面向 AI 供应商的控制映射 OS——用一张证据图同时打通 SOC 2、ISO 27001 和 ISO 42001，拿下受监管企业客户。

1. 拿到种子轮的 AI 公司，现在在公司刚起步时就把认证预算排进去，而不是等到后期企业化规模才补。
2. AI 供应商想扩张美国和欧洲业务，越来越要先证明自己在安全和 AI 治理上准备就绪，受监管买家才会放大部署。
3. 预防式合规正在从服务型收尾工作，长成一个独立的企业软件品类。
4. 律师已经开始进入落地闭环，这给一类软件腾出了位置——它能把法务、安全和产品证据塞进同一条可复用工作流。

催化因素。 Compuvi 拿种子轮去冲认证并扩张美欧市场，说明预防式合规已经不是后台收尾工作，而是 AI 卖进受监管企业前线必须先补的一关。

产品不是围着核对表转，而是围着控制图搭一个预防式合规工作台。它会吃进架构文档、模型清单、供应商列表、政策、工单和部署变更，再把每份材料映射到 SOC 2 Type 2、ISO 27001、ISO 42001 以及买家问卷中重叠的控制项上。系统会生成差距分析、证据请求和可直接给审计师看的叙事；这些内容可以跨框架复用，而不是每次审计都从头写。对销售和采购团队，它会提供一个带权限的信任资料室，里面放好预审过的答案、引用和法务批注。时间一长，这张图就会变成公司向客户、认证机构和律师证明自己在负责任地运营 AI 的系统记录。

差异化。 现有安全合规自动化工具，强在通用证据收集；咨询公司，强在一次性审计项目。这个公司卡在两者之间：它专门服务 AI 供应商，要解决的是模型特有的治理证明，并把同一套控制逻辑复用到认证、采购和法务评审里。真正能守住的资产，是那张跨框架控制图，以及哪些证据、叙事和例外处理最能帮受监管企业交易过关的工作流数据。

待完成任务

flowchart LR
  Buyer[受监管买家] --> Pain[认证与安全评审瓶颈]
  Pain --> Product[AI 认证控制图]
  Product --> Outcome[更快过审并拿到生产批准]

高管要点

• 预防式合规正在前移到收入周期更早的位置：Compuvi 一边搭美欧 GTM，一边明确把种子资金投向 SOC 2 Type 2、ISO 27001 和 ISO 42001；多份问卷相关资料也说明，受监管买家依然会制造大量手工证据瓶颈。
• 这机会比通用 GRC 更窄：现有厂商擅长自动化收集证据或处理供应商评审，但真正的空白，是一张 AI 原生控制图，把同一套证据底座复用到认证、采购和律师评审里。
• 监管压力不是单点事件，而是层层叠加；EU AI Act 落地、DORA 监管、NIST AI RMF 和 ISO 42001 叠在一起，把可审计 AI 治理的门槛整体抬高。
• 市场有吸引力，但并不空；要赢，既要靠伙伴分发，也要在 AI 治理工作流上比大而全的合规套件更深。

市场定义

卖给受监管企业客户的 AI 供应商所需的预防式合规软件：把安全、AI 治理和采购证据映射到 SOC 2、ISO 27001、ISO 42001 和买家问卷上的软件。

用户与买方

主要用户，是 50-200 人 AI 供应商里的安全、合规或 COO 团队；这类公司面对银行、保险公司等受监管客户时，想把试点推向生产，就得先拿出可审计证明。真正付钱的人多半是 COO、CTO 或安全负责人，因为痛点最终表现为收入被卡、审计劳动上升，以及买家尽调反复重做。

购买触发点

• 受监管企业试点开始往生产推进，供应商收到一份安全问卷或尽调包，而它要求的证据已经超出普通信任页面能覆盖的范围。 [1][19][20][21][22][27]
• 公司第一次把正式的 AI 治理项目和 SOC 2、ISO 27001 一起启动，这时跨框架复用的价值突然变得很实。 [2][3][4][6][12][29]
• 金融行业客户收紧第三方监管，尤其当 DORA 式供应商审查或标准化问卷进入采购流程时。 [7][8][16][17][22]

支付意愿

预算是存在的，因为手工负担已经不小：Vanta 说企业一年平均要花 11 个工作周做合规，外部证明要求还在上升；Hyperproof 则观察到 GRC 团队集中化、预算继续增长。只要软件能直接减少重复的审计和问卷劳动，客户就有理由掏钱。 [25][27]

品类动态

增长信号 14.2% CAGR

验证信号

• Compuvi 明确把新资金投向 SOC 2 Type 2、ISO 27001 和 ISO 42001，同时扩张美欧销售；这直接说明，信任证明已经成了早期 GTM 基础设施的一部分。
• 65% 的组织表示，客户、投资人和供应商越来越要求它们拿出合规证明。
• 46% 的组织称，在合作期间遇到过供应商发生安全事件，这也解释了为什么买家尽调和信任材料会越滚越多。
• Hyperproof 说 91% 的受访者已经有中心化 GRC 团队，63% 预计 GRC 预算还会增长，说明围绕工作流自动化的预算中心正在成熟。

监管与技术约束

• 一套可审计的 AI 管理体系，不能只是存文档；它必须有足够结构，能把政策、责任归属、风险评估和持续改进讲清楚。
• 金融行业供应商面临的第三方监管和集中度审查都在变严，这会抬高 ICT 依赖证据的时效性和可归属性要求。
• 数据保护和安全开发指引要求企业把 AI 如何使用个人数据、如何解释决策、以及如何保护生产环境里的 AI 系统，完整记录下来。
• 问卷回答必须始终有证据支撑、且版本可追踪，否则它们不会加速采购和审计，反而会变成新的责任点。

大而全的合规自动化厂商正在补 AI 治理内容，而 TPRM 和信任中心厂商则占住了买家评审工作流的一部分。拟议中的创业公司，只有在自己成为 AI 专属控制逻辑和带引用叙事复用的系统记录时，差异化才真正成立；如果只是再做一个核对表或信任门户，就不够。

为什么现有厂商不会默认胜出

• 合规自动化套件. Vanta 和 Secureframe 已经把控制监测和认证流程自动化做得很顺，但它们的对外叙事仍然偏宽泛；如果买家需要能从审计一路带到采购和律师评审的模型专属治理叙事，它们并不会天然赢下这单。
• TPRM 与信任交换平台. Whistic 这类问卷工具能降低买家尽调摩擦，但如果它们不掌握底层 AI 治理操作模型，本质上仍只是下游展示层。
• 企业级 GRC 平台. OneTrust 这类平台能覆盖很多标准和工作流，但对一家 A/B 轮 AI 供应商来说，这种宽度往往太重；它们真正需要的只是围绕少数高风险框架，快速拿出可复用证明。
• 审计师与认证机构. 认证机构依旧是重要渠道和背书方，但它们不提供那种持续在线、由客户内部自己维护、并且能在两次审计之间持续更新的证据图。

卖给银行、保险公司和其他受监管企业的 AI 供应商，在规模化之前就会先撞上一道收入瓶颈：生产扩张现在要求它们拿出一套可复用的证明，同时覆盖 SOC 2 Type 2、ISO 27001、ISO 42001 和买家尽调。滩头市场是 50-200 人的 AI 工作流创业公司，做 KYC、理赔、核保或文档自动化，并且未来 6 个月内就要把受监管客户的试点推向生产。第一版产品不该做成大而全的 GRC 套件，而该是一张控制图：把产品架构、模型供应商、数据流、政策和变更日志串成一套带引用的证据底座，可复用到审计、问卷和律师评审。第一单能否跑通，取决于购买触发、分发和定价能否对齐：围绕正在进行的认证项目做创始人主导和伙伴主导的外联，先卖一个付费合规就绪项目，再按法律实体、覆盖框架和接入证据源收年费。研究支持的规模测算是 TAM $250.0M、滩头 SAM $82.5M；如果公司先盯住受监管企业里的 AI 供应商，再逐步往更广的供应商保障工作流扩，第 3 年 SOM 约为 $7.8M。最重要的战略选择，是先赢下一条窄而硬的工作流：比表格、顾问或通用合规套件更快，把一个受监管试点变成可审计、可上线的生产材料包。最大的创投风险在于，Vanta、Secureframe、OneTrust 等现有厂商可能把 ISO 42001 和问卷工作流补得足够多，让独立切口显得可有可无。仍有两个关键证据缺口需要尽早摆上台面：A/B 轮 AI 公司是否真的会在同一年内同时推进 SOC 2、ISO 27001 和 ISO 42001；以及审计师和外部律师是否愿意直接基于一张可复用控制图工作，而不是继续依赖导出的文档。

问题

• AI 供应商想拿受监管企业收入，至今仍要分别为 SOC 2 Type 2、ISO 27001、ISO 42001、客户问卷和律师评审重复搭建同一套安全、AI 治理和采购证据。
• 一个试点只要转向生产，就会立刻变成收入风险事件，因为表格、顾问和通用 GRC 导出材料，没法让产品变更、模型使用、供应商依赖和控制叙事始终保持同步。

解决方案

• 围绕一张跨框架控制图搭建预防式合规工作台，把架构、模型清单、供应商、政策、工单和部署变更映射到 SOC 2 Type 2、ISO 27001、ISO 42001 以及买家尽调请求中重叠的控制项。
• 先围绕一条正在发生的认证与生产扩张工作流，交付带引用的证据包、差距分析和带权限的信任资料室，让客户复用已经批准的叙事，而不是每次审计或买家评审都重写一遍。

为什么我们会赢

• 这个切口比大而全的合规自动化更窄、比信任中心工具更深：它把 AI 特有的控制逻辑和证据来源关系当成系统记录，而不只是收文件或回问卷。
• 每一次部署都会沉淀出更强的专有对照映射、已批准答案库、变更历史和伙伴工作流数据，让认证、采购和法务评审里的复用效率越来越高。

里程碑

flowchart LR
  Wedge[受监管试点转生产切口] --> MVP[可复用控制图 MVP]
  MVP --> Proof[更快拿下认证和买家批准]
  Proof --> Expansion[AI 供应商信任操作系统]

创始团队

实验路线图

风险评估

必须成立的条件

• 至少 40% 的合格滩头 AI 供应商，必须会在同一个 12 个月窗口里同时遇到认证压力和客户尽调压力。
• 一个付费试点必须能在边界清晰的初始集成集下，于 45 天内交出首份获批的多框架证据包。
• 只要产品缩短了生产就绪工作，试点客户转成年费合同的比例就必须高于 60%。
• 审计师、认证机构或外部律师必须愿意主动评审系统里的带引用输出，而不是只接受离线文档包。
• 前 12 个月里，现有合规套件和信任中心工具在 AI 专属控制映射与证据复用上仍然不完整。

待尽调问题

• 滩头市场里的 A/B 轮 AI 供应商，究竟多常会在时间线上重叠推进 SOC 2 Type 2、ISO 27001 和 ISO 42001？
• 第一笔预算最常由谁掌控：COO、CTO、安全负责人，还是由外部律师主导的项目负责人？
• 认证机构和律所会不会一起卖、一起在产品内协作，还是更偏好只看导出材料？
• 想在 45 天内做出可信证据包，哪两三个集成是绝对不能少的？
• 产品必须在哪两三件事上明显强过 Vanta、Secureframe、Whistic 和顾问，才不会被归成附加功能？

模型合理性

• 收入引擎. 基础情景的收入引擎，是先把少数由创始人卖出的就绪项目转成客户，到 Q4Y2 做出 15 家滩头客户；再把伙伴协助拿下的年度合同放大到 Q4Y3 的 80 家客户。
• 必须成立. 公司必须把客户导入压在边界清晰的集成范围内，才能把交出首份获批证据包的中位时间压到 30 天以内，并让 70% 毛利率真正落地。
• 模型失灵条件. 如果伙伴渠道失速，销售周期又被拉向 8 个月，下行情景会把现金压到接近 $150K，下一轮融资却还站不稳。
• 下一轮证明. 下一轮前必须证明三件事：做到 12-15 个年费客户、让伙伴来源管道有实质规模，以及第二套框架扩张确实能拉升 ACV，而不必额外养一支庞大的地面销售团队。

情景

敏感性

flowchart LR
  Trigger[受监管试点扩张触发点] --> Pilot[付费合规就绪项目]
  Pilot --> Annual[年度软件合同]
  Annual --> Expansion[更多框架与买家工作流]
  Expansion --> Revenue[订阅收入]
  Revenue --> GrossProfit[毛利润]
  GrossProfit --> Cash[现金跑道]

警示项: 客户数从 Q4Y2 的 15 家一下跳到 Q4Y3 的 80 家，目标很激进，前提是伙伴主导分发能很快变成可复制动作。 · 模型只有在部署始终卡在商业计划里描述的边界连接器范围内，才能摸到 70% 毛利率；一旦映射走向定制化，毛利会被压缩。 · 收入被简化成单客户混合经常性价值，真实会计口径里，早期很可能会呈现更多服务收入，毛利率曲线也会更起伏。

• 现有厂商把框架能力打包带走. Drata、Vanta 或企业级 GRC 套件一旦补上 ISO 42001 模板，就可能迅速压缩功能差距。 缓解措施: 把重心压在 AI 供应商专属的控制映射、采购信任资料室，以及律师与审计师协作工作流上——这些不是通用工具天然拥有的。
• 标准还在持续变化. AI 治理要求的变化速度，可能快过认证机构和客户对稳定证据要求的收敛速度。 缓解措施: 围绕可复用的控制原语和带来源引用的叙事来搭产品，这样新增标准时不用把客户工作流推倒重来。
• 导入过程过于偏服务化. 早期客户可能希望拿到高触达式合规咨询，拖累软件毛利和交付速度。 缓解措施: 把导入流程产品化：围绕伙伴模板、边界清晰的集成和通过审计/法律伙伴交付的付费专家包来做。