commit 60b986f952df8c0abdc57a914e78d8a18c76deb1 Author: Excel分析工具开发者 Date: Fri Apr 17 20:47:06 2026 +0800 feat: 发布互联网信息服务算法备案辅助工具 skill diff --git a/README.md b/README.md new file mode 100644 index 0000000..c4d072b --- /dev/null +++ b/README.md @@ -0,0 +1,3 @@ +# yhx_skillshub + +个人 skills 仓库,用于存放可公开分享的 Claude Code skills。 diff --git a/algorithm-filing/README.md b/algorithm-filing/README.md new file mode 100644 index 0000000..12e9a28 --- /dev/null +++ b/algorithm-filing/README.md @@ -0,0 +1,43 @@ +# 互联网信息服务算法备案辅助工具 + +基于多份真实备案案例经验,帮助快速生成和审查《算法安全自评估报告》。 + +## 功能说明 + +- **生成模式**:根据你提供的 PRD、流程图、安全机制文档、隐私政策等材料,生成一份基本可用的备案报告初稿。 +- **审查模式**:将已写好的报告粘贴进去,自动检查模板符合性、逻辑一致性、历史审核关注点,输出问题清单表格。 + +> 说明:当前版本优先生成合成类(深度合成)报告,结构预留了扩展性。 + +## 设计思路 + +本 skill 的核心设计来源于作者**历史上为多家上市公司完成多份算法备案流程的实战经验**。 + +这些经验来自:官方模板 + 多轮网信部门审核反馈 + 团队内部迭代优化。我们将"常见被打回原因"和"高质量过审范文范式"编码为生成/审查指令,帮助用户在初稿阶段就避开常见陷阱,减少反复修改成本。 + +**隐私保护承诺**:本仓库及 skill 文件中不暴露任何个人信息、具体公司名称或项目名称。 + +## 使用方式 + +安装后,对 Claude 说: + +- `"帮我生成算法备案报告"` → 进入生成模式 +- `"帮我检查算法备案报告"` → 进入审查模式 + +**生成模式流程**:确认清单 → 生成正文 → 附注提示。 +**审查模式流程**:粘贴报告 → 获取问题清单表格。 + +## 安装方式 + +### 方式 A:GitHub 下载(手动) + +1. 打开本仓库的 GitHub 页面,点击 `<> Code` → `Download ZIP`。 +2. 解压后将 `algorithm-filing` 文件夹放入你的 Claude Code skills 目录即可。 + +### 方式 B:让 Claude 帮你安装(推荐) + +直接把本仓库的 GitHub 地址告诉 Claude Code,说: + +> "请帮我把这个仓库里的 algorithm-filing skill 安装到我的 skills 目录中。" + +Claude 会自动完成下载、放置文件和注册配置。 diff --git a/algorithm-filing/SKILL.md b/algorithm-filing/SKILL.md new file mode 100644 index 0000000..925ddd2 --- /dev/null +++ b/algorithm-filing/SKILL.md @@ -0,0 +1,286 @@ +--- +name: algorithm-filing +description: 互联网信息服务算法备案辅助工具。支持生成模式和审查模式,帮助用户撰写和检查《算法安全自评估报告》(优先生成合成类/深度合成)。 +trigger: + - 算法备案 + - 算法安全自评估 + - 生成备案报告 + - 检查备案报告 + - 审查备案报告 +--- + +# 互联网信息服务算法备案 Skill + +## 触发条件 +当用户提及以下任一内容时调用本 skill: +- "帮我写/生成算法备案报告" +- "帮我检查/审查算法备案报告" +- "算法安全自评估" +- "算法备案" + +## 模式识别 +首先判断用户意图: +- **生成模式**:用户提供了 PRD、流程图、安全机制文档、隐私政策、第三方协议等材料,要求产出报告。表现为:用户在描述功能/算法/产品,或粘贴了相关材料。 +- **审查模式**:用户直接粘贴了一份已写好的报告,要求检查问题。表现为:用户提供了大量报告正文内容,或明确说"帮我看看这份报告有没有问题"。 + +如果意图不明确,主动询问: +> "您当前需要【生成备案报告初稿】,还是【审查已有报告】?如果是生成,请一次性粘贴相关材料(PRD、流程图、安全机制文档、隐私政策、第三方服务协议等);如果是审查,请直接粘贴报告全文。" + +## 生成模式 + +### Step 1: 材料确认清单 +用户首次提交材料后,不要直接输出报告全文。先输出一段《材料确认与缺失说明》,格式如下: + +--- + +**已识别信息:** +- 主体名称:【提取到的名称,如未识别写"待补充"】 +- 算法名称:【提取到的名称,如未识别写"待补充"】 +- 算法类型:【默认为"生成合成类(深度合成)",如用户提到其他类型则调整】 +- 底层模型:【提取到的第三方模型及平台,如 Qwen/DeepSeek/豆包等】 +- 数据来源:【提取到的数据来源描述】 + +**合理推测:** +- 【列出基于历史经验的假设,如"推测训练数据量为'无专门训练数据'"】 + +**待确认/补充项:** +- 【列出缺失的关键信息】 + +**下一步:** +如果您确认以上信息无误,请回复"确认生成",我将输出完整的备案报告。 + +--- + +**要求:** +- 所有字段都必须列出,哪怕标记为"待补充"。 +- 不要在此阶段阻塞用户,即使主体名称、统一社会信用代码缺失也继续。 +- 措辞简洁,控制在 20 行以内。 + +### Step 2: 报告正文 +用户回复"确认生成"后,输出完整的报告 Markdown 文本。严格遵循以下章节结构(1-3 级标题必须与官方模板一致,不缺项): + +**文档名称(置顶):** +报告正文最开头,必须输出文档名称作为一级标题,格式固定为: +``` +# 互联网信息服务算法安全自评估报告(【算法名称或项目名称】) +``` +例如: +``` +# 互联网信息服务算法安全自评估报告(【算法名称】) +``` + +#### 封面与基本信息 +- 主体名称、统一社会信用代码 +- 算法名称、算法类型(默认:生成合成类/深度合成) +- 算法应用领域、算法使用场景 +- 算法上线情况、自评估时间、报告撰写时间 +- 算法基本情况(150 字以内,简洁介绍算法) +- 算法备案类型 + +#### 评估算法描述 +从以下 7 个维度描述,每项用 1-3 个要点: +1. 算法简介 +2. 应用范围 +3. 服务群体 +4. 用户数量 +5. 社会影响情况 +6. 软硬件设施及部署位置 +7. 其他 + +#### 评估算法风险描述 +覆盖 5 类风险,每类用 1-2 句话描述风险表现,再用 1-2 句话说明本公司/本算法的风控判断: +1. 算法滥用风险 +2. 算法漏洞风险 +3. 算法恶意利用风险 +4. 技术伦理风险 +5. 法律合规风险 + +#### 一、算法情况 +**(一) 算法流程** +用结构化步骤描述(如 1. 用户输入 → 2. 输入安全审核 → ...),并在末尾标注"流程图见附件"。 + +**(二) 算法数据** +按模态分类,每一类明确"是否涉及生物特征信息:否/是": +1. 【算法名称】文本类输入数据 +2. 【算法名称】图像类输入数据(如涉及) +3. 【算法名称】文本类输出数据 +4. 【算法名称】图像类输出数据(如涉及) +5. 【算法名称】文本类训练数据(如无写"无此类数据") +6. 【算法名称】图像类训练数据(如无写"无此类数据") + +**(三) 算法模型** +包含:算法名称、备案单位、备案编号、算法基本原理、算法运行机制(分点)、算法目的意图、底层模型及 API 端点。 + +> **重要**:凡调用第三方大模型,必须列出其【算法名称、备案单位、备案编号】三重信息。 + +**(四) 干预策略** +分事前/事中/事后描述,包含预处理、内容审核、提示词约束、人工抽检等。 + +**(五) 结果标识** +**必须按输出模态分别说明**(历史审核重点): +1. 文本类溯源标识 / 显式标识 +2. 图像类溯源标识 / 显式标识(如涉及) + +#### 二、服务情况 +**(一) 【服务名称】服务** +1. 服务简介 +2. 算法在服务中应用情况 + +#### 三、风险研判 +每节采用**三段式逐段撰写**,内容要充实,不要过度简化。参考历史真实备案案例的写作风格,用连贯段落而非简单分点罗列。 + +**(一) 算法滥用** +- **定义段(标准表述,可直接使用):** 算法滥用风险主要体现在算法可能被应用于不当或非法目的,例如推送过度营销内容、输出带有偏见的结果、给出错误信息等,造成侵犯用户权益、误导用户等负面影响。 +- **判断与措施段:** 写一段连贯文字,说明"[算法名称]的算法滥用风险很低/极低,这是由于...",然后自然带出 3-5 项具体防控措施(可用"(1)...(2)..."嵌入段落中,但不要只列标题,每项需有 1 句解释)。常见措施包括:功能限制(仅处理 XX,不回答竞品/无关问题)、显著标识(明确告知内容由 AI 生成)、人工保障(可随时转人工客服)、自主开关(用户可关闭功能)、反馈与纠错机制、无推荐能力(不用于内容分发/排序等高风险场景)等。 + +**(二) 算法漏洞** +- **定义段(标准表述,可直接使用):** 算法漏洞风险主要体现在算法可能在设计或实施过程中存在缺陷,导致数据泄露、模型遭受逆向工程或算法结果被误导,造成用户隐私泄露,组织数据安全受威胁、声誉受损等负面影响。 +- **判断与措施段:** 写一段连贯文字,说明风险很低的原因。常见角度:依托成熟第三方服务(已完成算法备案及安全评估)、降低系统复杂度(自建部分仅含知识库/流程调度,不涉及模型训练)、数据传输最小化(仅涉及必要查询文本/图像,不传输敏感个人信息,且传输加密)、权限管理与人工审核等。 + +**(三) 算法恶意利用** +- **定义段(标准表述,可直接使用):** 算法恶意利用风险主要体现在算法可能被第三方恶意利用,例如用于伪造虚假内容、进行诈骗等违法犯罪活动等,可能造成用户、企业和社会的损失。 +- **判断与措施段:** 写一段连贯文字,说明风险很低/几乎不存在的原因。常见角度:输入严格过滤(多阶段审核确保只有合规内容进入流程)、输出限制(仅生成文本/图像,不具备生成深度伪造多媒体的能力)、功能限制(仅用于特定产品场景,不支持用户上传或自定义提示词)、输出审核机制(所有生成结果均通过内容安全护栏)、使用场景受限(仅作为 App 内附加功能,无法用于内容伪造或传播)等。 + +**(四) 其他风险** +1. **技术伦理风险** + - **定义段(标准表述):** 技术伦理风险主要体现在算法可能输出不公平、不道德、违背人类伦理观念的决策。 + - **判断与措施段:** 说明风险很低的原因,常见角度:使用场景高度限定(问题客观性强,几乎不涉及伦理价值观判断)、知情权和选择权保障(显著标识 AI 生成属性,提供关闭/转人工途径)、合规保障(底层模型服务具备合规措施)。 +2. **法律合规风险** + - **定义段(标准表述):** 法律合规风险体现在算法的不当使用,可能会触犯相关法律法规。 + - **判断与措施段:** 说明风险很低的原因,常见角度:算法备案基础(核心使用的第三方大模型已完成网信办算法备案)、功能合规设计(明确为"问答/图像美化"等低风险定位,不具备《互联网信息服务算法推荐管理规定》中的排序精选、检索过滤、推送调度、决策等典型高风险功能)、信息透明化(显著标识 AI 生成属性并提示误差风险)等。 + +#### 四、风险防控情况 +本节内容要充实,每个小节先写一段机制描述,再用 bullet points 说明该机制对第三章哪几种风险有效。参考历史真实备案案例的逐段写法,不要只列标题。 + +**(一) 风险防范机制建设** +1. **算法机制机理审核** + - **描述段:** 写一段完整文字,说明公司已建立完善的算法机制机理审核机制,由算法安全团队(或算法安全与法务团队)对训练数据、算法设计、算法验证、算法更新、大模型调用链路、隐私过滤规则、提示词设计等进行审核,确保算法机制机理的正确性、公平性、透明性和法律合规性。 + - **风险映射(bullet points):** + - 算法滥用:透明性审核要求披露算法逻辑,确保决策可理解,从而有效防范算法滥用风险。 + - 算法漏洞:通过审核发现模型中可能存在的漏洞和缺陷,及时修复优化,有效防范算法漏洞风险。 + - 算法恶意利用:识别和防范第三方对算法模型的恶意利用行为,确保算法模型不会被恶意操纵或利用。 + - 技术伦理风险:公平性审核确保算法在处理各类数据时无歧视、偏见或不公平现象,有效防范技术伦理风险。 + - 法律合规风险:法律合规性审核确保算法机制机理符合法律规定。 + +2. **算法安全评估监测** + - **描述段:** 写一段完整文字,说明公司已制定《算法安全自评估管理办法》,建立了完善的算法安全评估监测机制,由算法安全团队在设计开发、验证测试、部署运行、维护升级和退役下线等算法全生命周期中进行安全评估和控制,确保算法满足保密性、完整性、可用性、可控性、鲁棒性、私密性的要求。 + - **风险映射(bullet points):** + - 算法滥用:通过向使用者说明算法的作用、局限、安全风险和可能的影响,在算法行为失当时人工接管,从而有效防范算法滥用风险。 + - 算法漏洞:通过对算法进行静态和动态测试,限制算法的输入输出,对算法和数据进行加密存储等方法,监测算法缺陷,防止算法被逆向,有效防范算法漏洞风险。 + - 算法恶意利用:通过限制账号和 IP 的使用频率,销毁退役模型和数据,有效防范第三方恶意利用算法。 + - 法律合规风险:通过在处理数据时遵守法律法规要求,保护个人信息和隐私,避免存储、泄漏敏感数据,有效防范法律合规风险。 + +3. **对生成合成的虚假信息的辟谣机制** + - **描述段:** 写一段完整文字,说明产品形态并非平台型服务,不具备公开发布和传播谣言的渠道能力。尽管如此,仍建立了完善的防范与辟谣机制,包括:(1)多维风控拦截机制(输入输出双端自动过滤);(2)显著标识机制(AI 生成标识引导用户二次确认);(3)抽检与纠错溯源机制(后台抽样巡查+用户反馈复核);(4)调查与辟谣(对异常查询启动安全评估,保存记录并向网信部门报告)。 + - **风险映射(bullet points):** + - 算法滥用:严格落实 AI 生成内容标识机制,保障透明性,从而有效防范算法被滥用于虚假宣传或造谣风险。 + - 算法漏洞:依托内部定期抽检机制结合用户反馈,快速定位模型生成结果不达预期或内容安全过滤拦截失效场景,有效防范算法漏洞风险。 + - 算法恶意利用:协同安全风控系统监控异常调用情况,结合后台定期抽检,有效防范第三方恶意利用算法生成虚假信息。 + - 法律合规风险:对触发风控拦截的请求记录进行存证研判,反哺筛选规则,有效防范因算法策略或模型幻觉引发的法律合规风险。 + +4. **算法安全事件应急处置** + - **描述段:** 写一段完整文字,说明公司已制定《算法安全事件处置管理规范》,建立了完善的算法安全事件应急处置机制。通过算法安全监控、内容审核、用户投诉反馈、业务部门反馈等渠道监控发现算法安全事件,一旦发生算法安全事件,可以立即启动应急响应,由算法安全团队负责事件处理,各部门联动制定专项应急预案,配合事件处置,减小安全事件造成的损失和影响。 + - **风险映射(bullet points):** + - 算法滥用:通过人工审核和用户反馈渠道能发现算法滥用情况,分级和响应机制确保快速处理,有效防范算法滥用风险。 + - 算法漏洞:通过算法安全监控及时发现和定位漏洞,并总结改进防止复发,有效防范算法漏洞风险。 + - 算法恶意利用:监控和审核发现不良信息,上报和处置流程止损,有效防范算法恶意利用风险。 + - 法律合规风险:分级标准包括行政处罚和法律责任,依法上报监管部门,有效防范法律合规风险。 + +> 在"标识""用户权益保护""生态治理"相关小节末尾,自动插入标注:`[请在此处插入相关截图证明]` + +(二) 用户权益保护 +1. 用户知情权 +2. 用户个人信息保护 +3. 其他权益保护 + +(三) 内容生态治理 +(四) 模型安全保障 +(五) 数据安全防护 + +#### 五、安全评估结论 +总结:风险防控有效性、算法合规性、数据安全性、服务稳定性。 + +#### 六、其他应当说明的相关情况 +- 备案信息更新情况 +- 合规性审核情况 +- 安全漏洞修补情况 +- 服务容灾情况 + +### 措辞规范(刚性) +安全保护、风险防控、数据来源、功能边界等描述必须使用**确定性语言**: +- 使用:仅、均通过、一律不、不涉及、已建立、已完成、全部、直接丢弃、彻底阻断 +- 避免:可能、尽量、一般而言、视情况而定、原则上、大约、基本 + +### 生成附注格式 +报告正文结束后,用 `---` 分隔,输出《生成附注》: + +``` +--- + +## 生成附注 + +### [缺失项] +- 第 X 章第 Y 节中的"Z"字段为占位符,请补充真实信息后替换。 + +### [推测项] +- "A"是基于历史备案经验做出的假设(如"无专门训练数据"),请与实际情况核对。 + +### [需配图/附件] +- 算法流程图(请在"算法流程"节后插入) +- 第三方模型购买/授权记录(请在"算法模型"或"用户个人信息保护"节后插入) +- AI 生成内容标识效果图(请在"结果标识"节后插入) +- 隐私协议 / 用户知情权相关截图(请在"用户权益保护"节后插入) +- 人工审核 / 生态治理截图(请在"内容生态治理"节后插入) + +### [一致性检查建议] +定稿前请重点核对: +1. 全文"算法名称"是否完全一致; +2. 流程图节点名称与"算法数据""算法模型"章节中的描述是否一致; +3. 前面声明的输入/输出模态与后面数据小节分类是否对齐; +4. 第三方模型的备案编号、算法名称、备案单位是否准确对应; +5. 结果标识是否按输出模态(文本/图像)分别说明。 +``` + +## 审查模式 + +用户粘贴已写好的报告全文后,按以下四个维度进行检查,并以**清单表格**输出结果。不要直接修改用户原文。 + +### 审查维度 1:模板符合性 +- 1-3 级标题是否与官方模板完全一致,有无缺项 +- "【】"是否已替换、"()"及说明内容是否已删除 +- 各章节字数/粒度是否符合模板要求(如算法基本情况 150 字内) + +### 审查维度 2:逻辑一致性(重点) +- **术语一致性**:"算法名称""产品名称""功能名称"全文是否统一 +- **模态一致性**:声明的输入/输出模态与"算法数据"章节分类是否对齐(如前面说只有图片输出,后面就不能出现文本输出) +- **机制一致性**:流程图节点名称与"算法数据""算法模型"中的描述是否一致 +- **第三方模型一致性**:备案编号、算法名称、备案单位是否准确对应 +- **备案类型一致性**:算法类型与备案类型是否逻辑自洽 + +### 审查维度 3:历史审核意见(作为建议) +- 溯源标识和显式标识是否按**输出模态**分别说明 +- 是否补充了第三方授权协议或购买记录 +- 标识、用户权益保护、生态治理是否建议附上相关截图证明 + +### 审查维度 4:内容质量 +- 算法原理是否简洁易懂 +- 安全保护描述是否确定性、不给人遐想空间 +- 是否有夸大或模糊表述 + +### 审查输出格式 +输出 Markdown 表格: + +| 位置/章节 | 审查维度 | 风险等级 | 问题描述与修改建议 | +|-----------|----------|----------|--------------------| +| 示例:一、(五) 结果标识 | 历史审核意见 | 建议 | 未按输出模态分别说明文本类和图像类标识。请分别描述"文本类显式标识/溯源标识"和"图像类显式标识/溯源标识"。 | +| 示例:一、(一) 算法流程 | 逻辑一致性 | 阻塞 | 流程图中节点名为"匿名化图像输入",但"算法数据"章节中写"图像输入",术语不一致。 | + +**风险等级定义:** +- **阻塞**:大概率被打回,必须修改 +- **建议**:基于历史审核经验,最好补充 +- **提示**:格式或表述可优化 + +**要求:** +- 每个发现的问题单独一行。 +- 若未发现某维度的问题,则在该维度后写"暂未发现明显问题"。 +- 最后加一段总结:"共发现 X 个阻塞项、Y 个建议项、Z 个提示项。" diff --git a/algorithm-filing/互联网信息服务算法安全自评估报告模板.pdf b/algorithm-filing/互联网信息服务算法安全自评估报告模板.pdf new file mode 100644 index 0000000..30072d2 Binary files /dev/null and b/algorithm-filing/互联网信息服务算法安全自评估报告模板.pdf differ