叡揚資訊數位韌性辦公室執行長馬正維表示，韌性的價值不只是復原，更要超越復原。迄今成立40年的臺灣軟體業者叡揚資訊，日前延攬前總統府第二局局長馬正維，擔任該公司數位韌性辦公室執行長。這項人事任命備受業界關注，不僅因為馬正維在公部門深耕逾37年，親身參與國家最高層級資安與機要管理工作，更因為他的加入，象徵臺灣民間資訊服務業在「數位韌性」議題上，正全面接軌國家戰略視野，向企業治理層次邁進。馬正維在政府部門服務歷任多個資訊與資安要職，退休前最後的崗位是總統府第二局局長。第二局是總統府內負責文書處理、印信檔案管理、榮典作業及數位資訊安全的核心機要單位，長期守護著臺灣最高行政機構的資訊安全。「在公部門服務時，我本來就在做資安的工作，」馬正維表示，「在總統府任職期間，資安韌性的要求極高，一個細小的疏漏都可能引發外界對政府運作的質疑。」他透露一個不為人知的小秘辛：總統府的官方網站訂有內部規範，若網站無法正常對外提供服務，容許的最長中斷時間只有15分鐘。表面上，總統府網站僅是提供公開資訊的平臺，但服務若中斷，外界往往直覺聯想「是不是發生了什麼大事」，國家形象與社會信任的損耗難以估量。這個細節，恰恰說明了數位韌性對公部門的重要性 -- -- 它不只是技術問題，更是治理與公信力的核心議題。退休後，馬正維選擇加入叡揚資訊，擔任數位韌性辦公室執行長，而非就此全身而退。「退休後，希望還可以對臺灣產業貢獻，」他說。這份使命感，正是他選擇投身民間科技產業的動力所在。他在經濟部服務期間，也對能源、油水電等關鍵基礎設施有深入了解，這些跨領域的公部門歷練，將成為他在民間推動韌性工作的重要底蘊。馬正維指出，現代企業與政府面對的挑戰，已遠遠超過傳統資安防護的範疇。地緣政治的緊張局勢，不僅造成全球網際網路加速分裂為區域性陣營，也使技術堆疊（Tech Stacks）面臨分裂壓力，影響跨境連接。目前資料本地化要求日趨嚴格，企業對資料存取與管理的精準度必須大幅提升，再加上新型態的網路攻擊、AI工具的普及，以及供應鏈的突發中斷等，馬正維坦言，上述的技術趨勢發展，都讓各種緊急狀況的頻率與嚴峻程度不斷攀升。「韌性不只是從危機中快速恢復，而是能不能藉由這樣的機會，讓你可以更快地反彈，甚至蓬勃發展，」馬正維說。他也引用麥肯錫研究指出，約三分之二的企業認為，韌性對戰略進展至關重要，而數位、技術與營運正是其中最關鍵的領域。他表示，具備韌性的企業，在經濟低迷期間表現優於同業，並以更快的速度進入復甦後的「新常態」。「韌性的真正價值，在於超越復原 -- -- 不能只是復原，要在逆境中再實現更好的成長，在競爭中脫穎而出。」這個觀點，或許也正是叡揚資訊設立數位韌性辦公室的核心理念，因為「韌性不是被動的防禦，而是主動的戰略布局。」馬正維也進一步梳理企業建構數位韌性的演進路徑，他建議先從合規起步，再走向治理融合。他也以目前在全球範圍內，重塑規則的三大國際法規作為企業法遵的框架。首先，是針對產品安全的CRA（網路韌性法），強制要求「Secure by Default」的安全設計原則，要求廠商提供SBOM（軟體物料清單）並落實全生命週期的漏洞更新，因為這已成為進入歐盟市場的門檻條件，而非選配項目。其次是針對金融業的DORA（數位營運韌性法案），它不僅要求金融機構本身強化韌性，更延伸至供應鏈管理，第三方ICT服務業者的納管責任也一併納入，該項法律也強制實施「威脅引導滲透測試」（TLPT）。第三，則是針對歐盟境內關鍵基礎設施服務商的NIS2指令，將治理責任直接拉升至董事會層級，C-Level的高階主管需承擔個人法律責任；一旦違規，公司最高可被處以全球營收2％的罰款。「合規已經是一個基本要求，而不再只是我們可以做、努力做的一個環節，」馬正維表示，這意味著，企業必須從被動的合規應付，走向主動的治理融合，例如：將資安防禦與營運持續（ISO 27001與ISO 22301）整合為一個韌性閉環（Closed Loop），形成以治理為核心的框架。NIST CSF 2.0正是這一趨勢的體現。馬正維進一步說明，在原有1.0版的識別、保護、偵測、回應、復原五大功能之外，新增了「治理（Govern）」作為2.0版的核心，並強調由董事會層級推動，以確保韌性策略融入整體組織運作。馬正維同意說道：「叡揚資訊推動韌性，不只要做到公司本身加強韌性，也要提供能讓客戶應對這樣變局的韌性服務。」他舉例說明，叡揚資訊不僅協助客戶理解CRA等歐盟規範的安全設計要求，也提供包括SBOM製作的合規服務，讓客戶的產品在市場上更具競爭力與保障。馬正維也非常關注當前最受矚目的AI技術發展，特別是Anthropic尚未對外公開的超級AI模型，內部代號「水豚」（Capybara），也被外界稱Claude Mythos。他引述一份2026年4月的深度研究報告，描述這個AI模型已從傳統的「被動接收指令」，進化為能夠「自己寫程式、自己修改自己、爆發式成長」的自我迭代超級工程師。其能力之強令人難以想像，例如：對於以極端安全著稱的OpenBSD系統，它能挖掘出隱藏長達27年的TCP協定缺陷，實現僅憑連線即可觸發的阻斷服務攻擊；它也能找出已在全球多媒體資料庫潛伏16年、且曾避開超過500萬次自動化掃描的深層漏洞；在取得高控制權限漏洞的搜尋能力上，它更以181比2的壓倒性比數，徹底超越前一代AI。面對如此強大的破壞潛力，馬正維坦言，看到這份報告的第一反應，就是聯想到電影《不可能的任務：最終清算》那個試圖控制全球網路、操縱輿論、乃至掌控各國核武庫的超級AI「Entity」。他除了思考那樣的情境是否發生，也擔心世界上會不會真的存在無法被控制的AI。然而，這個故事也有其轉折。正因為Claude Mythos的能力過於強大且危險，Anthropic的團隊決議不對外發布，反而啟動了「Glasswing計畫」 -- -- 投入一億美元資金，與微軟、Google等超過40家科技巨頭合作，讓這個超級AI搶先一步，替全球關鍵基礎設施找出並修補漏洞，將原本最致命的駭客工具，轉化為守護人類的「數位免疫系統」。在防護機制層面，Anthropic正在研究兩個方向，防禦方向一是「機械可解釋性」（Mechanistic Interpretability） -- -- 直接讀取與解析神經網路中的「想法」與「情緒概念」，在危險發生前，從思維源頭直接修改並消除失控風險。防禦方向二就是，發展類似「世界人權宣言」等級的「憲法AI」機制，將「不傷害人、且對人類有益」的最高道德標準寫入底層架構，作為一道嚴格的憲法機制（Constitutional Filter），全面監督AI的所作所為。馬正維也提到，Anthropic因拒絕美國軍方要求將其AI用於開發「全自動致命武器」，不僅喪失了可觀的商業利益，還遭美國國防部以「不安全的控制鏈」為由起訴，禁止雙方合作，相關案件至今仍在法院審理。這清晰地呈現科技公司在巨大政治與商業壓力下，堅守道德底線的艱難抉擇。「到底AI是一個威脅，還是我們人類可以善用AI來變成我們的護盾？」馬正維認為這個問題沒有簡單的答案。但他表示，關鍵在於「能否建立足夠的防護框架」，包括：極端安全的實驗室環境、24小時由專職安全AI監控系統內任何異常行為模式，以及推動各國政府跨國合作、制定防止技術失控的國際法規。馬正維表示，有科學家預估，未來幾年內訓練安全超級AI的資金需求，可能高達100億至1,000億美元，規模堪稱「國家級投資」。「全社會防衛韌性委員會」是總統賴清德上任後成立的三大委員會之一，設有三大總目標：確保政府核心功能不中斷；維持社會民生核心服務穩定運行，以及在必要時協助國防需求。馬正維回憶，委員會第一次開會就進行整整5個小時，足見政府對這項工作的高度重視。這個框架以數位韌性為神經中樞，整合國安會、內政部、經濟部、衛福部、金管會等跨部會資源，將數位韌性深植於民力、物資、能源、醫療、金融等五大關鍵領域網絡之中。其中，他也說，通訊網絡作為核心基礎設施，串聯五大主軸，支撐整體決策與應變行動。在通訊韌性的具體措施上，政府規畫海、空、陸多重立體備援架構：強化海纜法律地位與防護，並增建國內外備援海纜；整合低、中、高軌衛星群（包括OneWeb、SES、Astranis等），建立政府專屬與商用應變網路；同時設置高抗災基地臺並與電網共構，落實災區跨網漫遊機制。馬正維特別指出，若主要依賴的海纜中斷，必須有備援方案確保核心系統持續正常運作，這也是整個通訊韌性設計的核心邏輯。在行政部門的關鍵民生系統韌性方案上，政府投入13.4億元，鎖定內政、經濟、交通、財政、衛福、勞動等六大部會的關鍵系統，以四大核心原則為選定標準：災時所需核心功能、可辨識民眾身分或親屬、涉及民眾財產與權益，以及動員所需人力物資。這些系統必須確保在緊急狀態下，仍能正常運作。雲端技術策略方面，政府規畫了三個階段的應變架構：承平整備期將核心系統模組化，加密後分散備份至境外公有雲；災害應變期則在地端中斷時，啟用衛星與行動網路重新連結雲端資料；確保最小營運階段，由雲端調用核心功能，維持社會最低基本運作底線。醫療數位韌性因其資料高度敏感性，更是採用「主權雲」概念，訂定八大方針進行分級治理，包括全程加密與金鑰自主、絕對資料在地化、法律優先性、數位韌性與雙活架構，以及電子病歷系統的備援、備份、加密及入侵應變復原能力等，定位為準國安等級防護。對於叡揚資訊在數位韌性時代的定位，馬正維有著清晰的思路。事實上，叡揚資訊本身就是眾多企業與政府機關的資訊服務提供商，提供各種客製化軟體開發與雲端服務。在這樣的身分下，如何在挑戰不斷升級的環境中，持續而穩定地提供服務，本身就是一個韌性課題。「叡揚資訊很重視韌性這件事，希望可以在這個地方加強，尤其隨著AI讓攻擊變得越來越容易，」馬正維說。他認為，韌性是一個綜合性的環境建置，涵蓋基層硬體、軟體、通訊網路，到應用系統、AI安全，每個環節都至關重要。「一有環節出問題，韌性就不見了，像是網路通訊服務中斷了、系統就無法運作。」這提醒企業，韌性必須從全局視角出發，而非僅聚焦單點防護。他也坦言，目前叡揚資訊雖然提供很多韌性相關方案，但終究無法涵蓋所有領域，因此韌性辦公室的成立，正是希望系統性地補強這塊缺口，協助客戶從合規起步，到建立真正可落地的韌性能力。在政府端，叡揚資訊也希望能在雲端架構上，扮演更積極的角色，作為政府數位韌性不可或缺的支援夥伴。在臺灣面對複雜地緣政治環境、AI技術快速演進、法規標準持續強化的當下，公私部門之間的經驗交流與協作，比以往任何時候都更加迫切。馬正維從公部門到民間的轉換，不只是個人職涯的新篇章，更是這種跨界協作的具體實踐。「在政府部門累積了很多公部門的經驗，希望可以到民間多多交流，」他說，「民間韌性需求越來越大，從韌性到治理都有進步，需要更多的經驗交流。」他也提到，過去在經濟部任職時，對油、水、電等能源關鍵基礎設施有著深入的了解，這些CI（關鍵基礎設施）的韌性防護，是整體數位韌性不可切割的一部分。政府端的能源CI若能與企業端的資訊系統韌性緊密配合，臺灣整體的抗風險能力才能真正提升。馬正維指出，叡揚資訊接下來也會持續深化在全球合規、雲端韌性架構、AI安全防護等領域的能量，為臺灣的企業與政府機關，提供布局全球合規與技術實踐的最佳支援。他更相信，「在變局中領航：數位韌性是企業跨越世代挑戰的必備基因。」