當 AI 公司成為準公共基礎設施：治理、海外能動性與台灣軍事 AI 的三個追問

這篇文章由 AI 協作完成研究整合與初稿，我提供題目、推理鏈、論證結構與最後校對；文中涉及訴訟程序、持股比例、國際法與台灣法制的高風險 claim 都經過獨立 fact-check 階段查核。這是 Claude Taipei 第三場讀書會（luma.com/claude-taipei-3）的前置研究。

2026 年 3 月 9 日，Anthropic 把五角大廈告上加州北區聯邦地方法院。起因是 3 月 4 日 Anthropic 收到一封供應鏈風險認定函，國防部長隨後下令禁止與軍方有業務往來的承包商與 Anthropic 進行商業活動，GSA 也把 Anthropic 從 MAS 與 OneGov 名單上移除。Anthropic 公開的紅線只有兩條：拒絕參與大規模國內監控、拒絕完全自主武器。

這兩條紅線跟「全面退出國防」是兩回事。同一時間，Anthropic 仍以 Claude Gov 進入美國最高層級國安機密環境，並握有 2025 年 7 月 DoD CDAO 一份兩年期、上限 2 億美元的 prototype OTA。

加州北區法官 Rita F. Lin 在初步禁制令階段認為 Anthropic 的第一修正案報復主張有相當機會勝訴；幾週後 D.C. Circuit 於 4 月 8 日拒絕暫停同一個供應鏈風險認定，但准予加速審理。這兩件事可以同時為真，常被混成一句話講掉。

這個案子值得當引子，是因為它一次把好幾條本來各走各的線拉到同一個爭點上：模型公司的紅線、政府的採購權力、法院的初步司法判斷、產業同業團體的程序立場、公民自由團體對 AI 大規模監控的警告。

我想壓在一起談的，是三個常被分開的問題——OpenAI 與 Anthropic 的治理結構、海外使用者面對美國模型公司時剩下哪些能動性、台灣若要採用軍事 AI 該畫在哪條線上。它們共享一個前提：當一家公司同時掌握知識入口、政府採購和國安部署，繼續把它當「一般私人科技公司」就會失真。法律形式還是私人組織，產品效果已經接近準公共基礎設施。

這是 4 月 26 日 Claude Taipei 第三場讀書會的前置研究，目的是先把證據強度與結構問題理清楚，留下空間在現場討論。

一、先做三層查核

公共討論裡有太多「Anthropic 已被法院認證受到報復」「OpenAI 完全接受國防部一切用途」這類過度延伸的命題。先把證據強度分層，後面整個討論才不會在含糊處空轉。

1.1 已有明確公開證據

OpenAI 的治理轉型有完整官方紀錄。它於 2015 年以非營利組織成立，2019 年建立由非營利控制的營利子公司，2025 年完成重組，由 OpenAI Foundation 控制 OpenAI Group PBC。Foundation 可任免 Group PBC 董事，依公司公開揭露的約值持有約 26% 股權，Microsoft 約持 27%，員工與其他投資人約 47%。OpenAI 同時於 2024 年將 Safety and Security Committee 提升為獨立董事會監督委員會，可延後模型發布；其第三方評估合作條款規定第三方發表前須送 OpenAI 審查與書面核准。

Anthropic 的治理定位同樣清楚。它是公益公司，並設置 Long-Term Benefit Trust，由五位無財務利害的受託人組成，持有特殊 Class T 股份，可逐步取得董事會多數任命權；至 2026 年初，LTBT 任命的董事已成董事會多數。其 Responsible Scaling Policy v3.0 要求風險報告、外部審查與在特定條件下董事會與 LTBT 明示批准，並明確承認因競爭者的集體行動問題，公司無法單方面停下開發步伐。

Anthropic 與國防部衝突的時間軸：2026 年 2 至 3 月公開兩條紅線；3 月 4 日收到供應鏈風險認定函；3 月 9 日於加州北區聯邦地方法院起訴；同時於 D.C. Circuit 對另一項法定供應鏈風險認定程序提出挑戰。法庭之友方面，EFF、FIRE、Cato Institute、Chamber of Progress、First Amendment Lawyers Association 支持 Anthropic；CCIA、ITI、SIIA、TechNet 等產業團體主張政府應循既有法定與採購程序；ACLU 與 Center for Democracy and Technology 在 D.C. Circuit 強調 AI 大規模監控的隱私與公民自由風險。OpenAI 與 Google 員工以個人身分（非代表公司）提出意見書。

Anthropic 的「81,000 人、159 國」研究有效樣本為 80,508 份，採集自 2025 年 12 月一週，研究對象是既有 Claude.ai 使用者並須自願點選參與；Anthropic 自陳該樣本可能比一般社會更正面，且未主張全球人口代表性。

1.2 部分屬實但敘述常被混合

「Anthropic 全面對抗五角大廈」過度簡化。它同時推出 Claude Gov、已部署於最高層級美國國安機密環境，並握有 2025 年 7 月 DoD CDAO 兩年期、上限 2 億美元 prototype OTA；爭議聚焦於兩條紅線而非全面退出。

「OpenAI 已完全接受國防部所有用途」同樣過度簡化。OpenAI 與美國軍方協議採 cloud-only 部署、保留自家 safety stack，明文排除對美國公民／國民國內監控與 AI 獨立指揮自主武器；使用政策仍禁止武器開發、採購或使用，國安／情報用途須經 OpenAI 審查與核准。這些承諾的外部可審查性與法律可執行性仍待檢驗。

「81K 研究代表 159 國公民意見」也過度延伸。Anthropic 只主張對自家用戶社群具內部代表性，從未主張對各國一般人口的代表抽樣。

1.3 證據不足或需保留

「Anthropic 已被證明危害美國國安」目前缺乏公開證據支持——加州法官在初步禁制令中亦指出該供應鏈風險指定過往未曾用於美國本土公司。「OpenAI 或 Google 公司正式支持 Anthropic 訴訟」同樣不能成立，公開可查的意見書是員工以個人身分提出。「法院已最終確認政府違法報復」與「政府已合法執行供應鏈風險認定」皆過頭——現況是存在初步禁制救濟、存在加速審理、實體爭點仍未終局確定。後續討論應把「原告主張」「初步司法判斷」「終局法律結論」三者分開。

二、OpenAI 與 Anthropic 的治理結構：誰能否決部署？

兩家公司常被一起談，但治理結構長得很不一樣。值得追問的，是底下這幾條：權力如何分配、誰能否決高風險部署、投資壓力如何進入治理核心、安全承諾屬於可執行制度還是可修改的公關文本。

2.1 OpenAI：基金會控制與資本壓力同時嵌套

OpenAI 的最強論點是它並未完全轉為一般股份公司。Foundation 仍控制 Group PBC，能任命其董事，Charter 仍寫明使命指向人類整體。但這套結構也把商業成功直接轉成基金會資產增長——當「公司做大」與「基金會獲得更多再分配能力」綁在一起，公共利益就同時被資源化與金融化。

問題集中在三點。其一，2025 年重組導入更常規股權結構，治理衝突轉為「法律控制權」與「經濟誘因」之間的張力。其二，截至 2024 年底 ChatGPT 已有約 3 億 weekly users，需動員數千億美元等級運算——商業化已經是技術路徑的資本條件。其三，Preparedness Framework v2 的 Safety Advisory Group 由 OpenAI Leadership 任命，Leadership 可接受殘餘風險作部署決策——比品牌宣示更強，但距離外部法律問責仍有差距。第三方審查的限制更直接：OpenAI 第三方評估合作條款要求第三方發表前須送 OpenAI 審查與書面核准，意味其「外部獨立」帶有結構性閥門。

2.2 Anthropic：把使命寫進法人結構，仍承受競爭壓力

Anthropic 的最強論點是把 mission lock-in 寫入公司治理。LTBT 受託人具財務上相對獨立性，能任命董事，並於 2026 年取得董事會多數任命權。這比一般「倫理委員會」文件多出一層董事任命層次的制度基礎。從 Anthropic 公開治理頁面對 LTBT 的設計理由可推論，公司認為 PBC 法制只讓董事「可以」衡量公共利益，並不會自動讓董事對公眾負責，所以才需要 LTBT 補強。

第二個強論點來自實際衝突。當美國國防部要求接受「任何合法用途」條款時，Anthropic 願意冒著失去合約並遭供應鏈風險指定的代價維持兩條紅線；安全承諾因此曾在高壓國安採購情境中受過測試。

但 Anthropic 的治理風險同樣明顯。LTBT 仍是私人治理機制，受託人並非由使用者、勞工、非美國社會、戰區平民或國會選出；其公共性來自個人聲譽與使命設計，並非民主授權。商業壓力很強——Amazon 對 Anthropic 投資總額（截至 2024 年 11 月追加投資後累計）達約 80 億美元，AWS 為主要雲端與訓練夥伴；Anthropic 2025 年完成 130 億美元 F 輪、估值 1,830 億美元。它也並非外於國防生態：推出 Claude Gov、透過 Bedrock／Vertex／Azure 多雲銷售並支援 FedRAMP High 與 DoD IL，並透過 AWS GovCloud／Secret／Top Secret Cloud Regions 提供。治理上要追問的，已從「是否參與國安」轉為「參與到何種程度、哪些用途禁止、由誰監督」。

RSP v3.0 對集體行動困境的承認，是一份難得的誠實文本——它明言因競爭者集體行動問題，無法承諾單方面停下開發步伐。任何只靠公司自律的安全框架，都會在競爭條件惡化時退回較低約束力的版本。

2.3 投資人影響不長得像董事席次

外界容易以「董事會有沒有 Microsoft／Amazon 席次」判斷投資人影響力。FTC 2025 年的 6(b) 研究提供更精確視角：Microsoft-OpenAI、Amazon-Anthropic、Google-Anthropic 這類夥伴關係造成計算依賴、技術與契約轉換成本、敏感商業資訊共享、排他與控制效果。真正的 investor influence 更可能長得像多雲基礎設施依賴、巨額運算承諾與分銷渠道綁定。Microsoft 雖曾在反壟斷壓力下退出 OpenAI 觀察員席位，仍持有重大股權與計算合作關係。

2.4 我認為值得信任的三個判準

值得信任的，是會改變決策權分配的安排（如 Anthropic LTBT 多數任命權、OpenAI 安全委員會的延緩權），是可外部驗證的安排（公開風險報告、可公開批評的外部審查、契約化紅線、事故通報），以及公司自陳文件中承認自己做不到的部分（如 Anthropic 承認不能單邊停賽，比空泛宣稱「永遠把安全擺第一」更誠實）。

較不值得信任的承諾，是不能被外部驗證、缺乏救濟管道、並可由公司單方撤回的版本——這也與 RSP v3.0 自承的集體行動困境互為印證。最容易混淆的盲點是「公司有安全文件」被誤認為「已經有公共治理」。Preparedness Framework 與 RSP 都主要鎖定災難性風險、武器化、生物風險、自治能力與模型失控；相對於這些具體治理流程，公司文件對勞動重組、跨境語言不平等、公共討論扭曲、平台依賴、媒體生態壓力與非美國使用者的程序地位，目前未見對等的前置評估制度。私人安全框架的結構限制是：公司較容易治理自己最擅長量化的風險，較難主動承擔影響分配與民主正當性的外部成本。

三、「安全」其實是五件事——拆開才談得下去

當 OpenAI 說它在做安全、國防部說它在做安全、ICRC 也說它在做安全時，這些「安全」其實指涉不同對象。我的判斷是，把它們刻意拆成五種，是後續討論不打結的前提。以下五分法是我提出的分析框架，每一類都對應到不同的治理主體：

• 國安安全——國家防衛、情報、資安與供應鏈韌性。對應 DoD Directive 3000.09 與台灣 2025 QDR 對中共灰色地帶威脅的描述。
• 產品安全——模型不被濫用、不造成錯誤高風險建議。對應 OpenAI Preparedness Framework v2 與 Anthropic RSP v3.0，集中於災難性風險、CBRN、自治能力與模型失控。
• 社會安全——勞動轉型、資訊環境、教育、選舉與公共討論的穩定。在公司框架中相對薄弱，多半透過使用政策事後處理，缺乏前置的影響評估制度。
• 公民自由——隱私、言論、集會、程序正義與反監控。Anthropic 與國防部衝突的「大規模國內監控」紅線、ACLU 與 CDT 在 D.C. Circuit 的 amicus 都聚焦於此。
• 地緣政治安全——民主陣營技術能力、供應鏈分散、防止威權濫用。台灣處境特別敏感，國防自主與民主治理在這個面向同時被測試。

每個主體都以自己最擅長量化的風險為核心，缺乏對其他面向的內生問責能力。OpenAI 的 Preparedness Framework 由 Leadership 任命的 Safety Advisory Group 負責，能處理產品安全，但對「公司決策對台灣勞動市場的影響」沒有對應審議結構。DoD Directive 3000.09 要求自主武器須讓指揮官與操作員保有適當層級的人類判斷，並要求高層批准與法律審查，能處理武器系統的法律審查，但對「使用同一模型公司的雲端是否使本國通訊主權受損」沒有設計對應程序。ICRC 主張對自主武器設立法律拘束力新規則；UN CCW GGE on LAWS 指導原則確認 IHL 適用於所有武器系統，人類責任不能轉移給機器——這套國際人道法基線重要，但對「軍事 AI 整合對國內公民自由的外溢效應」沒有直接機制。

只要這五種安全沒有被刻意拆開，就會出現公司說自己在做安全、政府也說自己在做安全，但一般人承受的社會與權利風險卻沒有任何人真正負責的情形。

四、海外使用者剩下哪些能動性——四條制度槓桿

對美國以外的一般使用者，最大的誤解是把自己想成純粹消費者，再從這個身分推論能動性只剩「用或不用」。這個推論太窄。從制度位置看，海外使用者至少同時具備四種身分：產品使用者、政策約束對象、資料與行為訊號提供者、風險承擔者。

Anthropic 81K 研究就是個示範——它直接動員既有 Claude 使用者蒐集想像、焦慮與用途，並明言這些洞見會用來形塑研究與產品。OpenAI 使用政策則明白規定，使用者必須接受內容限制、監測與執行機制，並可在公司認為有必要時被拒絕服務。當 AI 系統已深度進入教育、工作、客服、知識搜尋與政府服務，這些私人規則帶有準公共規範功能。

我認為個人能動性適合理解為「有限但可累積」：降低不必要資料輸入、避免把高風險決策完全委託模型、保留人工與非 AI 工作流程、學會辨識模型不確定性、在組織內要求 AI 採購準則。這些行動無法單獨改變大型公司，但能形成需求訊號、事故證據與倡議素材。

採購條款是最直接的成本介入。 對學校、媒體、NGO、地方政府與企業，我建議採購契約至少寫進五件事：模型更新通知與版本可追蹤、資料不進訓練的明確選項、事故與誤用通報、外部稽核配合義務、高風險用途的人類覆核與退出權。真正會改變公司行為的，通常是被寫進銷售與部署門檻的要求——OpenAI 與軍方協議值得注意之處，正在於它把紅線寫進部署架構與契約。

標準制定可以把在地需求轉成可審查骨架。 NIST AI RMF 將 AI 風險管理分為 govern、map、measure、manage 並強調納入多元觀點，雖屬自願框架，可作組織內部 AI 風險治理與採購問卷的骨架。OECD AI Principles 強調 AI 應尊重法治、人權、民主價值，受不利影響者應能取得資訊並挑戰 AI 輸出。EU AI Act 對 GPAI 提供者設定義務，2025 年 8 月起部分義務適用，最先進且具系統性風險的模型須通知 AI Office——這顯示非美國市場可透過合規影響美國公司。

跨國聯盟回應集體行動困境。 當 RSP 自承單邊停賽有集體行動困境，公共治理若停留在單國、單公司、單組織，很容易被競爭壓力擊穿。我認為海外公民社會可採取的方向，是與數位權利團體、勞工團體、消費者保護團體、學術機構及地方政府建立議題聯盟，把模型透明度、事故通報、資料選擇退出、政府採購資訊公開與高風險用途限制當成共同最低綱領——可以先在機構採購、專業公會守則、基金會資助條件與跨國研究合作中落地。

程序正當性的最低清單。 當公司定義「安全」時，我主張非美國社會應要求至少六項程序：多語言透明文件、非美國法域的權利影響評估、跨境申訴與救濟機制、模型更新對高風險組織的影響說明、外部審查者不依賴公司資金的發聲空間、對公共部門部署建立可受民選代表審查的紀錄。少了這些，即便公司能真誠地想做對的事，其他社會仍只能被動承擔美國市場、國安與公司競爭共同製造的風險。

五、台灣的軍事 AI 邊界：雙重張力與分層治理

台灣看待自主武器、軍事 AI 與 AI 公司關係時，首要前提是先放下抽象的支持或反對表態，回到雙重張力上：一方面是面對灰色地帶壓迫、認知作戰、飛彈威脅、海空封鎖風險與大國競逐的小型民主社會；另一方面，台灣法制也明確將文人控制、全社會國防與自主國防基礎納入國防制度。

依《國防法》英文版，總統是三軍統帥，國防部長為文人職；武器裝備取得應優先考量國內建造並結合技術移轉，以建立自主國防基礎。2025 國防總檢討強調全社會防衛韌性、灰色地帶應處與國防創新；國防創新辦公室的優先項目包含無人系統、反無人機、AI 應用、通信與資訊安全；2026 年將以小批量方式採購新興技術，公開徵求衛星影像 AI 自動辨識、AR 智慧作戰系統與智慧倉儲管理原型。數位發展部《人工智慧基本法》確立七項原則：永續、人的自主、隱私與資料治理、資安與安全、透明與可解釋、公平不歧視、問責；另設全社會防衛韌性委員會作為跨部門架構。

5.1 軍事 AI 必須先做概念分層

我提出一個分析框架，把軍事 AI 至少分四層：後勤與行政；感測與辨識（衛星影像標註、異常偵測、目標提名）；指揮與決策支援（戰場模擬、資源配置、威脅排序）；致命武器系統中的選擇與攻擊目標。公共討論常把這四層混為一談，結果若非過度樂觀就是過度抽象地恐懼。真正需要最高門檻程序的，是第三層接近第四層之處——AI 是否開始壓縮人類審查時間、模糊責任鏈、或使「人類在迴路內」淪為形式簽核。

5.2 戰略利益與制度風險都是真的

台灣有強烈動機發展軍事 AI 與自主化系統，可以降低人力負荷、加快感測到決策的循環、提升在高強度電磁干擾與消耗戰中的持久性，並在無人載具、監偵與反灰色地帶場景中增強不對稱能力。從生存邏輯看，完全排斥相關技術可能是把節奏讓給對手。

但我把幾項主要制度風險歸納為五點：

• 自動化偏誤——當模型輸出進入指揮鏈，操作員可能因時間壓力、權威感與資訊不對稱，過度相信 AI 標記。
• 責任稀釋——目標辨識由模型產生、系統由外國公司供應、雲端由大型供應商維運、整合由國防承包商執行、最終命令由軍方下達；若發生違法攻擊或誤傷，誰負責必須事前明定。模型公司本身未必直接握有最終扳機，但確實在定義可做什麼、在哪裡部署、保留何種限制、誰能存取這些能力——真正的武力責任並不因為模型公司「不在最後一公里」就自動消失。
• 國內監控正常化——面對認知作戰，民主社會需要防衛資訊環境，但不能把整體社會變成常態監控場域。
• 供應鏈依賴——高度依賴單一美國模型公司、雲端商或國防承包商，可能在危機時受制於出口管制、契約限制、雲端可用性、政治變動與美國國內爭議。
• 民主監督不足——軍事 AI 涉及資料、模型、決策流程與殺傷鏈整合，若完全以機密排除外部審查，將削弱文人統制與國會預算監督。

5.3 等國際規則成熟與沒規則往前衝都會留下大洞

CCW 仍未形成具拘束力的全球新條約，美國與俄羅斯反對新條約。台灣若等國際規則完全成熟再決定，實務上可能等不到；但毫無自訂規則往前衝，會在法律與民主正當性上留下大洞。

美國軍方自身其實也沒有「完全放手」。DoD Directive 3000.09 明定，自主與半自主武器系統必須讓指揮官與操作員在使用武力時保有適當層級的人類判斷，且系統須經嚴格驗證、測試與法律審查；超出特定例外情形的自主武器系統，還必須在正式開發前與部署前取得高層批准。美國 DoD 的這套程序設計，至少展示了一種可審查、可法律審查、可問責的軍事 AI 治理底線。台灣若要在《國防法》文人統制原則下發展類似制度，可參考其結構作為起點；但需就立法院監督體系、機密版報告制度、民間專家諮詢小組在敏感領域的可操作性等本地配置另作設計，並以本地實證研究持續校正——直接套用美國憲政程序（如第一修正案報復爭議的法律語境）會失真。

5.4 我提議的軍事 AI 採購九項原則

關於台灣的軍事 AI 採購，我建議將用途分三層作邊界：

• 原則上禁止或暫停：沒有有意義人類控制的致命自主目標選擇與開火、AI 大規模國內政治監控、以生物特徵建立未經法定授權的群眾追蹤、無法記錄決策路徑的武器化 AI、無法限定時間／地理範圍／目標類型的自主攻擊系統。
• 高風險、需許可與國會監督：目標辨識、殺傷鏈排序、指管決策支援、戰術無人機群、電子戰自動化、網路攻防輔助、戰場資訊融合、國安級模型與外國雲端部署。應要求武器審查、資安審查、IHL 影響評估、演訓紀錄、操作員訓練、人類覆核、日誌保存與事故通報。
• 低風險或非殺傷用途：後勤、維修、訓練、文件翻譯、行政流程、災害救援、民防資源配置、非個資化情資整理。仍需資料保護與資安要求，但不必用殺傷鏈等級審查。

在此分層上，我進一步提議九項採購原則作為討論起點。前五項較接近一般民用採購應有的擴充，後四項則是台灣憲政與國防體制下需另作設計的部分：

1. 標示模型公司、雲端商、整合商、資料來源、部署位置、模型版本與更新權限；
2. 殺傷鏈相關系統保留人類確認、否決與停用權；
3. 所有目標建議需有可回溯日誌；
4. 合約明定不得用於未授權國內監控；
5. 供應商不得單方面調整安全限制、模型版本或資料流向；
6. 外國供應商接受台灣指定之第三方資安與 IHL 型審查；
7. 建立機密版國會報告，由立法院外交及國防委員會審查高風險軍事 AI 採購；
8. 設置具安全查核資格的民間專家諮詢小組，審查非作戰機密層面的倫理與人權風險；
9. 建立替代供應鏈與離線備援，避免單一外國模型或雲端形成戰時瓶頸。

軍事 AI 不見得能完全照搬民用規則，但若一套技術在平時社會被要求遵守人類自主與問責，在戰時與國防體系中卻完全豁免，至少應由民選代表清楚說明豁免的範圍與理由。凡是不能公開說明的技術邊界，通常也是民主監督最薄弱之處。

六、誰有權為 AI 劃界——我提議的七項治理原則

把三個問題擺一起，真正的主軸是「誰有權為 AI 劃界」。今天最常見的答案有五種：公司自行劃界、董事會劃界、國家劃界、市場劃界、民主社會劃界。問題在於，前四者目前都很強，第五者普遍偏弱。模型公司設定技術邊界，雲端公司掌握可部署性，政府決定高價值採購與國安例外，使用者與受影響者卻通常只在事後知道規則。

Anthropic 與國防部之爭格外重要，因為它把公司紅線、政府權力、法院審查、產業同業與公民自由團體全部拉到同一個爭點上，逼大家正面回答：高風險 AI 邊界究竟由誰來畫。

在台灣的位置上，這個問題更不能被外包。台灣既可能成為治理試驗場，也可能只是技術接受者。若只重視快速導入外國模型與系統，容易在供應鏈、資料治理與作戰關鍵節點上形成新依賴。若能把《國防法》的自主基礎、國防創新辦公室的小批次測評、全社會防衛韌性委員會的跨部門架構，以及 AI 基本法的人權與問責原則連起來，台灣有機會成為規範倡議者。

當 AI 公司的產品已具有準公共基礎設施影響力時，我認為治理原則至少應新增以下七項。這是我綜合前述案例提出的主張，並非援引自既有國際標準；目的是邀請更多在地證據與民主審議介入：

1. 公共功能觸發義務：是否適用更高問責，應看產品功能與社會依賴程度，而不是公司所有權形式。當 AI 系統達到大量人口依賴、進入公共服務與勞動市場、影響選舉、接入國安或軍事流程、可能造成不可逆傷害——就應引入透明度、稽核、事故通報、受影響者申訴、採購監督與外部評估。

2. 可審查安全承諾：安全政策、紅線、模型部署、重大例外與國安契約，至少應有監管機關、法院、國會或合格第三方可審查版本。OpenAI 第三方評估須先送公司核准的條款正是反例。

3. 受影響者代表性：非美國使用者、勞工、公民社會、弱勢群體、戰區平民與小型民主社會，需要制度化管道參與安全與風險定義。Anthropic LTBT 受託人雖獨立於財務利害，仍由公司設計而非民主授權產生，需要外部代表機制補位。

4. 跨國程序正義：大型 AI 公司不能只用美國法律、美國國安與美國市場需求定義全球安全；歐盟、台灣、日本、韓國、印度、拉美、東南亞與全球南方都應有參與標準制定與風險評估的管道。EU AI Act 與 OECD AI Principles 提供了第一批可援引的制度槓桿。

5. 採購即治理：政府、學校、醫院、國防部門與公共機構採購 AI 時，應把資料治理、日誌、事故通報、在地評測、禁止用途、稽核權與申訴機制寫入契約。NIST AI RMF 的 govern／map／measure／manage 結構可作為組織採購骨架。

6. 軍事 AI 的文人統制與人類責任：自主武器、目標辨識、指管整合必須保留有意義人類控制、法律審查、國會監督與事故調查。對台灣而言，這意味把美國 DoD Directive 3000.09 等級的程序密度作為起點，並在《國防法》文人統制原則下，就立法院監督體系、機密版報告與民間諮詢小組等本地配置另作設計。

7. 可退出與可替代：多供應商、開放標準、資料可攜、離線備援、人工替代流程，使任一公司、雲端或國家政治條件變動時，公共能力不會跟著中斷。Anthropic 與美國國防部衝突的快速變化，正凸顯供應鏈單點依賴的代價。

少了這些原則，AI 公司的確仍是私人公司，但它們會以私人公司之名，行使公共基礎設施之實。

七、誠實的限制與未盡之處

收尾前要標示兩個論證限制與兩個程序保留。

第一個限制，「準公共基礎設施」的類比有限。把 AI 模型公司類比為公共事業或金融基礎設施，可能高估目前模型的不可替代性，也可能低估競爭性開源生態（Llama、Mistral、Qwen 等）對「依賴度」假設的稀釋。「公共功能觸發」的觸發條件需要更精細的可操作門檻（例如每月活躍用戶數、市場集中度指標、特定公共部門依賴比例）；我目前沒有辦法提出具體門檻，僅能標示這是後續制度設計必須補上的缺口。

第二個限制，從美國資料推到台灣建議是個跨層級推論。前述多數一手資料來自美國，再經類比與規範性推論延伸到台灣的軍事 AI 採購與民主監督建議。從美國市場結構與美國憲政程序能否直接映射到台灣憲政與國防體制，需要本地實證——例如立法院外交及國防委員會的現有審查能量、機密版報告制度的歷史經驗、民間專家諮詢小組在敏感領域的可操作性。

兩個程序性保留：Pentagon-Anthropic 爭議仍在進行中，截至 2026 年 4 月 19 日尚未終局判決，讀者仍應保留後續更新空間；台灣軍事 AI 的具體系統部署有相當部分不公開，這裡只能基於公開法規、政策與採購方向提出原則，而無法對未公開系統作出斷言。

八、結語：這個討論不能延後

我想直接說一個判斷：這個討論不能延後到「等國際規則成熟」「等下一次政府換屆」「等 AI 真的出事」。

幾條時間性線索擺在一起——Anthropic 與五角大廈的訴訟在 2026 年 4 月仍未終局，但已經改寫了「美國公司可以用自己的安全紅線抗拒政府要求」這件事的可信度上下限；OpenAI 在 2025 年完成重組、Anthropic LTBT 在 2026 年初取得董事會多數任命權，治理結構的測試點正在發生；台灣 2025 QDR 與 2026 年的小批量採購已把無人系統、AI 應用、反無人機列為優先；EU AI Act 的 GPAI 義務在 2025 年 8 月起部分適用，非美國市場已開始用合規影響美國公司。這些事件的共同點是：邊界正在被別人代我們畫。

如果民主社會、海外使用者、台灣的立法與民間參與不在現在介入，等想介入的時候，AI 公司、美國行政部門與國防生態的邊界會已經被定型。

4 月 26 日的 Claude Taipei 第三場讀書會是一個介入的機會。這篇文章只是把證據與結構先擺到桌上，讓現場討論可以從一個共同的認知地圖開始——七項治理原則、九項軍事 AI 採購原則、五種安全意義、四條海外使用者能動性槓桿，全部歡迎被質疑、被細化、被反例挑戰。讀書會見。

活動連結：https://luma.com/claude-taipei-3

參考資料

1. OpenAI, Built to benefit everyone 與 Our structure：2025 重組後 Foundation 控制 Group PBC 的官方說明，含股權結構揭露。來源等級 A。
2. Anthropic, The Long-Term Benefit Trust 與 Responsible Scaling Policy v3.0：LTBT 設計理由、董事任命權，以及 RSP 對集體行動困境的自我承認。來源等級 A。
3. Anthropic v. Department of Defense（加州北區聯邦地方法院初步禁制令；D.C. Circuit 2026-04-08 緊急救濟命令）：兩線訴訟主要法院文件，以及 EFF、FIRE、Cato、Chamber of Progress、CCIA、ITI、ACLU、CDT 等 amicus brief。來源等級 A。
4. OpenAI 與美國國防部協議公開說明（2026 年 3 月）：cloud-only 部署、safety stack 保留、紅線寫入契約之具體條款。來源等級 A。
5. Anthropic, What 81,000 people want from AI 主報告與方法附錄：80,508 有效樣本、自選樣本性質、公司自陳之代表性限度。來源等級 A。
6. 美國 FTC 大型 AI 夥伴關係 6(b) 研究（2025）：Microsoft-OpenAI、Amazon-Anthropic、Google-Anthropic 結構性依賴的政府研究。來源等級 A。
7. DoD Directive 3000.09、ICRC 自主武器立場文件、UN CCW GGE on LAWS 指導原則：軍事 AI 國際規則底線與美國國防部現行程序密度的對照。來源等級 A。
8. 台灣《國防法》英文版、2025 國防總檢討、《人工智慧基本法》七項原則新聞稿：台灣憲政與政策層的法源與戰略文件。來源等級 A。