AI 只會跟它能存取的資料一樣聰明——而這正是企業最大的風險盲點

Joe Burke
2025年12月4日
讀畢需時 4 分鐘

已更新：2025年12月20日

開門見山：AI 出問題，通常不是因為它「不夠聰明」

而是因為它不知道自己「不知道什麼」。

在企業場景中，AI 工具的判斷品質，取決於三件事：

它拿得到哪些資料
它被允許看到多少
它是否知道「目前看到的資料其實不完整」

這正是現在多數企業在導入 AI、RAG、Agentic AI 時，最容易忽略、但風險最高的一段。

MCP Servers：便利的背後，其實是治理問題

Model Context Protocol（MCP）Servers 常被形容為：

「幫 AI 插上一支 USB，立刻擴充資料來源。」

這個比喻很貼切，但從企業治理與資安角度來看，它同時也非常危險。

MCP 的價值在於「打通資料孤島」，但風險在於：

一旦資料被打通，原本的權限邊界、情境假設、合規設計，是否還存在？

對台灣多數企業而言，這不是未來式，而是已經正在發生的現在式。

當 AI 開始「跨部門、跨系統、跨供應商」

問題就不再只是 IT，而是治理

以下三個情境，台灣企業其實一點都不陌生：

① 金融與大型企業：你真的有「資料防火牆」嗎？

在金融機構或大型企業中，不同部門之間本來就存在資訊隔離機制（俗稱倫理牆）。

但問題是——

當 AI 透過 MCP Servers 同時彙整多個系統的資料時：

這些隔離規則，還有被完整繼承嗎？
AI 產出的「彙整答案」，是否已經跨越原本不該被整合的資訊邊界？

風險不在於 AI 惡意，而在於它「過度熱心」。

② 政府與高度監管產業：權限不同，答案卻一樣？

在政府、國營事業、關鍵基礎設施或高度監管產業中，資料本來就依照層級、職責、專案被嚴格區隔。

但 AI 不會「主動提醒」你：

「我現在給你的答案，只是部分事實。」

當不同權限的人，

對 AI 問同一個問題，AI 是否知道該回覆「不同完整度」的答案？

如果不知道，那風險就已經發生。

③ 醫療與個資場景：AI 建議的依據，真的完整嗎？

Agentic AI 在醫療、保險、照護場景中，已開始扮演「輔助決策者」。

但一個關鍵問題是：

資料是否最新？
是否跨院、跨系統？
是否涉及第三方平台？
是否符合個資與隱私法規？

AI 若無法判斷資料完整度，任何「看似合理」的建議，都可能是錯的。

本質問題只有一個

AI 只會跟它能存取的資料一樣聰明。

而 MCP 帶來的，是兩個企業必須正面面對的挑戰。

以下是一個簡化後的 AI 工具鏈示意，展示 Query 如何透過 MCP Servers 擴散到多個資料來源。

使用者或 Agent 的查詢，會先經由 Query Orchestrator 與 RAG 系統整合，再透過 MCP Servers 分別存取不同的 API、資料庫與檔案系統，最後由 LLM 彙整回傳結果。

任何一個節點的權限、身分情境或資料可用性發生變化，都可能影響 AI 最終給出的答案。

問題在於：AI 是否知道這些變化已經發生？

挑戰一：多步驟風險，企業卻常假設「一切正常」

企業現在的 AI 工具，往往同時依賴多個 MCP Servers 與後端系統。

但現實是：

系統會斷線
API 會失效
權限會變更
資料會被臨時封存

問題在於：

AI 是否知道「自己現在拿到的是不完整的資訊」？

如果不知道，那它依然會給你一個「看起來很有信心」的答案。

挑戰二：身分是多維的，但 AI 常被當成單一角色

在企業環境中，身分從來不是單一維度：

使用者是誰
他目前扮演什麼角色
這次查詢的業務情境是什麼

但如果 AI 在整個 RAG → LLM → MCP Server 鏈路中，

沒有完整攜帶並驗證這些身分與情境，那就等同於讓 AI「猜」。

在企業環境裡，「猜」本身就是風險。

一個很現實的場景

同樣一個問題，資深主管、專案 PM、外包顧問，真的應該看到一樣的答案嗎？

如果 AI 無法區分，那責任最後會落在誰身上？

真正該問的不是「AI 會不會幻覺」

而是：

當資料不完整時，AI 有沒有誠實告訴你？

對台灣企業來說，這關係到：

內控
稽核
合規
以及決策品質

往前走，企業至少要守住三件事

1️⃣ 身分必須一路被帶著走（不是登入一次就算）

2️⃣ 資料完整度必須被揭露，而不是被假設

3️⃣ MCP Servers 的存取，本質上就是一個資安議題

一句話總結：先授權，再執行；沒有例外。

結語：這不是工具問題，而是成熟度問題

AI 工具鏈的成熟，不會來自單一產品，而是來自身分治理 × 基礎架構 × AI 設計的協同。

如果企業現在沒有問這些問題，未來就只能在事故發生後，被迫回答。

在繼續投入 AI 之前，企業應該先誠實回答三個問題：

我們目前使用的 AI / RAG 工具，是否知道自己取得的是完整資料，還是僅是片段資訊？
當 AI 的回應是基於不完整或暫時無法存取的資料時，使用者是否被清楚告知這個限制？
在跨系統、跨資料來源的情境下，AI 是「以誰的身分」在存取企業內部資料？

如果這些問題難以回答，風險往往不在 AI 本身，而在於企業對「存取權限與身分情境」的假設。

下一篇，我們將深入探討：

企業該如何在不犧牲創新速度的前提下，建立「可被信任的 AI 工具鏈」。

開門見山：AI 出問題，通常不是因為它「不夠聰明」

而是因為它不知道自己「不知道什麼」。

在企業場景中，AI 工具的判斷品質，取決於三件事：

它拿得到哪些資料

它被允許看到多少

它是否知道「目前看到的資料其實不完整」

這正是現在多數企業在導入 AI、RAG、Agentic AI 時，最容易忽略、但風險最高的一段。

MCP Servers：便利的背後，其實是治理問題

Model Context Protocol（MCP）Servers 常被形容為：

這個比喻很貼切，但從企業治理與資安角度來看，它同時也非常危險。

MCP 的價值在於「打通資料孤島」，但風險在於：

一旦資料被打通，原本的權限邊界、情境假設、合規設計，是否還存在？

對台灣多數企業而言，這不是未來式，而是已經正在發生的現在式。

當 AI 開始「跨部門、跨系統、跨供應商」

問題就不再只是 IT，而是治理

以下三個情境，台灣企業其實一點都不陌生：

① 金融與大型企業：你真的有「資料防火牆」嗎？

在金融機構或大型企業中，不同部門之間本來就存在資訊隔離機制（俗稱倫理牆）。

但問題是——

當 AI 透過 MCP Servers 同時彙整多個系統的資料時：

這些隔離規則，還有被完整繼承嗎？

AI 產出的「彙整答案」，是否已經跨越原本不該被整合的資訊邊界？

風險不在於 AI 惡意，而在於它「過度熱心」。

② 政府與高度監管產業：權限不同，答案卻一樣？

在政府、國營事業、關鍵基礎設施或高度監管產業中，資料本來就依照層級、職責、專案被嚴格區隔。

但 AI 不會「主動提醒」你：

當不同權限的人，

對 AI 問同一個問題，AI 是否知道該回覆「不同完整度」的答案？

如果不知道，那風險就已經發生。

③ 醫療與個資場景：AI 建議的依據，真的完整嗎？

Agentic AI 在醫療、保險、照護場景中，已開始扮演「輔助決策者」。

但一個關鍵問題是：

資料是否最新？

是否跨院、跨系統？

是否涉及第三方平台？

是否符合個資與隱私法規？

AI 若無法判斷資料完整度，任何「看似合理」的建議，都可能是錯的。

本質問題只有一個

而 MCP 帶來的，是兩個企業必須正面面對的挑戰。

以下是一個簡化後的 AI 工具鏈示意，展示 Query 如何透過 MCP Servers 擴散到多個資料來源。

使用者或 Agent 的查詢，會先經由 Query Orchestrator 與 RAG 系統整合，再透過 MCP Servers 分別存取不同的 API、資料庫與檔案系統，最後由 LLM 彙整回傳結果。

任何一個節點的權限、身分情境或資料可用性發生變化，都可能影響 AI 最終給出的答案。

問題在於：AI 是否知道這些變化已經發生？

挑戰一：多步驟風險，企業卻常假設「一切正常」

企業現在的 AI 工具，往往同時依賴多個 MCP Servers 與後端系統。

但現實是：

系統會斷線

API 會失效

權限會變更

資料會被臨時封存

問題在於：

AI 是否知道「自己現在拿到的是不完整的資訊」？

如果不知道，那它依然會給你一個「看起來很有信心」的答案。

挑戰二：身分是多維的，但 AI 常被當成單一角色

在企業環境中，身分從來不是單一維度：

使用者是誰

他目前扮演什麼角色

這次查詢的業務情境是什麼

但如果 AI 在整個 RAG → LLM → MCP Server 鏈路中，

沒有完整攜帶並驗證這些身分與情境，那就等同於讓 AI「猜」。

在企業環境裡，「猜」本身就是風險。

一個很現實的場景

同樣一個問題，資深主管、專案 PM、外包顧問，真的應該看到一樣的答案嗎？

如果 AI 無法區分，那責任最後會落在誰身上？

真正該問的不是「AI 會不會幻覺」

而是：

當資料不完整時，AI 有沒有誠實告訴你？

對台灣企業來說，這關係到：

內控

稽核

合規

以及決策品質

往前走，企業至少要守住三件事

1️⃣ 身分必須一路被帶著走（不是登入一次就算）

2️⃣ 資料完整度必須被揭露，而不是被假設

3️⃣ MCP Servers 的存取，本質上就是一個資安議題

一句話總結：先授權，再執行；沒有例外。

結語：這不是工具問題，而是成熟度問題

AI 工具鏈的成熟，不會來自單一產品，而是來自 身分治理 × 基礎架構 × AI 設計 的協同。

如果企業現在沒有問這些問題，未來就只能在事故發生後，被迫回答。

AI 工具鏈的成熟，不會來自單一產品，而是來自身分治理 × 基礎架構 × AI 設計的協同。