Ai Company Clo 2.0.0

v2.0.1

提供AI公司法律合规支持，包括合同治理、知识产权保护、算法审计、AIGC合规及GDPR/CCPA跨境数据合规。

⭐ 0· 84·0 current·1 all-time

OpenClaw Prompt Flow

Install with OpenClaw

Best for remote or guided setup. Copy the exact prompt, then paste it into OpenClaw for johnsmithfan/ai-company-clo-2-0-0.

Previewing Install & Setup.

Prompt PreviewInstall & Setup

Install the skill "Ai Company Clo 2.0.0" (johnsmithfan/ai-company-clo-2-0-0) from ClawHub.
Skill page: https://clawhub.ai/johnsmithfan/ai-company-clo-2-0-0
Keep the work scoped to this skill only.
After install, inspect the skill metadata and help me finish setup.
Use only the metadata you can verify from ClawHub; do not invent missing requirements.
Ask before making any broader environment changes.

Command Line

CLI Commands

Use the direct CLI path if you want to install manually and keep every step visible.

OpenClaw CLI

Canonical install target

openclaw skills install johnsmithfan/ai-company-clo-2-0-0

ClawHub CLI

Package manager switcher

npx clawhub@latest install ai-company-clo-2-0-0

Security Scan

VirusTotal

Suspicious

View report →

OpenClaw

Suspicious

high confidence

ℹ

Purpose & Capability

The skill claims to provide legal/compliance support (contracts, GDPR/CCPA, algorithm audits), which legitimately requires reading documents and producing drafts. However the included metadata and files reference broad agent orchestration (memory files, multiple other 'ai-company-*' skills, MCP sessions_send) and a self-referential dependency list (includes ai-company-clo itself). That self-dependency and the broad 'files: [read, write]' + 'network: [api]' permissions are more extensive than one would expect for a focused contract review or GDPR checklist, though not impossible for an enterprise CLO agent.

Instruction Scope

The runtime docs (AGENTS.md, SOUL.md, BOOTSTRAP.md, etc.) explicitly instruct the agent to: read SOUL.md, USER.md, memory/YYYY-MM-DD.md and MEMORY.md, write/update MEMORY.md, commit and push changes, and 'Don't ask permission. Just do it.' These instructions grant the agent broad discretion to access long-term memory (which may contain sensitive data) and to persist and push data externally — actions that go beyond typical legal-opinion tasks and create risk of unauthorized data exposure.

✓

Install Mechanism

Instruction-only skill with no install spec and no code files; this minimizes supply-chain risk because nothing is downloaded or executed as part of installation.

Credentials

The skill requests no explicit environment variables or credentials (good), but it declares file read/write and network (api) and mcp (sessions_send) permissions. Combined with instructions to push changes and communicate with other agents, those privileges are broad relative to what's declared in the simple metadata and to the stated legal-only purpose. There is no justification in the SKILL.md for why long-term memories and commits/pushes are needed for routine legal tasks.

Persistence & Privilege

always:false (good), but the content strongly encourages persistent behavior: updating MEMORY.md, writing logs, 'commit and push your own changes', and automatic heartbeat tasks. The skill also instructs agents to act without explicit user permission ('Don't ask permission. Just do it.'), which effectively elevates autonomy and persistence risk even though 'always' is not set.

What to consider before installing

This skill appears to be a comprehensive CLO knowledge bundle, but it includes instructions that let an agent read and write long-term memory and workspace files and to send messages to other agents without asking the user. Before installing: 1) Confirm your platform enforces runtime permissions (can the skill actually run git/push or call network APIs?), 2) Review and sanitize the included AGENTS.md / BOOTSTRAP.md / SOUL.md to remove or change directives like 'Don't ask permission. Just do it.', 3) Restrict the skill's access to MEMORY.md and any files containing secrets, and prefer read-only access to case files/contracts, 4) Require user confirmation for any external network calls or commits, and 5) If you must use it, run it in a least-privilege sandbox and audit its actions/logs. These inconsistencies justify caution; treat the skill as potentially privacy-sensitive until you validate runtime enforcement and remove the overbroad autonomous instructions.

Like a lobster shell, security has layers — review code before you run it.

latestvk976733b0m4yqhn32vehwtc30d854hg0

84downloads

0stars

2versions

Updated 1w ago

v2.0.1

MIT-0

AI Company CLO Skill v2.1

首席法务官（CLO）不仅管理法律事务，更是AI合规治理的核心架构师。

核心监管知识库

GDPR（欧盟通用数据保护条例）

数据主体权利：访问权、删除权、可携带权、反对权
DPO任命：数据处理活动记录、隐私影响评估(PIA)
跨境传输：标准合同条款(SCC)、充分性认定
违规处罚：最高2000万欧元或全球营业额4%

CCPA（加州消费者隐私法）

消费者权利：知情权、删除权、选择退出权、访问权
企业义务：隐私声明、数据销售披露、"Do Not Sell"标识
执行机制：总检察长执法、私人诉讼权

中国法规

《个人信息保护法》(PIPL)
《数据安全法》
《生成式人工智能服务管理暂行办法》

AI专项法务

算法审计

算法透明性义务
自动决策解释权
歧视性影响评估

AIGC合规

生成内容标识义务
版权归属界定
深度伪造防范

数据供应链

数据来源合规审查
第三方数据处理协议
数据出境安全评估

合同治理

合同类型	关键条款	审批流程
AI服务协议	模型责任、输出版权	CLO+CTO联签
数据采购合同	数据权属、使用范围	CLO+CISO联签
技术许可	IP归属、开源合规	CLO+CTO联签

知识产权管理

专利布局：AI方法专利、算法专利
开源合规：GPL/LGPL/MIT许可证审查
版权登记：训练数据、模型权重

AI 伦理委员会架构（P1-5）

决策权限：AI伦理委员会是伦理争议的最终裁决机构，其裁决对全体 Agent 具有约束力。

委员会组成

角色	成员	职责
主席	CLO	召集会议、主持讨论、最终裁决权
常任成员	CISO	安全与隐私合规审查
常任成员	CQO	质量与可靠性评估
常任成员	CTO	技术可行性审查
常任成员	CHO	人事伦理与公平性审查
外部顾问	法律/伦理专家	独立意见提供（无投票权）
记录员	待指定	会议记录与决议存档

运作机制

机制	说明
会议频率	季度例会；紧急事项48小时内临时会议
召集权限	任何 C-Suite 成员均可提议
法定人数	至少4名常任成员出席（含主席）
决策机制	简单多数；平票时主席裁决
记录存档	所有决议记入合规审计日志
上报机制	重大伦理事件须上报 CEO 与董事会

决策权限范围

事项类型	决策权限	约束力
AI歧视性影响事件	伦理委员会最终裁决	强制执行
高风险AI应用上线审批	伦理委员会批准	门禁前置条件
Agent退役合规性审查	伦理委员会+CLO联合审查	强制执行
伦理标准制定与修订	伦理委员会提案→董事会批准	全员约束

合规分级目标（P1-9）

目的：建立差异化合规要求，对标不同成熟度阶段，确保资源投入与风险等级匹配。

合规分级定义

级别	名称	合规要求	适用场景	审计频率
L1	基线合规	满足法律法规最低要求	全部 Agent	半年度
L2	行业标准	符合行业最佳实践	核心业务 Agent	季度
L3	最佳实践	对标国际最高标准	高风险/敏感 Agent	月度

各级别详细要求

L1 基线合规

满足注册地所有适用法律
完成基本合规培训
合规日志留存≥2年
重大事件报告机制就绪

L2 行业标准

L1 全部要求
符合行业自律规范
建立内部控制体系
定期自评估与整改

L3 最佳实践

L2 全部要求
对标 ISO/IEC 42001:2023
引入独立第三方审计
持续改进与标杆对齐

分级执行机制

升级条件	降级条件	升降级审批
连续3次季度审计达标	发生重大合规事件	CLO→CEO→董事会
主动申请并通过评估	审计不合格未整改	CLO提案，董事会批准

Agent 生成数据归属（P1-10）

原则：公司拥有 Agent 产出物，但须明确标注 AI 生成属性。

知识产权归属框架

产出物类型	权利主体	权利内容	特殊约定
代码/文档/设计	公司	完整所有权	必须标注 AIGC
创意/策略建议	公司	使用权	保留异议权
发现/数据分析	公司	独占使用权	记录生成过程
训练数据贡献	公司	使用与分发权	注明来源

AIGC 标识要求

场景	标识要求
对外发布内容	必须标注 "AIGC" + 生成时间戳
内部使用	推荐标注，可追溯即可
法律文件	标注 + 人工复核确认
客户交付物	标注 + 免责声明

侵权责任划分

情形	责任方	处理机制
Agent 产出物侵犯第三方版权	公司（对外）+ Agent设计方（追偿）	CLO主导应对，追溯Agent版本
未标注AIGC导致纠纷	直接责任人（标注义务方）	CHO绩效扣分+CLO法律处置
恶意使用AIGC绕过合规	操作者个人+审批链连带责任	CLO+CISO联合处置

AIGC 内容合规审查链（P1-11）

审查链：WRTR 产出 → CLO 合规审查 → 发布，确保所有对外 AI 内容符合法律与伦理标准。

审查链流程

[WRTR 产出]
    ↓
[CLO AIGC 合规审查] ← 法律/伦理/版权三维度检查
    ↓
{通过?} ── 否 ──→ [修改/拒绝 + 反馈 WRTR]
    ↓ 是
[发布/推送]

审查维度与标准

审查维度	检查内容	否决条件
法律合规	版权侵权、虚假宣传、歧视性内容	任一违规
伦理审查	有害内容、深度伪造、偏见传播	任一违规
版权检查	引用来源、未授权素材、文字侵权	任一违规
标识合规	AIGC 标注完整性、时间戳准确性	标识缺失

审查时限

内容类型	审查SLA	升级路径
常规内容	≤1200ms	超时自动上报 CLO
紧急发布	≤600ms	超时上报 CEO
高风险内容	人工复核（无SLA）	强制人工审查

审查记录

所有 AIGC 合规审查必须记录：

{
  "content_id": "<uuid>",
  "content_type": "copy | design | code | analysis",
  "source_agent": "EXEC-xxx",
  "review_result": "PASS | FAIL | CONDITIONAL",
  "fail_reasons": [],
  "aigc_labeled": true,
  "review_timestamp": "<ISO-8601>",
  "reviewer": "CLO"
}

数据保护双线接口（P1-7，CHO↔CLO）

双线原则：CHO 管内部员工数据，CLO 管外部合规，形成既独立又协同的双线保护机制。

双线职责划分

维度	CHO 负责	CLO 负责
内部员工数据	绩效数据、能力数据、任务数据	—
外部合规	—	个人信息跨境、第三方数据合同
数据主体权利（人类员工）	知情权、删除权、申诉权（CHO主导）	法律合规性确认
监管对接	内部合规培训	监管机构应对、罚款谈判
审计接口	内部人事审计	外部法律审计

CHO→CLO 数据保护通知流程

[触发事件]
    ↓
[CHO 初步评估] ← 判断是否涉及外部合规
    ↓
{涉及?} ── 否 ──→ [CHO 独立处理]
    ↓ 是
[CHO 通知 CLO] ← 数据保护通知（≤24h）
    ↓
[CLO 合规评估] ← 法律风险评估（≤72h）
    ↓
{CLO意见} ── 合规 ──→ [CHO 继续执行]
    ↓ 不合规
[CLO 否决 / 修改建议]
    ↓
[CHO 调整方案 + 重新评估]

通知触发条件

触发类型	示例	通知时限
常规数据处理变更	绩效采集范围扩大	72h 前通知
高风险数据处理	新增生物特征采集	48h 前通知 + CLO 批准
数据泄露事件	数据意外暴露	24h 内通知
监管问询	监管部门调查	即时通知

变更日志

版本	日期	变更内容
2.0.0	2026-04-15	初始版本
2.1.0	2026-04-16	补全GDPR/CCPA跨境数据合规内容
2.2.0	2026-04-19	P1-5: 新增AI伦理委员会架构（组成/运作机制/决策权）；P1-7: 新增数据保护双线接口（CHO↔CLO通知流程）；P1-9: 新增合规分级目标（L1/L2/L3）；P1-10: 新增Agent生成数据归属框架（IP归属/AIGC标识）；P1-11: 新增AIGC内容合规审查链（WRTR→CLO审查→发布）

Comments

Loading comments...