選 AI 工具如果只比效能跟價格,2026 年 5 月之後你會踩雷。
三個月前一場美國國防部跟 Anthropic 的合約破局,把整個企業 AI 採購圈的評估邏輯往前推了一大步。事件本身是 Claude 被踢出五角大廈採購名單(如果你還沒看過時間軸完整版,建議先看那篇);但對台灣中小企業真正的衝擊,不在那場合約本身,而是它揭露了一個過去被嚴重低估的採購變數——廠商的「紅線」與「國別風險」,會直接決定你能不能合法用、還能用多久。
Gartner 在 2025 年的 AI Trust, Risk, and Security Management 報告 已經點名:到 2026 年,沒有把廠商 Acceptable Use Policy(AUP)跟司法管轄風險(jurisdiction risk)寫進採購流程的企業,會多花 30% 預算在合約終止後的緊急轉換成本。Anthropic 事件只是讓這個預測提早發生在現實裡。
這篇是 Claude 五角大廈時間軸那篇 的姊妹篇,定位完全不同:A 篇談發生了什麼、為什麼 Anthropic 願意賠錢守住紅線;這篇談你的公司在 2026 年該怎麼把這件事翻譯成「採購評估表上多出來的三欄」,附五大廠商紅線比較、三個產業情境分析、十三題 RFP 清單、以及為什麼老闆會說「我們公司不大不需要看這個」剛好是最危險的迷思。
一句話結論:採購評估表該加上的三欄是什麼
Anthropic 事件之後,企業 AI 採購評估表必須在原本的「效能 / 價格 / 整合難度」之外,加上三欄:廠商紅線(Acceptable Use Policy 是否包含你的使用情境)、司法管轄風險(廠商所在國能否片面斷供你)、替代供應商備援(是否有不同地區、不同 AUP 的第二家可以一週內切換)。這三欄已經是 2026 年合約風險管理的最低門檻,遠遠超過錦上添花的層級。
下表先給你完整的決策架構,這篇文章接下來八個段落會逐項拆解。
層級 | 評估維度 | 關鍵問題 | 過去/現在差別 |
|---|---|---|---|
第一層 | 效能 / 價格 / 整合 | 回答品質、回應速度、API 穩定度、月費總成本、是否能跟現有系統打通 | 過去就是全部,2026 變成基本門檻 |
第二層 | 廠商紅線(AUP) | 廠商的 AUP 是否禁止你的使用場景?是否會在合約期內單方面修改? | 過去當作法律附件不看,現在直接決定能不能合法上線 |
第三層 | 司法管轄 / 國別風險 | 廠商所在國的政策動向、出口管制、是否會對特定客戶斷供? | 過去只擔心中俄廠商,現在連美國廠商都要評估 |
如果你只能花 5 分鐘看完這篇
請至少把這三層架構抄進你下次採購會議的議程。第一層大家都會問,問題出在第二、三層幾乎沒有企業在問——而 Anthropic 事件證明,這兩層才是合約能不能撐到約滿的關鍵。
為什麼「廠商紅線」突然變成採購要素?三個轉折點
把時間倒回 2024 年,企業採購 AI 工具基本上不看 AUP。理由很簡單:那時候 AUP 寫的東西大部分是「不能拿去做兒童色情、不能拿去做仇恨言論」這類沒人會反對的紅線。但過去十二個月有三件事改變了局面。
轉折一:AUP 從法律附件變成業務決策
Anthropic 的 Usage Policies 在 2025 年明確列出:禁止用 Claude 開發「會自主選擇並攻擊目標的武器系統」、禁止「對個人或群體進行未授權的監控」。這兩條看似只跟軍工業有關,但 Anthropic 在 2026 年 2 月選擇拒絕五角大廈無限制條款的時候,等於告訴所有客戶:我會為了這條紅線拒絕政府的訂單。
對企業客戶來說,這是好消息也是壞消息。好消息是 Anthropic 不會半夜把你的合約偷偷修掉;壞消息是如果你的使用場景剛好擦邊,Anthropic 會比你預期更快地把你切斷。台灣有保全業者、刑事鑑識顧問公司、政府承包商,過去用 Claude 處理影像分析、行為預測,這些案例都需要重新評估是否落在 AUP 紅區。
轉折二:監管行業 AUP 違規等於合規違規
金管會 2025 年底對金融業的 生成式 AI 應用指引 要求業者揭露所使用 AI 服務的供應鏈、限制條款與資料處理流程。這代表如果你公司用的 AI 工具,AUP 寫的禁止項目跟你實際使用的方式有衝突,這已經不只是廠商可能斷你服務——而是你會直接違反金管會的揭露義務。
醫療業更敏感。FDA 在 2025 年針對 AI 醫療輔助工具的指引明確:所使用 AI 服務的 AUP 必須跟醫材分類等級相容。如果 AUP 寫了「不得用於診斷」,但你用它做臨床決策輔助,FDA 會把這當作未授權使用——責任在使用方,不在廠商。
轉折三:地緣政治讓「美國廠商最穩」這句話不再成立
過去評估雲端服務或 AI 服務,「跟美國廠商簽就對了」是台灣中小企業的默認選項。Anthropic 事件第一次證明這個假設不對——美國政府能用一紙行政命令封殺一家美國本土 AI 公司,他們也能對任何其他廠商做同樣的事。
這不是抽象的擔憂。Microsoft 在 2024 年因為出口管制限制把部分 Azure AI 服務從中東客戶名單移除;OpenAI 在 2024 年 7 月限制中國大陸區域使用;Google 在 2025 年因為歐盟 AI Act 對部分模型在歐盟區延後上線。每一次政策轉彎,都是某些客戶的合約突然失效。
五家主流 AI 廠商的紅線比較表
下表整理 2026 年 5 月當前的 AUP 重點。請注意 AUP 會隨時間調整,建議在採購會議當天從廠商官網重新確認最新版本。
廠商 | 武器/軍事 | 監控/執法 | 醫療診斷 | AUP 修改通知 |
|---|---|---|---|---|
Anthropic(Claude) | 禁止全自動武器、禁止生化武器設計 | 禁止大規模國內監控 | 不得作為醫療診斷依據 | 30 天事前通知 |
OpenAI(GPT) | 禁止武器開發、可豁免部分國防客戶 | 禁止侵犯隱私的監控 | 醫療諮詢需揭露 AI 來源 | 不定期,主要事後通知 |
Google(Gemini) | AI Principles 不做武器,部分國防可 | 禁止違反國際人權的監控 | 醫療診斷需專業審核 | Google Cloud TOS 30 天通知 |
xAI(Grok) | AUP 較寬鬆,部分軍事用途可 | 禁止違法監控 | 無明確醫療限制 | 通知期短,公告為主 |
Mistral(歐洲) | 商用版禁武器,部分例外可協商 | 符合 EU AI Act 高風險規範 | 符合 EU MDR 醫材規定 | EU GDPR 30 天通知 |
看這張表你會發現一個關鍵差異:Anthropic 在五家裡面紅線最硬、最不允許客製化條款。對你的意義是雙面的——如果你的使用場景在它的綠區,Anthropic 是最不會半路臨時抽手的合作夥伴;如果你在邊緣地帶,它也是最會直接拒絕的那家。
對應到台灣產業,ChatGPT、Claude、Gemini 三大 AI 助理比較 講的是「能做什麼」,這篇講的是「不能做什麼」。兩者要一起看,採購評估才完整。
⚠️AUP 比你想的還會動
這五家廠商在 2025 年至少各自修改過一次 AUP。每次修改都可能讓你原本合規的使用場景變成違規。建議在合約裡寫進「廠商修改 AUP 須提前 60 天書面通知,且乙方有權在通知後 30 天內無責終止合約」。
三個實際採購情境分析(金融 / 醫療 / 教育出版)
抽象原則沒用,看真實情境才有畫面。下面三個是業界 AI 工具採購諮詢中最常出現的典型場景,把名字隱去之後濃縮成三個情境。
情境一:中型壽險公司——理賠審核 AI 化
公司規模 1500 人,想用 AI 把理賠初審從平均 7 天壓到 2 天。最初的選擇傾向 OpenAI(因為團隊熟)。
在第二、三層評估介入後問題冒出來:金管會生成式 AI 指引要求「保留可解釋性紀錄、不得對個資進行跨境傳輸」。OpenAI 的標準商用版資料會經過美國伺服器處理,需要簽 BAA 等級的特殊合約才能符合金管會要求;同時保險業 AUP 條款比較複雜,OpenAI 的標準 AUP 沒有明確說「保險理賠輔助」是否屬於「重大決策(high-stakes decision)」紅區。
最後的選擇:主用 Anthropic Claude(資料處理選 EU 區域、明確不做最終決策、AI 只做候選排序)+ 備援 Mistral Large(地緣分散、符合金管會跨境條款)。價格比原本貴 18%,但合規風險降到可接受範圍。
情境二:連鎖診所——病歷摘要與衛教生成
30 家分院的連鎖診所,想用 AI 自動產生看診後的衛教單張、藥物提醒、慢病追蹤訊息。最初考慮 ChatGPT Team(CP 值高)。
FDA 對 AI 醫療工具的態度是「即使你說只是衛教,只要醫師會根據它做臨床判斷,就視同醫材輔助」。OpenAI 的 AUP 寫了「醫療資訊不得作為診斷依據」,但實務上院方使用時很難明確切割。如果某次衛教文字暗示了某種診斷傾向,責任在使用方。
最後的選擇:Claude(紅線寫得最清楚,跟醫師責任分界明確)+ 加上人類醫師複核流程,每張衛教單張需主治醫師簽核才能寄出。AI 從原本想取代人,變成放大醫師的時間槓桿。
情境三:教育出版商——數位教材 AI 個人化
傳統教科書出版社想做 AI 個人化練習題。學生輸入學習狀況,AI 生成適合的題目和解析。最初打算找 Google Gemini(Google for Education 折扣)。
問題在著作權跟兒少資料保護。Gemini 在 EU 區域有 EU AI Act 對「教育用 AI」的高風險分類規範,台灣雖然不直接適用 EU 法規,但出版社的歐洲學生客戶會直接受影響。同時 AI 風險、個資、著作權該知道的事 這篇有提到,台灣 2025 年的個資法修訂對未滿 14 歲學生資料有更嚴格要求。
最後的選擇:Mistral(符合 EU AI Act)為主,搭配 OpenAI 做老師端工具(AUP 對教育更寬鬆)。雙廠商策略讓學生資料跟老師資料完全分離、地理區域分離,事件級的監管變動只會影響其中一邊。
為什麼至少要兩家不同地區的廠商備援
Deloitte 在 2025 年針對全球 1500 家企業的 Generative AI Resilience Survey 顯示:64% 的受訪企業在過去十二個月經歷過至少一次 AI 服務「非預期斷供」(合約終止、區域限制、AUP 修改、政策斷供等),其中 41% 沒有備援機制,平均業務中斷時間 11.3 天。
11.3 天聽起來不長,但對重度依賴 AI 的工作流(客服自動回應、文件審核、風險偵測)來說,等於業務癱瘓。這不是賭概率的問題——有沒有第二家可以無痛切換,是 2026 年企業 AI 採購的標準配備,不是奢侈品。
廠商 | 總部國 | 主要監管框架 | 被斷供風險來源 |
|---|---|---|---|
OpenAI / Anthropic / Google / xAI | 美國 | 美國 AI Executive Order, 商務部出口管制 | 美國行政命令、出口管制清單變動 |
Mistral | 法國(EU) | EU AI Act, GDPR | EU 法規變動、Mistral 政策調整 |
Cohere | 加拿大 | 加拿大 PIPEDA、AI Bill C-27 | 加拿大政策、與美國/歐洲產生分歧 |
阿里 Qwen / 百度文心 | 中國 | 中國《生成式 AI 服務管理暫行辦法》 | 台灣禁用、出口管制、跨境政策 |
對台灣中小企業最務實的「第二家備援」配對通常是:主用 Anthropic 或 OpenAI(性能優、生態完整),備援 Mistral 或本地化部署的開源模型(地緣不同、AUP 不同)。中國廠商的紅利雖然在價格,但對台灣企業有政策跟資料合規的雙重風險,除非業務只在中國境內,否則不建議當主或備援。
ℹ️備援不等於同時跑兩家
第二家不需要平時就用,但需要做到三件事:(1) 帳號開好、API key 拿到;(2) 切換的程式邏輯寫好(prompt template、API endpoint 都封裝起來);(3) 至少做過一次完整的端到端測試。真正出事的時候,這三件事的差別決定你是 1 小時切完還是 1 週切完。
廠商評估清單:13 題該寫進你的 RFP 的問題
下面這份 RFP 清單是把上面的三層架構翻譯成具體的問題。建議在採購會議發給每家候選廠商,請他們書面回覆——口頭回答不算數,必須有業務代表簽字的書面文件,才有合約成立的證據力。
層級 | 題號 | RFP 問題 |
|---|---|---|
第一層 效能 | Q1 | 核心使用場景的回答品質基準(建議要求廠商提供台灣繁體中文 benchmark 數據) |
第一層 效能 | Q2 | API 99.9% SLA 是否含「廠商主動修改 AUP 導致服務中斷」? |
第一層 效能 | Q3 | 跟我們現有系統(CRM / ERP / 客服)的整合方式與費用結構 |
第二層 紅線 | Q4 | 貴公司目前 AUP 是否禁止本公司具體使用情境?請逐條對照 |
第二層 紅線 | Q5 | AUP 修改的事前通知期限為何?是否能在合約中綁定 60 天通知期? |
第二層 紅線 | Q6 | 如貴公司因政策修改片面終止本合約,違約賠償計算方式為何? |
第二層 紅線 | Q7 | 使用過程的稽核紀錄保留多久?我方是否能隨時下載? |
第二層 紅線 | Q8 | 貴公司過去 24 個月內 AUP 主要修改項目(要求列出時間軸) |
第三層 國別 | Q9 | 我方資料處理與儲存的伺服器地理位置選項 |
第三層 國別 | Q10 | 貴公司所在國家對台灣客戶的出口管制現況與預期變動 |
第三層 國別 | Q11 | 如貴公司被本國政府斷供我方,是否能配合資料完整匯出?匯出格式為何? |
第三層 國別 | Q12 | 是否提供與我方備援廠商共存的多廠商架構技術文件? |
第三層 國別 | Q13 | 如果貴公司本身倒閉或被併購,原合約條件如何延續? |
這 13 題裡,Q5、Q6、Q11 在 2024 年幾乎沒人問。Q5 跟 Q6 直接針對「AUP 突然修改」的風險,Q11 是出口管制斷供時的資料逃生通道。如果廠商業務代表回答含糊或拒答,這本身就是有用的訊號——代表他們內部沒有準備好這個情境,跟他們簽長約你會吃虧。
三大常見迷思破解(這三句話聽起來都很合理但都錯)
迷思一:「我們公司不大不需要看這個」
這句話聽起來最合理,但剛好相反——公司越小,廠商風險的衝擊越大。理由很簡單:大公司有法務、有 IT 部門、有第二供應商;中小企業出事的時候沒有人能在 24 小時內把流程切換到備援。
我們服務過一家 80 人的會計事務所,把報稅季的文件分類完全交給 ChatGPT Plus 的某個 GPTs。某次 OpenAI 在沒有事先通知的情況下調整了 GPTs 對檔案處理的限制,事務所的工作流當天直接停擺,影響到 200 多家客戶的申報進度。事後檢討發現問題不在 OpenAI 違反什麼承諾,而是事務所從來沒看過 AUP,也沒備援。
迷思二:「便宜的就是好用的」
中小企業看 AI 工具報價最直覺的反應是「美金 20 跟美金 30 差很多」。但廠商風險的算法不是月費——是「合約失效後找替代方案的隱藏成本」。
Forrester 的 Total Economic Impact of Enterprise AI 估算:一次非預期 AI 廠商切換對中型企業的隱藏成本是 8-15 萬美元(重新訓練、流程重寫、員工重新適應、整合測試)。月費差個 10 美元每月每用戶,一年帳面省 1200 美元;但如果這是因為廠商太便宜所以不在乎你而省下來的錢,第一次出事的代價可能是 100 倍。
迷思三:「美國廠商最穩」
Anthropic 事件之後,這句話需要重新定義。準確的說法是:『美國廠商在大多數情況下最穩,但被自己政府制裁的風險不為零,且當這風險發生時,沒有國際法可申訴』。
理性的策略真正的重點是「主用美國廠商,但備援不能也是美國廠商」,而不是「不選美國廠商」。地緣政治分散是 2026 年新的最佳實踐。
買 AI 工具之前,先做的內部體質檢查
這篇會拆解三件事:你的使用場景落在哪些紅線可能踩到的區塊、你公司能承受多長的服務中斷、你的法遵基線是什麼。做這三件事不需要花錢,只需要把採購會議延後一週。
檢查項目 | 具體問題 | 如果回答是「沒想過」 |
|---|---|---|
使用場景紅線盤點 | 列出未來 12 個月所有預期使用 AI 的工作流,每項問「這如果出現在 AUP 黑名單,我可以接受嗎?」 | 採購延後,先讓部門主管列清單 |
產業監管基線 | 公司所屬產業有沒有 AI 相關監管或揭露要求? | 找法務查清楚,再進採購流程 |
業務中斷耐受度 | 如果這個 AI 工作流停 24 小時、72 小時、一週,會發生什麼? | 請部門主管寫成書面影響評估 |
資料地理界線 | 處理的資料是否包含客戶個資、個資是否能跨境? | 檢查個資法跟產業特殊規定 |
替代方案熟悉度 | 除了首選廠商,團隊有沒有人實際操作過第二家的 API? | 採購前先做技術 PoC,不是簽約後才試 |
內部體質檢查比廠商比較更重要
把這五題答完之後,你會發現候選廠商會自然縮減到 2-3 家——因為很多廠商根本不適合你的使用場景。先做內部檢查,再做廠商比較,會比一開始就比五家廠商效率高很多。
Anthropic 事件留下的更深層教訓:AI 廠商選擇不再是技術問題
2024 年以前選 AI 工具,主要問 IT 部門。2026 年以後選 AI 工具,必須找 IT、法務、業務、合規四個部門一起坐下來談。因為決策的影響面已經超出技術部門能單獨負責的範圍。
Anthropic 願意賠掉政府訂單也要守住 AUP,反向證明了一件事:AUP 的本質是廠商真的會執行的合約條款,遠不只是廠商的行銷文案。這是壞消息也是好消息。壞消息是廠商會說斷就斷;好消息是 AUP 寫的東西可以拿來當合約依據。
如果你的公司剛好在重新評估 AI 採購策略,老闆 AI 採購完整指南 提供了從預算規劃到員工培訓的完整流程;這篇是把它的「廠商評估」章節獨立深化成完整的風險管理框架。兩篇可以一起服用。
另外如果你想理解廠商的 AI 安全分級制度,Anthropic RSP 3.0 與 ASL 安全分級 那篇講的是廠商內部的技術風險分級,跟這篇的採購風險評估剛好是兩個互補的視角——一個從廠商出發,一個從客戶出發。
如果你公司還在問「ChatGPT 退訂潮是不是該換家了」,ChatGPT 退訂潮分析 那篇從產品角度切入,這篇從廠商風險角度切入,兩篇邏輯差不多但結論可能不同——產品難用換掉就好,廠商風險換掉成本會更高。
ℹ️把廠商風險降到最低的終極解:本地 AI
如果你的廠商評估結論是「沒有一家可以完全信任」,本地部署是另一條路。Gemma 3 開源 LLM 指南拆解四個尺寸如何選、DGX Spark 解析拆解 4,699 美元桌上 AI 主機的真實能力,兩篇可以幫你做混合架構規劃。
常見問題(FAQ)
Q我們公司只用 ChatGPT Plus 個人版,還需要看這篇嗎?
如果用量小、單純員工生產力工具(寫信、整理會議記錄),風險相對低。但如果你開始用它處理客戶資料、產出對外文件、做業務決策依據,就要按本文的三層架構評估。判斷分水嶺:這個 AI 工具如果被斷掉一週,會不會影響業務?會的話就要評估。
QAnthropic 的 AUP 比 OpenAI 嚴,是不是 Claude 反而更難用?
難用程度跟 AUP 嚴格度沒有直接關係。Claude 的 AUP 嚴只代表它在邊緣案例會直接拒絕;對 95% 的一般商用場景(客服、文件、行銷、開發輔助)完全沒影響。真正的差別是:如果你的場景剛好擦邊,OpenAI 可能會幫你想辦法、Anthropic 會直接說不。對企業來說後者反而比較好——你不會在不知情的狀況下踩雷。
Q我能不能跟廠商談合約,要求他們把 AUP 鎖定不能改?
對中小企業客戶來說,要求廠商完全鎖定 AUP 不太現實——廠商需要保留依國法調整的彈性。可行的折衷是:合約寫進「廠商修改 AUP 須提前 60 天通知,且修改若實質影響乙方核心使用場景,乙方有權在通知後 30 天內無責終止合約」。這個條款大多數廠商在企業合約都願意簽。
Q備援廠商真的有必要嗎?平時又用不到,是不是浪費錢?
備援不需要平時用,需要的是「能在一週內切換」的能力。實作上是:第二家廠商開好帳號(多數廠商免費註冊)、API key 拿到(按用量付費,平時零成本)、切換邏輯寫好(程式碼裡封裝廠商 API 的抽象層)、做過一次完整的測試。真正的成本是工程時間(約 5-10 工作天的初期投入),跟「斷供時業務停擺」的代價比起來非常便宜。
Q中國的 AI 廠商(DeepSeek、阿里 Qwen)價格更便宜,能不能當主或備援?
對台灣企業強烈不建議。理由有三:(1) 兩岸政策變動可能突然限制使用;(2) 個資跨境到中國境內違反多項法規;(3) 出口管制與供應鏈合規會讓你的歐美客戶起疑。價格差不能彌補這三個風險。如果業務範圍在中國境內可以另外評估,否則建議選歐美或開源本地部署。
Q我有 IT 部門但沒法務,這個採購流程能不能簡化?
至少要把 RFP 13 題裡 Q4、Q5、Q6、Q9、Q11 寄給廠商書面回覆,這五題不需要法務也能評估答案的清晰度。如果廠商連這五題都回答含糊,那不是合作對象。其他八題可以等簽約前找外部法務做最後審閱。中小企業不需要全套流程,但這五題是最低門檻。
結論:把廠商紅線寫進採購評估,從下次會議開始
Anthropic 跟五角大廈的事件之後,企業 AI 採購評估表多出三欄不是錦上添花的選配——是 2026 年合約管理的最低門檻。這三欄分別是:廠商紅線(AUP)、司法管轄風險、備援能力。
做法不複雜:把本文的 13 題 RFP 印出來、把五家廠商的紅線比較表抄一份、把內部體質檢查 5 題答完。三件事加起來不會超過一個下午,但能讓你的採購決策從「賭一把」升級成「有依據的選擇」。
同樣的邏輯不只適用 AI 工具——廠商評估是所有重要 SaaS 採購都該做的功課。如果你想把這套方法套用到 ERP、CRM、報價系統等更廣泛的軟體採購,可以聊聊 foreverwebs 的 AI 諮詢與採購顧問服務,我們協助過超過 100 家台灣中小企業把廠商風險評估正式寫進採購流程。
下一步建議
把本文的三張表(三層架構表、五家廠商紅線比較、13 題 RFP)存成 PDF,下次採購會議直接帶進會議室。如果想要編輯版的 Excel 評估範本,預約一次 30 分鐘免費 AI 採購健檢,我們會根據你公司產業客製一份。
AUTHOR
自由揚John
想了解更多?看看我們的相關服務
相關文章
中小企業客戶反饋 NPS SaaS 採購完整指南:Typeform / SurveyMonkey / Qualtrics / Hotjar / 自架 4 條路徑、5 個落地踩雷、3 個報價區間
Text-to-SQL 中小企業 BI 採購完整指南:老闆自己查、不再排隊等資料工程師的 5 條 LLM 路徑與 4 個治理風險
客戶流失預測(Customer Churn)AI 系統完整指南:4 條模型路徑、5 條觸發訊號、3 個 ROI 試算框架——中小企業老闆從「救單」到「主動預防」的決策手冊
電子簽章 SaaS 採購完整指南:DocuSign / Adobe Acrobat Sign / CloudSign / 自架 4 條路徑、台灣法規必懂 5 點、4 條合約紅線——中小企業老闆「紙本合約消失」的完整決策框架
產品分析 SaaS 採購完整指南:Mixpanel / Amplitude / PostHog / 自架 4 條路徑、5 個踩雷點、4 條合約紅線——中小企業老闆「GA4 不夠用」之後的下一步
留言(0)
尚無留言,成為第一個留言的人吧!