評估

如果你把 2026 年的 AI 投資當成一條流水線，你會發現市場在變得更挑。報導核心是：國防部門想要「經過嚴格風險評估檢查、可被認證的 AI 框架」。這句話的含意很直接——採購不再只看模型能力，而是看你能不能把安全要求嵌進框架、嵌進交付物。

同時，資金也正往這方向灌：政策團體與大學合作、一起建安全的、能被政府核准的 AI pipeline。這種合作模式代表兩件事：一是安全不是單一公司能包；二是未來供應商競爭會轉向「方法論 + 證據 + 可稽核能力」。

更現實的背景是，AI 市場的資金池已經足夠大到容納這種「安全子產業」。Gartner 預測全球 AI 支出在 2026 年約 2.5 兆美元（2.5 trillion）。當支出這麼大，政府/軍方/大型企業就會要求每一筆支出都能回答風險問題。結果就是：安全工具、治理框架落地服務、形式化/測試/稽核平台，都會變成「標配」而不是「加購」。

5. 你該怎麼準備：把「治理」落到資料、模型、輸出的三層證據

回到你自己的系統——不管你是做內部生成式 AI、客服自動化、或是更貼近戰術/作業支援的模型使用，都可以把這波國防安全競賽的邏輯直接翻譯成「落地清單」。我用一個比較不官腔、但真實有效的方式：三層證據。

（A）資料層證據：分類資料怎麼進、怎麼出？ 你要能說清楚：哪些資料可被模型使用？哪些必須遮罩/拒絕？資料進入前是否做清洗與權限檢查？若是工具型（RAG/函式呼叫），檢索來源與權限也要被納入管控。這點對應報導所強調的「保護分類資料在 AI 使用時的安全」。

（B）模型/策略層證據：政策怎麼被強制？ 政策不是一段文字 prompt，它要能在系統層執行（policy enforcement），包含輸入風險判斷、輸出政策符合性檢查、必要時的拒答或替代回應策略。你可以要求供應商提供：策略規則清單、命中案例、以及如何避免政策被繞過。

（C）輸出/稽核層證據：你如何證明「沒有外洩」？ 這裡就接到報導提到的形式驗證與風險評估邏輯。你不需要每個專案都做數學級形式驗證，但你需要能做到可追溯：日誌、風險評分、拒答原因、以及必要的第三方/內部稽核流程。把它對照 NIST AI RMF 的治理框架，你會發現「識別-量測-管理」最後都要落在證據上。

如果你想把這套清單變成「你們公司能用的版本」，可以直接聯絡我們。我們會用你現有的流程（資料、模型、工具、輸出）把證據點位標出來，讓你在 2026 的採購/審查節奏裡不會落後。

聯絡我們：把 AI 安全落地到可稽核流程

權威參考資料（真實連結）

• NIST AI Risk Management Framework（AI RMF）官方頁面
• Gartner：2026 年全球 AI 支出將達約 2.5 兆美元
• Fortune：These startups are racing to make AI safe for the Pentagon’s most closely guarded secrets

FAQ：你會想問的 3 件事

機密資料使用 AI，為什麼光做越獄偵測不夠？

因為越獄偵測多半是「偵測 + 拒絕」的單點策略；但在機密場景，真正關鍵是整條管線的政策一致性（policy enforcement）與可稽核證據。你需要確保即使攻擊不完全以傳統越獄形式出現，系統仍能維持政策與輸出限制。

形式驗證在企業端通常怎麼落地？一定要做得很硬嗎？

企業通常先挑最關鍵、風險最高的規則或流程做形式化/可驗證測試，例如權限邏輯、拒答邏輯、輸出約束。重點不是把所有內容都做到數學級，而是讓安全行為能提供可審核證據並對齊治理要求。

要怎麼對照 NIST AI RMF 準備供應商審查？

把你們的 AI 使用情境（資料、模型、工具、輸出）拆成風險點，對應 NIST AI RMF 的治理結構，要求供應商交付測試與證據：風險識別方式、衡量方法、如何管理與更新，以及如何留存稽核資料。