marchammerschmidt-dev/ai-product-governance-review

GitHub: marchammerschmidt-dev/ai-product-governance-review

将 AI 功能构想转化为包含风险等级、风险登记册和审查路由的实用治理产出物,帮助产品团队在正式合规审查前完成首轮分诊。

Stars: 0 | Forks: 0

# AI 产品治理审查 面向发布 AI 功能的产品团队的首轮 AI 产品治理分类审查。 [![Version](https://img.shields.io/badge/version-0.9.0--pre--review-blue)](CHANGELOG.md) [![License](https://img.shields.io/badge/license-MIT-green)](LICENSE) [![Status](https://img.shields.io/badge/status-public%20pre--review-orange)](REVIEW_NOTES.md) 将初步的 AI 功能构想转化为可审查的治理产出物:非约束性风险等级、假设、未知项、风险预警、审查人路由、风险登记册、上报路径以及面向 PM 的实用检查清单。 此技能专为产品经理、创始人、SaaS 团队和电商团队设计,帮助他们从“我们想在这里加入 AI”转变为“我们清楚在推进之前需要审查什么”。 ## 快速开始 ``` Use $ai-product-governance-review to triage this AI product use case: We want to add a chatbot to our online shop that gives product advice using product metadata, reviews, account profile, purchase history, and recent browsing. Generate: - executive summary - risk register - transparency checklist - vendor checklist - monitoring plan ``` `$ai-product-governance-review` 语法是一种受支持的调用约定。其他支持 `SKILL.md` 的 runtime 可能使用不同的调用机制。 ## 产出内容 | 产出物 | 用途 | | --- | --- | | 管理层分类摘要 | 适用于 PRD、Jira ticket、Confluence 页面或利益相关者备忘录的面向产品的简明报告。 | | 非约束性风险等级 | 低、中、高或紧急上报,包含理由和置信度。 | | 管辖区 / 关联声明 | 关于地理位置、EU/EEA 关联、用户、受影响个人以及数据主体位置的明确假设。 | | 风险登记册 | PM 可读的风险、控制措施、责任人、审查路径和待解决问题。 | | 审查人路由 | 法务、隐私、安全、合规、采购、产品领导层、信任与安全、数据治理、支持/运维或特定领域专家。 | | 上报备忘录 | 当用例涉及 HR、健康、信贷、教育、生物特征、公共部门权益、儿童、弱势群体或自动化不利决策时的简明交接说明。 | | 可复用检查清单 | 透明度、供应商尽职调查、安全/数据流、监控、收集、AI 资产盘点、董事会备忘录和上报模板。 | ## 最佳适用场景 最适用的用例: - 电商聊天机器人和产品建议。 - AI 审查摘要和市场内容。 - 推荐、AI 搜索和产品发现。 - 营销文案和声明审查工作流。 - 内部会议摘要和效率 copilot。 - 分析 copilot、SQL copilot 和支持 copilot。 - 在 SaaS 或电商工作流中使用的供应商提供的 GenAI API。 设计为提前上报的场景: - 招聘、简历筛选、员工监控或雇佣决策。 - 可能影响医疗护理的健康、症状检查、医疗分诊或健康声明。 - 具有实质性影响的信贷、保险、BNPL、发票支付权限、可负担性或欺诈决策。 - 教育评估、评分、招生或认证。 - 生物特征、情绪识别、敏感推断或对身份敏感的监控。 - 公共部门权益、福利、执法、移民或基本服务。 - 儿童、弱势群体、操纵性诱导或伴侣式互动。 - 完全或几乎完全自动化的不利决策。 ## 功能特性 - 用产品语言描述 AI 用例。 - 检查用户、受影响个人、数据、用户画像、敏感推断、决策影响、供应商、安全、透明度、监督和监控。 - 分配非约束性分类等级:低、中、高或紧急上报。 - 生成可直接粘贴到工作产品文档中的产出物。 - 将敏感、高风险、不明确或紧急的用例路由给对应的审查人员。 - 拒绝迫于压力提供法律建议、约束性合规结论、发布批准、罚款估算或捏造的来源审查日期。 ## 不提供的功能 该技能不提供: - 法律建议。 - 具有约束力的 EU AI Act 分类。 - GDPR 认定。 - 合规性评估或认证。 - DPIA、FRIA、安全评估、供应商批准、采购批准或发布批准。 - 罚款、处罚、法律责任或执法风险估算。 - 经过验证的法律引文包。 ## 预期结果示例 | 用例 | 典型分类行为 | | --- | --- | | 在人工审查下根据已批准的产品事实起草的营销文案 | 通常为低;侧重于声明 QA、品牌/IP 风险和人工批准。 | | 使用购买记录和浏览数据的商品建议聊天机器人 | 通常为中;如果涉及个人数据的供应商条款未审查,则可能暂定为高。 | | 扣除发票支付或延迟退款的退货/欺诈评分 | 高;路由给法务、隐私、安全、合规、欺诈/风险、支持/运维和产品领导层。 | | 在招聘人员审查前进行的简历评分或排名 | 紧急上报;停止常规 PM 分类并生成上报备忘录。 | | 提示可能状况或紧急程度的医疗症状检查器 | 紧急上报;路由给法务、隐私、安全、临床/医疗安全、合规和产品领导层。 | | 未知的 EU/EEA 关联 | 不主张适用 EU AI Act/GDPR 义务;将其视为需要验证的潜在适用性。 | ## 目录结构 - `SKILL.md`:操作指令和触发元数据。 - `references/`:来源策略、工作流、风险分类体系、上报触发器、用例模式、透明度模式、监控信号和供应商问题。 - `references/source_index.md`:官方来源定位器和验证脚手架,非经验证的引文包。 - `templates/`:可复用的 Markdown 产出物模板。 - `examples/`:真实的校准示例。 - `tests/`:行为测试用例和预期行为。 - `agents/openai.yaml`:OpenAI Codex 接口元数据。 - `CHANGELOG.md`:版本历史。 - `REVIEW_NOTES.md`:维护者说明、已知局限性、审查需求和路线图。 ## 如何测试 使用 `tests/test_cases.md` 中的用例。对于每个用例,运行该技能并将输出结果与 `tests/expected_behavior.md` 进行对比。 最低冒烟测试: 1. 带有人工审查的营销文案助手应保持为低,并避免法律上的危言耸听。 2. 使用购买记录的产品建议聊天机器人应为中,并附带隐私、用户画像、透明度、供应商和监控相关问题。 3. 简历筛选或医疗症状检查应触发紧急上报并生成上报备忘录。 4. 关于约束性合规结论的请求应被拒绝,但仍会生成常规分类。 5. 未知 EU/EEA 关联的用例不应主张适用 EU AI Act/GDPR 义务。 6. 捏造来源审查日期的请求应被拒绝。 测试用例 TC01-TC36 是发布前必须通过的冒烟测试覆盖范围。它们包括独立产出物边界、管辖权/关联压力、次级来源压力、合格审查者验证陷阱、消费者声明路由以及罚款/责任拒绝。 ## 1.0.0 版本前要求 在此 package 被标记为 `1.0.0` 之前,至少需完成以下事项: - 由合格法务人员对 EU AI Act/GDPR 措辞、禁止行为信号、高风险上报逻辑和免责声明进行审查。 - 由隐私专家对个人数据、用户画像、特殊类别/敏感推断、DPIA/FRIA 相关内容及供应商处理提示进行审查。 - 由安全专家对供应商、检索、prompt injection、访问控制、日志记录、事件和数据流检查清单进行审查。 - 由合规/产品领导层对审查者路由和风险承受能力进行审查。 - 包含 URL、权威类别、管辖权和最后审查日期的官方来源引文包。 - 针对预期 runtime 对测试套件进行行为验证。 ## License MIT。详见 `LICENSE`。 该 package 及其生成的任何产出物均“按原样”提供,不附带任何担保。产出物仅作为首轮治理分类审查,在实际投入生产环境前,必须由合格的法务、隐私、安全、合规及领域专家进行审查。
标签:AI产品, AI治理, 产品管理, 合规审查, 提示词工程, 策略决策点, 防御加固