一键导入
feature-risk-assessment
对单个功能或产品领域进行更深入的风险评估,当上线审查发现某个议题需要 超出单行条目的深度分析时使用。结构化分析:可能出什么问题、可能性多大、 后果多严重、如何缓解。当用户说"深入分析这个风险""[功能]风险评估" "可能出什么问题"或上线审查标记了全新议题时使用。
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
菜单
对单个功能或产品领域进行更深入的风险评估,当上线审查发现某个议题需要 超出单行条目的深度分析时使用。结构化分析:可能出什么问题、可能性多大、 后果多严重、如何缓解。当用户说"深入分析这个风险""[功能]风险评估" "可能出什么问题"或上线审查标记了全新议题时使用。
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
基于 SOC 职业分类
按系统逐一定义AI角色、风险等级和监管义务——判定每个系统是 AI服务提供者还是使用者,分配风险层级,并映射至中国AI法规 的义务要求。适用于建立AI系统清单、进行年度AI审计、或新法 规要求重新分类时。
为AI系统或模型生成风险定级和合规概要评估——涵盖数据、公平性、 透明度、安全性和监管注册表。在用例分类为"附条件-高"后使用, 产品或工程团队提出"我们需要做AI影响评估"时使用,或定期重新 认证已部署系统时使用。采用快速/全面双轨制。
首次运行访谈以建立AI治理实践配置:适用法规、 AI系统清单、红线、审批工作流和输出偏好。 在插件首次安装时自动运行。使用 --redo 可重新运行。
将新的或修订的AI法规与当前AI政策和实践进行差异分析—— 输出差距清单和整改计划,含负责人和日期。适用于新法规 出台、用户询问"[某法规]是否影响我们"、" AI法规差距分析"或粘贴法规文本时。
对提议的AI用例进行分类和风险排序:检索现有注册表、检查红线、 对残余风险进行分级。输出为经核准/附条件/不核准,并附书面理由。 适用于收到新的AI用例提案、产品团队询问"这个AI功能可以上线吗"、 或需要运行AI用例审批委员会流程时。
审查AI供应商条款——重点核查训练数据来源合规性、责任分配、 模型变更通知、合规义务向下传导。适用于审查AI SaaS协议、 AI模型授权、AI API服务条款,或采购团队提出"这个AI供应商 合同有问题吗"时使用。
| name | feature-risk-assessment |
| description | 对单个功能或产品领域进行更深入的风险评估,当上线审查发现某个议题需要 超出单行条目的深度分析时使用。结构化分析:可能出什么问题、可能性多大、 后果多严重、如何缓解。当用户说"深入分析这个风险""[功能]风险评估" "可能出什么问题"或上线审查标记了全新议题时使用。 |
事项上下文。 检查实务级 CLAUDE.md 中的 ## 事项工作空间。如果 Enabled 为 ✗(企业法务用户的默认值),跳过本段其余内容——技能使用实务级上下文,事项机制不可见。如果已启用且无活跃事项,询问:"这是哪个事项?运行 /product-legal:matter-workspace switch <事项简称> 或说 实务级。"加载活跃事项的 matter.md 获取事项特定上下文和覆盖规则。输出写入事项文件夹 ~/.claude/plugins/config/claude-for-legal/product-legal/matters/<事项简称>/。除非 跨事项上下文 为 开,否则绝不读取其他事项的文件。
上线审查是广度。这是深度。当单个议题需要超出表格行的分析——一个新型AI功能、一个儿童产品、一个监管机构正在积极关注的事项——本技能产出一份独立的评估。
不是每次上线都需要。大多数不需要。这是给那10%的,其中"做完个人信息保护影响评估,上线"的审查深度不够。
如果以上都不满足,上线审查就足够了。不要为自身目的生成文书工作。
一段话。功能做什么、新在哪里、为什么被升级到完整评估。
对每个独立风险(目标是2-5个,不是15个):
### 风险[N]:[简短名称]
**场景:**[需要发生什么才会导致出问题。要具体——不是"数据泄露"
而是"推荐算法因X将用户的敏感类别兴趣展示给了不该看到的人。"]
**谁受伤害:**[用户?公司?第三方?要具体。]
**可能性多大:**[低/中/高——附理由。"低——需要X和Y同时失效。"
不只是感觉评分。]
**如果发生有多严重:**[低/中/高——附理由。"高——
行政处罚+集团诉讼暴露+媒体报道"vs."低——一条愤怒的微博,无实际损害。"]
**现有缓解措施:**[已经降低可能性或影响的措施]
**缺口:**[还缺什么,如果有]
**剩余风险:**[在现有缓解措施之后——这是可接受还是需要更多?]
仅当有监管机构对此领域有积极关注时才包含。如有:
在中国法语境下,关注市场监管总局、国家互联网信息办公室、工业和信息化部、公安部门及其他行业监管机构最近的执法动态和指引。
其他公司做过类似的事吗?发生了什么?
不要高估先例。监管机构会变换优先级;一家公司侥幸过关不意味着下一家也会。
呈现2-3条现实路径:
| 选项 | 描述 | 风险降低 | 成本 |
|---|---|---|---|
| A:按设计上线 | [当前计划] | 无 | 无 |
| B:上线并增加[缓解措施] | [改动] | [多少] | [开发工作量、时间、用户体验] |
| C:不上线[组件] | [砍范围] | [多少] | [产品影响] |
选一个。解释理由。承认您正在做何种权衡。
**建议:选项[X]**
[理由。剩余什么风险。为什么可接受。谁接受。]
**如果答案是"非我能定":**[谁决定,他们需要知道什么]
定稿前,对照 ~/.claude/plugins/config/claude-for-legal/product-legal/CLAUDE.md → 风险校准检查:
/ai-governance-legal:aia-generation [功能]。功能风险评估搭建决策框架;算法安全评估以AI治理所需的格式具体记录AI系统。两者不重复:FRA是产品法务决策文件;算法安全评估是治理记录。/privacy-legal:pia-generation [功能]。FRA的风险节可能与个人信息保护影响评估重叠——标记该重叠以避免重复工作,但两份文件都需要存在。/ai-governance-legal:vendor-ai-review [供应商协议],如在上线审查时尚未完成。独立文件,2-4页。冠以 ~/.claude/plugins/config/claude-for-legal/product-legal/CLAUDE.md ## 输出规范 中的工作成果页眉(因用户角色而异——参见 ## 使用者)。
不是PPT演示稿,不是备忘录——是一份供阅读后决策的决策文件。
保存到 ~/.claude/plugins/config/claude-for-legal/product-legal/CLAUDE.md → 上线审查流程规定的审查文件存放位置。如果文件将被分享给保密范围外的任何人(例如发布到广泛共享的工单上),仅为该对外版本去除工作成果页眉,在事项文件中保留保密原始版本。
如果评估引用了案例、法律、法规或执法行动——尤其是在监管环境或先例节中——这些引用由AI模型生成且未经原始来源验证。在决策文件交给决策者之前,对照法律研究工具(北大法宝、威科先行、法信或您的律所研究平台)核实每个引用的准确性、有效性和当前的执法态势。建立在虚构执法行动上的风险评估比没有评估更糟糕。
禁止静默补充。 如果对已配置的法律研究工具的检索查询返回的结果很少或无结果,报告检索到的情况并停止。不要未经询问从联网搜索或模型知识中填补。说:"[工具]搜索返回[N]条结果。关于[制度/先例]的覆盖似乎有限。选项:(1) 扩大检索查询,(2) 尝试不同的研究工具,(3) 搜索网络——结果将标记
[联网检索 — 需复核],依赖前应比照发布机关核实,或 (4) 标记为未核实并停止。您选哪个?"由律师决定是否接受较低置信度的来源。来源归属。 将监管环境和先例节中的每个引用标记其来源:
[北大法宝]、[威科先行]、[监管机构网站],或对于从法律研究对接获取的引用使用MCP工具名称;[联网检索 — 需复核]用于联网搜索引用;[模型知识 — 需验证]用于训练数据中回忆的引用;[用户提供]用于功能团队提供的引用。标记需验证的引用具有较高的编造风险,应首先检查。绝不剥离或折叠标签——决策者需要看到哪些引用需要首先核实。
以 CLAUDE.md ## 输出规范 中的下一步决策树收尾。将选项定制为本技能刚刚产出的内容——五个默认分支(起草X、上报、补充事实、监控等待、其他)是起点,不是锁死。决策树是输出;律师做选择。