睿扬资讯数字韧性办公室执行长马正维表示，韧性的价值不只是恢复，更要超越恢复。

迄今成立40年的台湾软件企业睿扬资讯，日前聘任前总统府第二局局长马正维，担任该公司数字韧性办公室执行长。这一人事任命备受业界关注，不仅因为马正维在公部门深耕逾37年，亲身参与国家最高层级信息安全与机要管理工作，更因为他的加入，象征台湾民间信息服务企业正全面接轨国家战略视野，向企业治理层面迈进。

从总统府走向民间，公职37年的韧性积累

马正维在政府机构任职期间历任多个信息与安全要职，退休前的最后岗位是总统府第二局局长。第二局是总统府内负责文书处理、印信档案管理、荣典作业及数字信息安全的核心机要单位，长期守护着台湾最高行政机构的信息安全。

“在公部门服务时，我本来就在做信息安全的工作，”马正维表示，“在总统府任职期间，安全韧性的要求极高，一个微小的疏漏都可能引发外界对政府运作的质疑。”他透露一个不为人知的细节：总统府官方网站设有内部规范，若网站无法正常对外提供服务，允许的最长中断时间仅为15分钟。

表面上，总统府网站仅是提供公开信息的平台，但服务若中断，外界往往直觉联想“是不是发生了什么大事”，国家形象与社会信任的损耗难以估量。这个细节，恰恰说明了数字韧性对公部门的重要性——它不只是技术问题，更是治理与公信力的核心议题。

退休后，马正维选择加入睿扬资讯，担任数字韧性办公室执行长，而非就此退休。“退休后，希望还能为台湾产业贡献力量，”他说。这份使命感，正是他选择投身民间科技产业的动力所在。他在经济部服务期间，也对能源、油气水电等关键基础设施有深入了解，这些跨领域的公部门历练，将成为他在民间推动韧性工作的重要基础。

韧性不只是从危机中恢复，更要在逆境中成长

马正维指出，现代企业与政府面对的挑战，已远远超出传统安全防护的范畴。地缘政治紧张局势，不仅造成全球互联网加速分裂为区域性阵营，也使技术堆栈（Tech Stacks）面临分裂压力，影响跨境连接。

目前数据本地化要求日益严格，企业对数据访问与管理的精准度必须大幅提升，再加上新型网络攻击、AI工具的普及，以及供应链突发中断等，马正维坦言，上述技术趋势的发展，都让各类紧急状况的频率与严峻程度不断攀升。

“韧性不只是从危机中快速恢复，而是能否借此机会，让你更快反弹，甚至蓬勃发展，”马正维说。他也引用麦肯锡研究指出，约三分之二的企业认为，韧性对战略进展至关重要，而数字、技术与运营正是其中最关键的领域。他表示，具备韧性的企业，在经济低迷期间表现优于同业，并以更快的速度进入复苏后的“新常态”。

“韧性的真正价值，在于超越恢复——不能只是恢复，要在逆境中实现更好的成长，在竞争中脱颖而出。”这个观点，或许也正是睿扬资讯设立数字韧性办公室的核心理念，因为“韧性不是被动的防御，而是主动的战略布局。”

从合规到治理：企业韧性的进化路径

马正维进一步梳理企业构建数字韧性的演进路径，他建议先从合规起步，再走向治理融合。

他以目前在全球范围内重塑规则的三大国际法规作为企业合规的框架。首先，是针对产品安全的CRA（网络韧性法），强制要求“默认安全”的设计原则，要求厂商提供SBOM（软件物料清单）并落实全生命周期的漏洞更新，因为这已成为进入欧盟市场的门槛条件，而非可选项目。

其次是针对金融业的DORA（数字运营韧性法案），它不仅要求金融机构自身强化韧性，更延伸至供应链管理，第三方ICT服务提供商的管理责任一并纳入，该法规也强制实施“威胁引导渗透测试”（TLPT）。

第三，则是针对欧盟境内关键基础设施服务商的NIS2指令，将治理责任直接提升至董事会层级，C-Level高管需承担个人法律责任；一旦违规，公司最高可被处以全球营收2%的罚款。

“合规已经是一个基本要求，而不再是我们可以做、努力做的一项环节，”马正维表示，这意味着企业必须从被动的合规应对，走向主动的治理融合，例如：将安全防御与业务连续性（ISO 27001与ISO 22301）整合为一个韧性闭环（Closed Loop），形成以治理为核心的整体框架。

NIST CSF 2.0正是这一趋势的体现。马正维进一步说明，在原有1.0版的识别、保护、检测、响应、恢复五大功能之外，新增了“治理（Govern）”作为2.0版的核心，并强调由董事会层级推动，以确保韧性策略融入整体组织运作。

马正维认同地说：“睿扬资讯推动韧性，不仅要让公司自身增强韧性，也要提供能让客户应对这一变局的韧性服务。”他举例说明，睿扬资讯不仅协助客户理解CRA等欧盟规范的安全设计要求，也提供包括SBOM制作的合规服务，让客户的產品在市场上更具竞争力与保障。

AI是一把双刃剑，兼具超级智能的威胁与韧性的可能

马正维也非常关注当前最受瞩目的AI技术发展，特别是Anthropic尚未对外公开的超级AI模型，内部代号“水豚”（Capybara），也被外界称为Claude Mythos。

他引述一份2026年4月的深度研究报告，描述这个AI模型已从传统的“被动接收指令”，进化为能够“自己写程序、自己修改自己、爆发式成长”的自我迭代超级工程师。

其能力之强令人难以想象，例如：对于以极端安全著称的OpenBSD系统，它能挖掘出隐藏长达27年的TCP协议缺陷，实现仅凭连接即可触发的拒绝服务攻击；它也能找出已在全球多媒体数据库潜伏16年、且曾避开超过500万次自动化扫描的深层漏洞；在获取高权限漏洞的搜索能力上，它更以181比2的压倒性优势，彻底超越前一代AI。

面对如此强大的破坏潜力，马正维坦言，看到这份报告的第一反应，就是联想到电影《不可能的任务：最终清算》中那个试图控制全球网络、操纵舆论、乃至掌控各国核武库的超级AI“Entity”。他除了思考那种情境是否会发生，也担心世界上会不会真的存在无法被控制的AI。

然而，这个故事也有其转折。正因为Claude Mythos的能力过于强大且危险，Anthropic团队决定不对外发布，反而启动了“Glasswing计划”——投入一亿美元资金，与微软、Google等超过40家科技巨头合作，让这个超级AI抢先一步，为全球关键基础设施找出并修补漏洞，将原本最致命的黑客工具，转化为守护人类的“数字免疫系统”。

在防护机制层面，Anthropic正在研究两个方向：防御方向一是“机械可解释性”（Mechanistic Interpretability）——直接读取与解析神经网络中的“想法”与“情绪概念”，在危险发生前，从思维源头直接修改并消除失控风险。

防御方向二是发展类似“世界人权宣言”级别的“宪法AI”机制，将“不伤害人类、且对人类有益”的最高道德标准写入底层架构，作为一道严格的宪法机制（Constitutional Filter），全面监督AI的所作所为。

马正维也提到，Anthropic因拒绝美国军方要求将其AI用于开发“全自动致命武器”，不仅丧失了可观的商业利益，还遭美国国防部以“不安全的控制链”为由起诉，禁止双方合作，相关案件至今仍在法院审理。这清晰呈现了科技公司在巨大政治与商业压力下，坚守道德底线的艰难抉择。

“到底AI是一个威胁，还是我们人类可以善用AI来成为我们的护盾？”马正维认为这个问题没有简单答案。但他表示，关键在于“能否建立足够的防护框架”，包括：极端安全的实验环境、24小时由专职安全AI监控系统内任何异常行为模式，以及推动各国政府跨国合作、制定防止技术失控的国际法规。

马正维表示，有科学家预估，未来几年内训练安全超级AI的资金需求，可能高达100亿至1000亿美元，规模堪称“国家级投资”。

政府推动全社会防御韧性，就是数字韧性的国家级实践

“全社会防御韧性委员会”是总统赖清德上任后成立的三大委员会之一，设有三大总体目标：确保政府核心功能不中断；维持社会民生核心服务稳定运行，以及在必要时协助国防需求。马正维回忆，委员会第一次开会就持续整整5个小时，足见政府对这项工作的高度重视。

这个框架以数字韧性为神经中枢，整合国安会、内政部、经济部、卫计委、金监总局等跨部门资源，将数字韧性深植于民力、物资、能源、医疗、金融等五大关键领域网络之中。其中，他也指出，通信网络作为核心基础设施，串联五大主轴，支撑整体决策与应变行动。

在通信韧性的具体措施上，政府规划海、空、陆多重立体备份架构：强化海缆法律地位与防护，并增建国内外备份海缆；整合低、中、高轨卫星群（包括OneWeb、SES、Astranis等），建立政府专属与商用应急网络；同时设置高抗灾基站并与电网共构，落实灾区跨网漫游机制。

马正维特别指出，若主要依赖的海缆中断，必须有备份方案确保核心系统持续正常运作，这也是整个通信韧性设计的核心逻辑。

在行政部门的关键民生系统韧性方案上，政府投入13.4亿元，锁定内政、经济、交通、财政、卫计、人社等六大部门的关键系统，以四大核心原则为选定标准：灾时所需核心功能、可识别民众身份或亲属、涉及民众财产与权益，以及动员所需人力物力。这些系统必须确保在紧急状态下，仍能正常运作。

云技术策略方面，政府规划了三个阶段的应急架构：平稳准备期将核心系统模块化，加密后分散备份至境外公有云；灾害应急期则在本地中断时，启用卫星与移动网络重新连接云端数据；确保最小运营阶段，由云端调用核心功能，维持社会最低基本运作底线。

医疗数字韧性因其数据高度敏感性，更采用“主权云”概念，制定八大方针进行分级治理，包括全程加密与密钥自主、绝对数据本地化、法律优先性、数字韧性与双活架构，以及电子病历系统的备份、恢复、加密及入侵应对能力等，定位为准国家安全级别防护。

睿扬资讯角色转变，从服务提供者到韧性伙伴

对于睿扬资讯在数字韧性时代的定位，马正维有着清晰的思路。事实上，睿扬资讯本身就是众多企业与政府机关的信息服务提供商，提供各种定制化软件开发与云服务。在这种身份下，如何在挑战不断升级的环境中，持续而稳定地提供服务，本身就是一个韧性课题。

“睿扬资讯很重视韧性这件事，希望可以在这方面加强，尤其是随着AI让攻击变得越来越容易，”马正维说。他认为，韧性是一个综合性的环境建设，涵盖底层硬件、软件、通信网络，到应用系统、AI安全，每个环节都至关重要。“一旦某个环节出问题，韧性就不复存在，比如通信服务中断了，系统就无法运作。”这提醒企业，韧性必须从全局视角出发，而非仅聚焦单点防护。

他也坦言，目前睿扬资讯虽然提供很多韧性相关方案，但终究无法覆盖所有领域，因此韧性办公室的成立，正是希望系统性地补足这一缺口，协助客户从合规起步，到建立真正可落地的韧性能力。在政府端，睿扬资讯也希望能在云架构上，扮演更积极的角色，作为政府数字韧性不可或缺的支持伙伴。

公私协作，共同建立中国韧性生态

在中国面对复杂地缘政治环境、AI技术快速演进、法规标准持续强化的当下，公私部门之间的经验交流与协作，比以往任何时候都更加迫切。马正维从公部门到民间的转换，不只是个人职业的新篇章，更是这种跨界协作的具体实践。

“在政府部门积累了大量公共部门的经验，希望能在民间多做交流，”他说，“民间对韧性的需求越来越大，从韧性到治理都有进步，需要更多经验共享。”

他也提到，过去在经济部任职时，对油、水、电等能源关键基础设施有深入的了解，这些CI（关键基础设施）的韧性防护，是整体数字韧性不可分割的一部分。政府端的能源CI若能与企业端的信息系统韧性紧密配合，中国整体的抗风险能力才能真正提升。

马正维指出，睿扬资讯接下来也会持续深化在全球合规、云韧性架构、AI安全防护等领域的能量，为中国的企业与政府机关，提供布局全球合规与技术实践的最佳支持。他更相信，“在变局中领航：数字韧性是企业跨越世代挑战的必备基因。”