決策備忘錄：買 Copilot 前，先做一週 AI 採購紅隊

週二早上，採購會議室裡有兩份 AI 套件提案。第一份 demo 很漂亮：客服摘要、法遵搜尋、工單分類都能即時回覆。第二份安全章節也漂亮，但只寫了一句「依客戶政策設定」。你明天要向董事會說明要不要簽一年合約。這時候，真正的問題不是哪個介面更亮，而是哪一套在出錯時能被關掉、回滾、查清楚。

> ALTOS LAB 判斷：買 Copilot 或 agent suite 前，先做一週採購紅隊；供應商展示的是最好的一天，紅隊測的是最壞的一天。

[IMAGE:opening]

這不是資安儀式，是採購決策工具

一週紅隊的目的很窄：把候選產品放在同一組壓力題下，逼出權限、事實性、輸出處理、成本與退場能力。只要這五件事講不清楚，折扣再漂亮都只是把風險延後到上線後。

第一天先寫權限矩陣。哪些資料能讀、哪些工具能呼叫、哪些外部 API 不能碰、哪些情境必須人工批准。第二天跑事實性測試，同一題跨語系、跨時間重問，所有數字都要回到來源。第三天做誤用演習：prompt injection、越權工具呼叫、錯誤輸出入庫。第四天看輸出處理，敏感欄位是否遮蔽，模型文字是否會直接進 CRM、客服信或財務表。第五天測成本天花板，任務是否有 token、API、工具呼叫與失敗重試上限。第六天放回真實 SOP，小範圍接客服、法遵或採購工單。第七天只做三檔決議：通過、待修、拒購。

來源證據怎麼支持這個打法

NIST 的 AI RMF 不是強制規範，但它把信任放在設計、開發、使用、評估整個生命週期。AI RMF 1.0 在 2023 年發布，Generative AI Profile 在 2024 年 7 月 26 日釋出，2026 年 4 月 7 日又提出 critical infrastructure profile concept note。翻成採購語言：不要只問產品今天能不能回答，要問它在設計、上線、監控與修正時留下什麼證據。

OWASP 2025 Gen AI Top 10 則把攻擊面講得更直接：prompt injection、sensitive information disclosure、supply chain、data/model poisoning、improper output handling、excessive agency、system prompt leakage、vector/embedding weakness、misinformation、unbounded consumption。這些不是資安團隊的遠方清單，而是採購驗收題庫。尤其 excessive agency 與 unbounded consumption，剛好對應企業最常忽略的兩件事：權限太寬、成本無上限。

Anthropic 2025 年 circuit tracing 研究提醒另一件事：我們正在更能觀察模型內部機制，例如跨語言概念表徵、提前規劃、推理失真與幻覺拒答動態；但方法仍只能看見部分計算，短 prompt 也可能需要大量人工分析。這代表「可解釋」不等於「可放手」。採購要的是可控流程，不是可愛的解釋句子。

Google Cloud 在 2026 年 4 月更新的真實案例清單已經累積 1,302 個 GenAI use cases，新增 301 筆，橫跨 11 個產業群與 Customer、Employee、Creative、Code、Data、Security 六類 agent。規模訊號很清楚：企業不是只買聊天機器人，而是在買跨部門代理隊。代理越多，紅隊越早做。

[IMAGE:mechanism]

一週驗收表：董事會真正需要看的三條紅線

第一條：權限可收斂。 任何候選產品都要證明超權限會被阻擋，且每一次工具呼叫都有任務、操作者、資料範圍與時間戳。

第二條：輸出可治理。 模型輸出不能直接成為事實。至少要有來源欄位、人工覆核節點、敏感資料遮蔽與錯誤退回流程。

第三條：成本可中止。 如果任務重試、工具呼叫或上下文長度失控，系統要能自動停止，而不是月底才在帳單上發現問題。

ALTOS LAB 的採購建議

把紅隊結果寫進合約條款：哪些測試題必須通過、哪些權限預設關閉、哪些流程需要人審、哪個成本上限一到就停。供應商若願意共同跑這套測試，才進入商務談判；若只願意提供 demo，不願意接受紅隊，就先降級為觀察名單。

最後一句很簡單：今天不能關掉、不能回滾、不能稽核的 AI 系統，明天就不該出現在核心流程。