可信任是企業級AI剛需　落地成敗仰賴合規工程

解智能資料梳理（DataBrushing.ai）執行長呂佳諺表示，企業面對AI與PQC時，真正要處理的是轉型工程與治理工程，技術本身固然重要，但真正拉開差距的關鍵，往往落在規格定義、驗證機制與合規能力。他指出，近年企業對AI興趣快速升高，但實際訪談後，最常出現的疑慮仍集中在可信任AI與後量子密碼。這兩項議題表面上分屬不同技術範疇，實際上卻彼此連動。企業一旦想把AI推進到核心流程，就會面臨治理要求，而治理持續深化之後，勢必會碰到安全、密碼、供應鏈與法遵問題。

呂佳諺表示，自己雖然最早從AI切入，長期耕耘的卻是較偏底層技術的資安領域，涵蓋密碼學、加密晶片、加密模組等技術。也因此，他切入這類議題的角度，和市場上單純強調模型能力或平台功能的做法有所不同。解智能資料梳理所接觸的資料與AI任務，多半屬於高門檻場景，例如小樣本模型、國防用途的軟硬整合型安全應用等，因此客戶最在意的，通常不是功能展示，而是系統能否落地、維運、驗證，以及未來能否承受合規壓力。

後量子密碼進入企業治理主軸

談到PQC，呂佳諺認為，就現階段市場來看，這首先是一項合規議題。原因在於，企業目前並未普遍直接遭遇量子攻擊，卻已開始承受主管機關、產業鏈與國際規範所形成的治理壓力。換言之，威脅何時全面發生固然必須密切關注，但企業更急迫的問題，在於法規或供應鏈日後將強制要求完成遷移，現在就必須先做好準備。

他表示，很多人談PQC，第一反應都是更換演算法或更新憑證，這種理解仍過於狹窄，「真正的起點其實是盤點。」企業必須先掌握現有系統使用哪些公鑰密碼，哪些設備、通訊協定、韌體簽章、應用系統與外部連線仍依賴未來可能受量子計算威脅的機制。盤點完成後，還要進一步建立密碼層級的可視性，判斷哪些環節影響最大，再安排優先順序。若連盤點都尚未完成，後續根本無法談密碼敏捷性，更不可能談遷移策略。

他也強調，企業對「遷移」經常存在誤解。很多人把遷移理解成一次替換，只要舊系統下線，新系統立即接手即可，但這種想法在現實世界裡很難成立。真正可行的做法，是讓舊架構與新架構在一段時間內並存，讓關鍵環節率先切入，逐步將金鑰交換、憑證、簽章與其他機敏元件導入後量子機制。也就是說，遷移本質上是一段過渡期管理，而非單點替換。企業之所以需要混合模式，正是因為現行IT體系無法在短時間內全面翻新，必須讓新舊機制在同一段時間裡共存，逐步壓低風險。

更重要的是，PQC牽動的並不只是密碼學理論，而是整個IT架構與營運成本。呂佳諺指出，企業若從橢圓曲線密碼學（ECC）或傳統公鑰機制轉向後量子簽章機制，面臨的影響不只是交握延遲，而是金鑰、簽章與封包尺寸明顯放大，儲存、記憶體、網路設備、歸檔週期與長期保存成本都要重新估算。以金融場域為例，若大量簽章紀錄必須長年保存，簽章體積放大之後，儲存規畫勢必跟著改變。這也解釋了為何他認為盤點不是形式作業，而是後續投資評估與治理規畫的起點。

可信任AI回到規格驗證合規

若說PQC讓企業再次體認合規的重要性，那麼AI的快速演進，則讓企業重新看見規格與驗證的價值。呂佳諺認為，生成式AI（GenAI）讓軟體開發門檻快速下降，許多過去需要多人團隊與長時間投入的任務，如今可以在更短時間完成。這種變化確實令人振奮，但也代表企業內部真正稀缺的能力，已不再只是寫程式，而是能否把需求定義清楚、把架構拆解清楚、把驗證條件設置清楚。

他直言，現在市場上流行將與AI對話式寫程式（Vibe Coding）視為捷徑，但真正能用於企業環境的工具，仍必須建立在規格驅動開發（SDD）的基礎上。換句話說，先把需求、場景、限制條件、例外狀況與任務節點說清楚，再讓AI協助設計與實作，這樣產出的系統才有機會進入正式環境。若沒有清楚規格，只靠聊天生成程式，最後多半只能做出示範級工具，出了問題也很難追查根因。

AI時代最具價值的核心能力就是精準制定規格。規格制定過程必須大量跨部門溝通、反覆確認商業邏輯、釐清系統邊界、拆分工作流程，再把含糊的自然語言轉成可執行的邏輯結構。AI可以加速產出技術文件與初步架構設計，卻不能替工程師承擔理解業務的責任。規格定義不夠嚴謹會導致AI把模糊地帶放大，後續的程式邏輯錯誤也會被一併擴大。

規格確立之後的重點落在品質保證（QA）。呂佳諺表示，品保在AI時代的重要性將持續攀升，開發交付速度愈快，愈需要具備高度結構化的驗證節點。這項工作必須在設計階段就同步介入，開始準備測試案例、自動化驗證流程與使用者驗收測試。再往上延伸，便會進入合規層次。企業最終不只要讓系統能跑，還要能證明自己做對了。尤其當AI與資安要求交織在一起，包含安全設計（Secure by Design）、威脅建模（Threat Modeling）、軟體供應鏈治理與第三方驗證，都會成為可信任的基礎。如此方能走進金融、醫療、軍工、交通與關鍵基礎設施等高要求應用環境。