feat: 发布互联网信息服务算法备案辅助工具 skill

README.md

@@ -0,0 +1,3 @@
+# yhx_skillshub
+
+个人 skills 仓库，用于存放可公开分享的 Claude Code skills。

algorithm-filing/README.md

@@ -0,0 +1,43 @@
+# 互联网信息服务算法备案辅助工具
+
+基于多份真实备案案例经验，帮助快速生成和审查《算法安全自评估报告》。
+
+## 功能说明
+
+- **生成模式**：根据你提供的 PRD、流程图、安全机制文档、隐私政策等材料，生成一份基本可用的备案报告初稿。
+- **审查模式**：将已写好的报告粘贴进去，自动检查模板符合性、逻辑一致性、历史审核关注点，输出问题清单表格。
+
+> 说明：当前版本优先生成合成类（深度合成）报告，结构预留了扩展性。
+
+## 设计思路
+
+本 skill 的核心设计来源于作者**历史上为多家上市公司完成多份算法备案流程的实战经验**。
+
+这些经验来自：官方模板 + 多轮网信部门审核反馈 + 团队内部迭代优化。我们将"常见被打回原因"和"高质量过审范文范式"编码为生成/审查指令，帮助用户在初稿阶段就避开常见陷阱，减少反复修改成本。
+
+**隐私保护承诺**：本仓库及 skill 文件中不暴露任何个人信息、具体公司名称或项目名称。
+
+## 使用方式
+
+安装后，对 Claude 说：
+
+- `"帮我生成算法备案报告"` → 进入生成模式
+- `"帮我检查算法备案报告"` → 进入审查模式
+
+**生成模式流程**：确认清单 → 生成正文 → 附注提示。  
+**审查模式流程**：粘贴报告 → 获取问题清单表格。
+
+## 安装方式
+
+### 方式 A：GitHub 下载（手动）
+
+1. 打开本仓库的 GitHub 页面，点击 `<> Code` → `Download ZIP`。
+2. 解压后将 `algorithm-filing` 文件夹放入你的 Claude Code skills 目录即可。
+
+### 方式 B：让 Claude 帮你安装（推荐）
+
+直接把本仓库的 GitHub 地址告诉 Claude Code，说：
+
+> "请帮我把这个仓库里的 algorithm-filing skill 安装到我的 skills 目录中。"
+
+Claude 会自动完成下载、放置文件和注册配置。

algorithm-filing/SKILL.md

@@ -0,0 +1,286 @@
+---
+name: algorithm-filing
+description: 互联网信息服务算法备案辅助工具。支持生成模式和审查模式，帮助用户撰写和检查《算法安全自评估报告》（优先生成合成类/深度合成）。
+trigger:
+  - 算法备案
+  - 算法安全自评估
+  - 生成备案报告
+  - 检查备案报告
+  - 审查备案报告
+---
+
+# 互联网信息服务算法备案 Skill
+
+## 触发条件
+当用户提及以下任一内容时调用本 skill：
+- "帮我写/生成算法备案报告"
+- "帮我检查/审查算法备案报告"
+- "算法安全自评估"
+- "算法备案"
+
+## 模式识别
+首先判断用户意图：
+- **生成模式**：用户提供了 PRD、流程图、安全机制文档、隐私政策、第三方协议等材料，要求产出报告。表现为：用户在描述功能/算法/产品，或粘贴了相关材料。
+- **审查模式**：用户直接粘贴了一份已写好的报告，要求检查问题。表现为：用户提供了大量报告正文内容，或明确说"帮我看看这份报告有没有问题"。
+
+如果意图不明确，主动询问：
+> "您当前需要【生成备案报告初稿】，还是【审查已有报告】？如果是生成，请一次性粘贴相关材料（PRD、流程图、安全机制文档、隐私政策、第三方服务协议等）；如果是审查，请直接粘贴报告全文。"
+
+## 生成模式
+
+### Step 1: 材料确认清单
+用户首次提交材料后，不要直接输出报告全文。先输出一段《材料确认与缺失说明》，格式如下：
+
+---
+
+**已识别信息：**
+- 主体名称：【提取到的名称，如未识别写"待补充"】
+- 算法名称：【提取到的名称，如未识别写"待补充"】
+- 算法类型：【默认为"生成合成类（深度合成）"，如用户提到其他类型则调整】
+- 底层模型：【提取到的第三方模型及平台，如 Qwen/DeepSeek/豆包等】
+- 数据来源：【提取到的数据来源描述】
+
+**合理推测：**
+- 【列出基于历史经验的假设，如"推测训练数据量为'无专门训练数据'"】
+
+**待确认/补充项：**
+- 【列出缺失的关键信息】
+
+**下一步：**
+如果您确认以上信息无误，请回复"确认生成"，我将输出完整的备案报告。
+
+---
+
+**要求：**
+- 所有字段都必须列出，哪怕标记为"待补充"。
+- 不要在此阶段阻塞用户，即使主体名称、统一社会信用代码缺失也继续。
+- 措辞简洁，控制在 20 行以内。
+
+### Step 2: 报告正文
+用户回复"确认生成"后，输出完整的报告 Markdown 文本。严格遵循以下章节结构（1-3 级标题必须与官方模板一致，不缺项）：
+
+**文档名称（置顶）：**
+报告正文最开头，必须输出文档名称作为一级标题，格式固定为：
+```
+# 互联网信息服务算法安全自评估报告（【算法名称或项目名称】）
+```
+例如：
+```
+# 互联网信息服务算法安全自评估报告（【算法名称】）
+```
+
+#### 封面与基本信息
+- 主体名称、统一社会信用代码
+- 算法名称、算法类型（默认：生成合成类/深度合成）
+- 算法应用领域、算法使用场景
+- 算法上线情况、自评估时间、报告撰写时间
+- 算法基本情况（150 字以内，简洁介绍算法）
+- 算法备案类型
+
+#### 评估算法描述
+从以下 7 个维度描述，每项用 1-3 个要点：
+1. 算法简介
+2. 应用范围
+3. 服务群体
+4. 用户数量
+5. 社会影响情况
+6. 软硬件设施及部署位置
+7. 其他
+
+#### 评估算法风险描述
+覆盖 5 类风险，每类用 1-2 句话描述风险表现，再用 1-2 句话说明本公司/本算法的风控判断：
+1. 算法滥用风险
+2. 算法漏洞风险
+3. 算法恶意利用风险
+4. 技术伦理风险
+5. 法律合规风险
+
+#### 一、算法情况
+**(一) 算法流程**
+用结构化步骤描述（如 1. 用户输入 → 2. 输入安全审核 → ...），并在末尾标注"流程图见附件"。
+
+**(二) 算法数据**
+按模态分类，每一类明确"是否涉及生物特征信息：否/是"：
+1. 【算法名称】文本类输入数据
+2. 【算法名称】图像类输入数据（如涉及）
+3. 【算法名称】文本类输出数据
+4. 【算法名称】图像类输出数据（如涉及）
+5. 【算法名称】文本类训练数据（如无写"无此类数据"）
+6. 【算法名称】图像类训练数据（如无写"无此类数据"）
+
+**(三) 算法模型**
+包含：算法名称、备案单位、备案编号、算法基本原理、算法运行机制（分点）、算法目的意图、底层模型及 API 端点。
+
+> **重要**：凡调用第三方大模型，必须列出其【算法名称、备案单位、备案编号】三重信息。
+
+**(四) 干预策略**
+分事前/事中/事后描述，包含预处理、内容审核、提示词约束、人工抽检等。
+
+**(五) 结果标识**
+**必须按输出模态分别说明**（历史审核重点）：
+1. 文本类溯源标识 / 显式标识
+2. 图像类溯源标识 / 显式标识（如涉及）
+
+#### 二、服务情况
+**(一) 【服务名称】服务**
+1. 服务简介
+2. 算法在服务中应用情况
+
+#### 三、风险研判
+每节采用**三段式逐段撰写**，内容要充实，不要过度简化。参考历史真实备案案例的写作风格，用连贯段落而非简单分点罗列。
+
+**(一) 算法滥用**
+- **定义段（标准表述，可直接使用）：** 算法滥用风险主要体现在算法可能被应用于不当或非法目的，例如推送过度营销内容、输出带有偏见的结果、给出错误信息等，造成侵犯用户权益、误导用户等负面影响。
+- **判断与措施段：** 写一段连贯文字，说明"[算法名称]的算法滥用风险很低/极低，这是由于..."，然后自然带出 3-5 项具体防控措施（可用"（1）...（2）..."嵌入段落中，但不要只列标题，每项需有 1 句解释）。常见措施包括：功能限制（仅处理 XX，不回答竞品/无关问题）、显著标识（明确告知内容由 AI 生成）、人工保障（可随时转人工客服）、自主开关（用户可关闭功能）、反馈与纠错机制、无推荐能力（不用于内容分发/排序等高风险场景）等。
+
+**(二) 算法漏洞**
+- **定义段（标准表述，可直接使用）：** 算法漏洞风险主要体现在算法可能在设计或实施过程中存在缺陷，导致数据泄露、模型遭受逆向工程或算法结果被误导，造成用户隐私泄露，组织数据安全受威胁、声誉受损等负面影响。
+- **判断与措施段：** 写一段连贯文字，说明风险很低的原因。常见角度：依托成熟第三方服务（已完成算法备案及安全评估）、降低系统复杂度（自建部分仅含知识库/流程调度，不涉及模型训练）、数据传输最小化（仅涉及必要查询文本/图像，不传输敏感个人信息，且传输加密）、权限管理与人工审核等。
+
+**(三) 算法恶意利用**
+- **定义段（标准表述，可直接使用）：** 算法恶意利用风险主要体现在算法可能被第三方恶意利用，例如用于伪造虚假内容、进行诈骗等违法犯罪活动等，可能造成用户、企业和社会的损失。
+- **判断与措施段：** 写一段连贯文字，说明风险很低/几乎不存在的原因。常见角度：输入严格过滤（多阶段审核确保只有合规内容进入流程）、输出限制（仅生成文本/图像，不具备生成深度伪造多媒体的能力）、功能限制（仅用于特定产品场景，不支持用户上传或自定义提示词）、输出审核机制（所有生成结果均通过内容安全护栏）、使用场景受限（仅作为 App 内附加功能，无法用于内容伪造或传播）等。
+
+**(四) 其他风险**
+1. **技术伦理风险**
+   - **定义段（标准表述）：** 技术伦理风险主要体现在算法可能输出不公平、不道德、违背人类伦理观念的决策。
+   - **判断与措施段：** 说明风险很低的原因，常见角度：使用场景高度限定（问题客观性强，几乎不涉及伦理价值观判断）、知情权和选择权保障（显著标识 AI 生成属性，提供关闭/转人工途径）、合规保障（底层模型服务具备合规措施）。
+2. **法律合规风险**
+   - **定义段（标准表述）：** 法律合规风险体现在算法的不当使用，可能会触犯相关法律法规。
+   - **判断与措施段：** 说明风险很低的原因，常见角度：算法备案基础（核心使用的第三方大模型已完成网信办算法备案）、功能合规设计（明确为"问答/图像美化"等低风险定位，不具备《互联网信息服务算法推荐管理规定》中的排序精选、检索过滤、推送调度、决策等典型高风险功能）、信息透明化（显著标识 AI 生成属性并提示误差风险）等。
+
+#### 四、风险防控情况
+本节内容要充实，每个小节先写一段机制描述，再用 bullet points 说明该机制对第三章哪几种风险有效。参考历史真实备案案例的逐段写法，不要只列标题。
+
+**(一) 风险防范机制建设**
+1. **算法机制机理审核**
+   - **描述段：** 写一段完整文字，说明公司已建立完善的算法机制机理审核机制，由算法安全团队（或算法安全与法务团队）对训练数据、算法设计、算法验证、算法更新、大模型调用链路、隐私过滤规则、提示词设计等进行审核，确保算法机制机理的正确性、公平性、透明性和法律合规性。
+   - **风险映射（bullet points）：**
+     - 算法滥用：透明性审核要求披露算法逻辑，确保决策可理解，从而有效防范算法滥用风险。
+     - 算法漏洞：通过审核发现模型中可能存在的漏洞和缺陷，及时修复优化，有效防范算法漏洞风险。
+     - 算法恶意利用：识别和防范第三方对算法模型的恶意利用行为，确保算法模型不会被恶意操纵或利用。
+     - 技术伦理风险：公平性审核确保算法在处理各类数据时无歧视、偏见或不公平现象，有效防范技术伦理风险。
+     - 法律合规风险：法律合规性审核确保算法机制机理符合法律规定。
+
+2. **算法安全评估监测**
+   - **描述段：** 写一段完整文字，说明公司已制定《算法安全自评估管理办法》，建立了完善的算法安全评估监测机制，由算法安全团队在设计开发、验证测试、部署运行、维护升级和退役下线等算法全生命周期中进行安全评估和控制，确保算法满足保密性、完整性、可用性、可控性、鲁棒性、私密性的要求。
+   - **风险映射（bullet points）：**
+     - 算法滥用：通过向使用者说明算法的作用、局限、安全风险和可能的影响，在算法行为失当时人工接管，从而有效防范算法滥用风险。
+     - 算法漏洞：通过对算法进行静态和动态测试，限制算法的输入输出，对算法和数据进行加密存储等方法，监测算法缺陷，防止算法被逆向，有效防范算法漏洞风险。
+     - 算法恶意利用：通过限制账号和 IP 的使用频率，销毁退役模型和数据，有效防范第三方恶意利用算法。
+     - 法律合规风险：通过在处理数据时遵守法律法规要求，保护个人信息和隐私，避免存储、泄漏敏感数据，有效防范法律合规风险。
+
+3. **对生成合成的虚假信息的辟谣机制**
+   - **描述段：** 写一段完整文字，说明产品形态并非平台型服务，不具备公开发布和传播谣言的渠道能力。尽管如此，仍建立了完善的防范与辟谣机制，包括：（1）多维风控拦截机制（输入输出双端自动过滤）；（2）显著标识机制（AI 生成标识引导用户二次确认）；（3）抽检与纠错溯源机制（后台抽样巡查+用户反馈复核）；（4）调查与辟谣（对异常查询启动安全评估，保存记录并向网信部门报告）。
+   - **风险映射（bullet points）：**
+     - 算法滥用：严格落实 AI 生成内容标识机制，保障透明性，从而有效防范算法被滥用于虚假宣传或造谣风险。
+     - 算法漏洞：依托内部定期抽检机制结合用户反馈，快速定位模型生成结果不达预期或内容安全过滤拦截失效场景，有效防范算法漏洞风险。
+     - 算法恶意利用：协同安全风控系统监控异常调用情况，结合后台定期抽检，有效防范第三方恶意利用算法生成虚假信息。
+     - 法律合规风险：对触发风控拦截的请求记录进行存证研判，反哺筛选规则，有效防范因算法策略或模型幻觉引发的法律合规风险。
+
+4. **算法安全事件应急处置**
+   - **描述段：** 写一段完整文字，说明公司已制定《算法安全事件处置管理规范》，建立了完善的算法安全事件应急处置机制。通过算法安全监控、内容审核、用户投诉反馈、业务部门反馈等渠道监控发现算法安全事件，一旦发生算法安全事件，可以立即启动应急响应，由算法安全团队负责事件处理，各部门联动制定专项应急预案，配合事件处置，减小安全事件造成的损失和影响。
+   - **风险映射（bullet points）：**
+     - 算法滥用：通过人工审核和用户反馈渠道能发现算法滥用情况，分级和响应机制确保快速处理，有效防范算法滥用风险。
+     - 算法漏洞：通过算法安全监控及时发现和定位漏洞，并总结改进防止复发，有效防范算法漏洞风险。
+     - 算法恶意利用：监控和审核发现不良信息，上报和处置流程止损，有效防范算法恶意利用风险。
+     - 法律合规风险：分级标准包括行政处罚和法律责任，依法上报监管部门，有效防范法律合规风险。
+
+> 在"标识""用户权益保护""生态治理"相关小节末尾，自动插入标注：`[请在此处插入相关截图证明]`
+
+(二) 用户权益保护
+1. 用户知情权
+2. 用户个人信息保护
+3. 其他权益保护
+
+(三) 内容生态治理
+(四) 模型安全保障
+(五) 数据安全防护
+
+#### 五、安全评估结论
+总结：风险防控有效性、算法合规性、数据安全性、服务稳定性。
+
+#### 六、其他应当说明的相关情况
+- 备案信息更新情况
+- 合规性审核情况
+- 安全漏洞修补情况
+- 服务容灾情况
+
+### 措辞规范（刚性）
+安全保护、风险防控、数据来源、功能边界等描述必须使用**确定性语言**：
+- 使用：仅、均通过、一律不、不涉及、已建立、已完成、全部、直接丢弃、彻底阻断
+- 避免：可能、尽量、一般而言、视情况而定、原则上、大约、基本
+
+### 生成附注格式
+报告正文结束后，用 `---` 分隔，输出《生成附注》：
+
+```
+---
+
+## 生成附注
+
+### [缺失项]
+- 第 X 章第 Y 节中的"Z"字段为占位符，请补充真实信息后替换。
+
+### [推测项]
+- "A"是基于历史备案经验做出的假设（如"无专门训练数据"），请与实际情况核对。
+
+### [需配图/附件]
+- 算法流程图（请在"算法流程"节后插入）
+- 第三方模型购买/授权记录（请在"算法模型"或"用户个人信息保护"节后插入）
+- AI 生成内容标识效果图（请在"结果标识"节后插入）
+- 隐私协议 / 用户知情权相关截图（请在"用户权益保护"节后插入）
+- 人工审核 / 生态治理截图（请在"内容生态治理"节后插入）
+
+### [一致性检查建议]
+定稿前请重点核对：
+1. 全文"算法名称"是否完全一致；
+2. 流程图节点名称与"算法数据""算法模型"章节中的描述是否一致；
+3. 前面声明的输入/输出模态与后面数据小节分类是否对齐；
+4. 第三方模型的备案编号、算法名称、备案单位是否准确对应；
+5. 结果标识是否按输出模态（文本/图像）分别说明。
+```
+
+## 审查模式
+
+用户粘贴已写好的报告全文后，按以下四个维度进行检查，并以**清单表格**输出结果。不要直接修改用户原文。
+
+### 审查维度 1：模板符合性
+- 1-3 级标题是否与官方模板完全一致，有无缺项
+- "【】"是否已替换、"（）"及说明内容是否已删除
+- 各章节字数/粒度是否符合模板要求（如算法基本情况 150 字内）
+
+### 审查维度 2：逻辑一致性（重点）
+- **术语一致性**："算法名称""产品名称""功能名称"全文是否统一
+- **模态一致性**：声明的输入/输出模态与"算法数据"章节分类是否对齐（如前面说只有图片输出，后面就不能出现文本输出）
+- **机制一致性**：流程图节点名称与"算法数据""算法模型"中的描述是否一致
+- **第三方模型一致性**：备案编号、算法名称、备案单位是否准确对应
+- **备案类型一致性**：算法类型与备案类型是否逻辑自洽
+
+### 审查维度 3：历史审核意见（作为建议）
+- 溯源标识和显式标识是否按**输出模态**分别说明
+- 是否补充了第三方授权协议或购买记录
+- 标识、用户权益保护、生态治理是否建议附上相关截图证明
+
+### 审查维度 4：内容质量
+- 算法原理是否简洁易懂
+- 安全保护描述是否确定性、不给人遐想空间
+- 是否有夸大或模糊表述
+
+### 审查输出格式
+输出 Markdown 表格：
+
+| 位置/章节 | 审查维度 | 风险等级 | 问题描述与修改建议 |
+|-----------|----------|----------|--------------------|
+| 示例：一、(五) 结果标识 | 历史审核意见 | 建议 | 未按输出模态分别说明文本类和图像类标识。请分别描述"文本类显式标识/溯源标识"和"图像类显式标识/溯源标识"。 |
+| 示例：一、(一) 算法流程 | 逻辑一致性 | 阻塞 | 流程图中节点名为"匿名化图像输入"，但"算法数据"章节中写"图像输入"，术语不一致。 |
+
+**风险等级定义：**
+- **阻塞**：大概率被打回，必须修改
+- **建议**：基于历史审核经验，最好补充
+- **提示**：格式或表述可优化
+
+**要求：**
+- 每个发现的问题单独一行。
+- 若未发现某维度的问题，则在该维度后写"暂未发现明显问题"。
+- 最后加一段总结："共发现 X 个阻塞项、Y 个建议项、Z 个提示项。"