ai-act-readiness
作者 alirezarezvaniai-act-readiness 是一项用于 EU AI Act 审查的 Compliance Review skill,适用于准入评估、部署前检查、合格评定准备和年度更新。它通过 /cs:ai-act-readiness <system> 引导完成六个关联法条的问题,覆盖禁止性做法、高风险状态、角色、GPAI 触发条件和分阶段生效日期。
该 skill 得分为 68/100,表示可以收录进目录,但更适合定位为轻量级合规询问工具,而不是完整的 EU AI Act 就绪工具包。目录用户可以获得清晰的命令、使用场景,以及一组带条款引用的结构化问题;但仍应自行补充法律验证、证据收集流程,以及任何被引用的工具。
- 触发方式和使用时机清晰:`/cs:ai-act-readiness <system>` 明确对应 AI 系统准入、欧盟部署、合格评定、年度更新和角色变更等场景。
- 提供聚焦 EU AI Act 的六问式审查,而不是泛泛的合规提示;问题包含条款引用,并覆盖 Article 5 禁止行为等高影响的停止条件。
- 描述和正文内容较为扎实,没有占位符或实验性标记,结构也足以让 agent 引导一次就绪度审查。
- 未提供支持文件、参考资料或安装/readme 元数据,因此用户只能依赖 SKILL.md,并需要自行核验法律细节。
- 该 skill 要求 agent 运行 `ai_system_risk_classifier.py`,但仓库证据显示没有相关脚本,存在执行落差。
ai-act-readiness skill 概览
ai-act-readiness 能做什么
ai-act-readiness 是一项合规审查 skill,用于在 AI 系统面向欧盟部署、投放市场、开展合格评定,或进行定期合规刷新之前,对照 EU AI Act 进行压力测试。它围绕命令 /cs:ai-act-readiness <system> 设计,采用六个问题的盘问式审查流程,对应 EU AI Act 的关键决策点,包括禁止性实践、高风险分类、provider/deployer 角色变化、合格评定义务、GPAI/系统性风险触发条件,以及 Article 113 的分阶段适用日期。
最适合 Compliance Review 团队
ai-act-readiness skill 尤其适合法务、治理、产品、安全和 Responsible AI 审查人员,用来在深入律师审查或正式合格评定工作之前,完成结构化的第一轮审查。它适用于新 AI 功能的 intake review、上线前欧盟合规检查、年度 AI 资产清单刷新,以及重大变更审查——尤其是组织可能因 substantial modification 规则,从 deployer 转变为 provider 的场景。
它与通用 prompt 的区别
通用的 EU AI Act prompt 往往只会生成宽泛总结。这个 skill 更偏实操:它会推动审查人员逐一回答与具体条款相关的问题,并在出现禁止性实践或重大分类问题时中止流程。它的价值不在于给出最终法律结论,而在于尽早减少遗漏关键门槛问题的风险,让团队能在签字放行之前暂停部署、补充证据或升级给法律顾问处理。
采用前需要了解的限制
当前仓库主要通过 SKILL.md 暴露该 skill;在 skill 文件夹中没有可见的配套 rules/、references/、resources/ 或可执行支持文件。因此,应把其中嵌入的条款引用和工作流视为引导式审查清单,而不是完整的法律知识库。对于受监管的部署,应将输出与最新 EU AI Act 正文、协调标准、内部政策以及合格法律审查结合使用。
如何使用 ai-act-readiness skill
ai-act-readiness 安装与文件审查路径
如果你的 agent 环境支持从 GitHub 安装 skill,可以从 skill 仓库安装:
npx skills add alirezarezvani/claude-skills --skill ai-act-readiness
然后在依赖它之前先检查源文件:compliance-os/skills/ai-act-readiness/SKILL.md 是关键文件。由于该 skill 文件夹很轻量,阅读 SKILL.md 不是可选项;它会告诉你准确的命令、适用时点,以及六个问题的审查顺序。安装后请确认你的平台能够识别 /cs:ai-act-readiness。
skill 需要哪些输入才能发挥效果
要让 ai-act-readiness 的使用结果有价值,不要只传一个产品名称。你需要提供足够的系统事实,用于判断风险分类并识别义务:
- 系统用途和面向用户的功能
- 目标欧盟国家和用户群体
- provider、deployer、importer、distributor 或 downstream role
- 是否影响就业、教育、信贷、执法、移民、生物识别、医疗、安全或基本服务
- 模型类型、训练来源、自主程度和人工监督机制
- 部署场景、受影响人员和已知故障模式
- 计划上线日期或刷新日期
较弱的 prompt 是:“Review our chatbot for EU AI Act.” 更好的 prompt 是:“Use /cs:ai-act-readiness for a customer-support AI assistant deployed to EU consumers by a SaaS provider, using a third-party LLM, no biometric processing, no automated legal decisions, logs retained for QA, launch planned September 2026. Identify prohibited-practice, high-risk, transparency, GPAI, and conformity concerns.”
第一轮审查的建议工作流
先提供一段简洁的系统描述,然后要求该 skill 分别回答六个问题,并列出证据缺口和需要升级处理的事项。你可以在 intake 阶段运行一次,在架构或 use case 发生变化后再运行一次,并在欧盟市场投放前再次运行。如果系统涉及类似 Annex III 的领域,应要求给出高风险判断理由,而不是简单回答 yes/no。如果组织因为修改或重新品牌化另一家 provider 的 AI 系统而可能发生角色变化,应明确询问 Article 25 风格的 provider 影响。
实用 prompt 模板
使用下面的结构通常能得到更好的结果:
/cs:ai-act-readiness <system description>. Return: 1) likely EU AI Act role, 2) Article 5 prohibited-practice screen, 3) high-risk analysis, 4) transparency and human-oversight obligations, 5) GPAI/systemic-risk triggers if relevant, 6) evidence missing, 7) go/no-go recommendation for compliance review.
这个 prompt 会把一个粗略目标转化为可审计的 intake 记录,并让缺口显性化,而不是被掩盖在一段润色过的总结里。
ai-act-readiness skill 常见问题
ai-act-readiness 是法律意见吗?
不是。ai-act-readiness skill 是一种结构化合规审查辅助工具,不构成法律建议。它帮助团队识别在部署或合格评定工作之前必须回答的 EU AI Act 问题。你可以用它准备法律顾问审查、记录假设,并避免明显的 intake 遗漏。
什么时候不应该使用这个 skill?
不要把它作为高风险 AI、禁止性实践边界案例、生物识别系统、执法用途、关键基础设施,或就业和教育决策的唯一批准机制。也不要在系统描述含糊的情况下使用它;输出的可靠性取决于你提供的事实质量。
它与 AI 风险分类器有什么不同?
这个 skill 比单一标签的分类器更广。它的目标是带领审查人员走完整个合规推理路径:禁止性实践筛查、高风险触发条件、角色和修改问题、欧盟部署时间,以及是否已准备好进行声明或刷新。它可以为分类提供依据,但不应替代正式的风险管理文档。
ai-act-readiness 适合新手吗?
适合用于结构化 intake,但新手应先阅读 skill 文件,并把 EU AI Act 正文放在手边对照。条款引用很有帮助,但审查人员仍然需要掌握领域事实并做出判断。新手最容易获得好结果的方式,是要求该 skill 列出假设和证据缺口,而不只是给出结论。
如何改进 ai-act-readiness skill 的使用效果
重新运行前先补强 ai-act-readiness 输入
大多数质量较弱的输出都来自事实缺失。在重新运行 ai-act-readiness 之前,补充部署国家、用户群体、决策影响、人工复核流程、模型来源、训练或 fine-tuning 细节,以及系统是否与安全相关或嵌入在受监管产品中。这些细节会直接影响禁止性实践筛查和高风险分析。
要求可用于决策的输出,而不是摘要
对于 Compliance Review,应要求输出一个表格,包含 Question、Likely answer、Evidence、Uncertainty、Required follow-up 和 Owner。这样结果才能直接用于 intake ticket 或治理流程。如果模型在没有证据的情况下给出自信结论,应要求它把法律解释与产品事实分开呈现。
需要重点排查的常见失败模式
当 use case 涉及就业、教育、信贷、公共福利、执法、移民、生物识别或安全组件时,要警惕过度自信的 “not high-risk” 判断。还要检查输出是否忽略了角色变化:如果 deployer 对系统进行了 substantial modification,可能会继承类似 provider 的义务。最后,务必核对日期,因为 Article 113 的分阶段适用时间会影响哪些义务当前立即相关。
第一轮输出后的迭代方式
完成第一轮 ai-act-readiness 后,把每一项不确定性都转化为后续 prompt。例如:“You flagged possible high-risk status due to employment screening. Ask the minimum facts needed to decide whether Annex III applies.” 然后用产品、法务、安全和模型 owner 提供的答案重新运行该 skill。最佳用法是迭代式的:先分类,暴露缺口,收集证据,然后再生成 readiness recommendation。
