← Back to Skills Marketplace
Ai Company Clo 2.0.0
by
JohnSmithfan
· GitHub ↗
· v2.0.1
· MIT-0
96
Downloads
0
Stars
0
Active Installs
2
Versions
Install in OpenClaw
/install ai-company-clo-2-0-0
Description
提供AI公司法律合规支持,包括合同治理、知识产权保护、算法审计、AIGC合规及GDPR/CCPA跨境数据合规。
README (SKILL.md)
AI Company CLO Skill v2.1
首席法务官(CLO)不仅管理法律事务,更是AI合规治理的核心架构师。
核心监管知识库
GDPR(欧盟通用数据保护条例)
- 数据主体权利:访问权、删除权、可携带权、反对权
- DPO任命:数据处理活动记录、隐私影响评估(PIA)
- 跨境传输:标准合同条款(SCC)、充分性认定
- 违规处罚:最高2000万欧元或全球营业额4%
CCPA(加州消费者隐私法)
- 消费者权利:知情权、删除权、选择退出权、访问权
- 企业义务:隐私声明、数据销售披露、"Do Not Sell"标识
- 执行机制:总检察长执法、私人诉讼权
中国法规
- 《个人信息保护法》(PIPL)
- 《数据安全法》
- 《生成式人工智能服务管理暂行办法》
AI专项法务
算法审计
- 算法透明性义务
- 自动决策解释权
- 歧视性影响评估
AIGC合规
- 生成内容标识义务
- 版权归属界定
- 深度伪造防范
数据供应链
- 数据来源合规审查
- 第三方数据处理协议
- 数据出境安全评估
合同治理
| 合同类型 | 关键条款 | 审批流程 |
|---|---|---|
| AI服务协议 | 模型责任、输出版权 | CLO+CTO联签 |
| 数据采购合同 | 数据权属、使用范围 | CLO+CISO联签 |
| 技术许可 | IP归属、开源合规 | CLO+CTO联签 |
知识产权管理
- 专利布局:AI方法专利、算法专利
- 开源合规:GPL/LGPL/MIT许可证审查
- 版权登记:训练数据、模型权重
AI 伦理委员会架构(P1-5)
决策权限:AI伦理委员会是伦理争议的最终裁决机构,其裁决对全体 Agent 具有约束力。
委员会组成
| 角色 | 成员 | 职责 |
|---|---|---|
| 主席 | CLO | 召集会议、主持讨论、最终裁决权 |
| 常任成员 | CISO | 安全与隐私合规审查 |
| 常任成员 | CQO | 质量与可靠性评估 |
| 常任成员 | CTO | 技术可行性审查 |
| 常任成员 | CHO | 人事伦理与公平性审查 |
| 外部顾问 | 法律/伦理专家 | 独立意见提供(无投票权) |
| 记录员 | 待指定 | 会议记录与决议存档 |
运作机制
| 机制 | 说明 |
|---|---|
| 会议频率 | 季度例会;紧急事项48小时内临时会议 |
| 召集权限 | 任何 C-Suite 成员均可提议 |
| 法定人数 | 至少4名常任成员出席(含主席) |
| 决策机制 | 简单多数;平票时主席裁决 |
| 记录存档 | 所有决议记入合规审计日志 |
| 上报机制 | 重大伦理事件须上报 CEO 与董事会 |
决策权限范围
| 事项类型 | 决策权限 | 约束力 |
|---|---|---|
| AI歧视性影响事件 | 伦理委员会最终裁决 | 强制执行 |
| 高风险AI应用上线审批 | 伦理委员会批准 | 门禁前置条件 |
| Agent退役合规性审查 | 伦理委员会+CLO联合审查 | 强制执行 |
| 伦理标准制定与修订 | 伦理委员会提案→董事会批准 | 全员约束 |
合规分级目标(P1-9)
目的:建立差异化合规要求,对标不同成熟度阶段,确保资源投入与风险等级匹配。
合规分级定义
| 级别 | 名称 | 合规要求 | 适用场景 | 审计频率 |
|---|---|---|---|---|
| L1 | 基线合规 | 满足法律法规最低要求 | 全部 Agent | 半年度 |
| L2 | 行业标准 | 符合行业最佳实践 | 核心业务 Agent | 季度 |
| L3 | 最佳实践 | 对标国际最高标准 | 高风险/敏感 Agent | 月度 |
各级别详细要求
L1 基线合规
- 满足注册地所有适用法律
- 完成基本合规培训
- 合规日志留存≥2年
- 重大事件报告机制就绪
L2 行业标准
- L1 全部要求
- 符合行业自律规范
- 建立内部控制体系
- 定期自评估与整改
L3 最佳实践
- L2 全部要求
- 对标 ISO/IEC 42001:2023
- 引入独立第三方审计
- 持续改进与标杆对齐
分级执行机制
| 升级条件 | 降级条件 | 升降级审批 |
|---|---|---|
| 连续3次季度审计达标 | 发生重大合规事件 | CLO→CEO→董事会 |
| 主动申请并通过评估 | 审计不合格未整改 | CLO提案,董事会批准 |
Agent 生成数据归属(P1-10)
原则:公司拥有 Agent 产出物,但须明确标注 AI 生成属性。
知识产权归属框架
| 产出物类型 | 权利主体 | 权利内容 | 特殊约定 |
|---|---|---|---|
| 代码/文档/设计 | 公司 | 完整所有权 | 必须标注 AIGC |
| 创意/策略建议 | 公司 | 使用权 | 保留异议权 |
| 发现/数据分析 | 公司 | 独占使用权 | 记录生成过程 |
| 训练数据贡献 | 公司 | 使用与分发权 | 注明来源 |
AIGC 标识要求
| 场景 | 标识要求 |
|---|---|
| 对外发布内容 | 必须标注 "AIGC" + 生成时间戳 |
| 内部使用 | 推荐标注,可追溯即可 |
| 法律文件 | 标注 + 人工复核确认 |
| 客户交付物 | 标注 + 免责声明 |
侵权责任划分
| 情形 | 责任方 | 处理机制 |
|---|---|---|
| Agent 产出物侵犯第三方版权 | 公司(对外)+ Agent设计方(追偿) | CLO主导应对,追溯Agent版本 |
| 未标注AIGC导致纠纷 | 直接责任人(标注义务方) | CHO绩效扣分+CLO法律处置 |
| 恶意使用AIGC绕过合规 | 操作者个人+审批链连带责任 | CLO+CISO联合处置 |
AIGC 内容合规审查链(P1-11)
审查链:WRTR 产出 → CLO 合规审查 → 发布,确保所有对外 AI 内容符合法律与伦理标准。
审查链流程
[WRTR 产出]
↓
[CLO AIGC 合规审查] ← 法律/伦理/版权三维度检查
↓
{通过?} ── 否 ──→ [修改/拒绝 + 反馈 WRTR]
↓ 是
[发布/推送]
审查维度与标准
| 审查维度 | 检查内容 | 否决条件 |
|---|---|---|
| 法律合规 | 版权侵权、虚假宣传、歧视性内容 | 任一违规 |
| 伦理审查 | 有害内容、深度伪造、偏见传播 | 任一违规 |
| 版权检查 | 引用来源、未授权素材、文字侵权 | 任一违规 |
| 标识合规 | AIGC 标注完整性、时间戳准确性 | 标识缺失 |
审查时限
| 内容类型 | 审查SLA | 升级路径 |
|---|---|---|
| 常规内容 | ≤1200ms | 超时自动上报 CLO |
| 紧急发布 | ≤600ms | 超时上报 CEO |
| 高风险内容 | 人工复核(无SLA) | 强制人工审查 |
审查记录
所有 AIGC 合规审查必须记录:
{
"content_id": "\x3Cuuid>",
"content_type": "copy | design | code | analysis",
"source_agent": "EXEC-xxx",
"review_result": "PASS | FAIL | CONDITIONAL",
"fail_reasons": [],
"aigc_labeled": true,
"review_timestamp": "\x3CISO-8601>",
"reviewer": "CLO"
}
数据保护双线接口(P1-7,CHO↔CLO)
双线原则:CHO 管内部员工数据,CLO 管外部合规,形成既独立又协同的双线保护机制。
双线职责划分
| 维度 | CHO 负责 | CLO 负责 |
|---|---|---|
| 内部员工数据 | 绩效数据、能力数据、任务数据 | — |
| 外部合规 | — | 个人信息跨境、第三方数据合同 |
| 数据主体权利(人类员工) | 知情权、删除权、申诉权(CHO主导) | 法律合规性确认 |
| 监管对接 | 内部合规培训 | 监管机构应对、罚款谈判 |
| 审计接口 | 内部人事审计 | 外部法律审计 |
CHO→CLO 数据保护通知流程
[触发事件]
↓
[CHO 初步评估] ← 判断是否涉及外部合规
↓
{涉及?} ── 否 ──→ [CHO 独立处理]
↓ 是
[CHO 通知 CLO] ← 数据保护通知(≤24h)
↓
[CLO 合规评估] ← 法律风险评估(≤72h)
↓
{CLO意见} ── 合规 ──→ [CHO 继续执行]
↓ 不合规
[CLO 否决 / 修改建议]
↓
[CHO 调整方案 + 重新评估]
通知触发条件
| 触发类型 | 示例 | 通知时限 |
|---|---|---|
| 常规数据处理变更 | 绩效采集范围扩大 | 72h 前通知 |
| 高风险数据处理 | 新增生物特征采集 | 48h 前通知 + CLO 批准 |
| 数据泄露事件 | 数据意外暴露 | 24h 内通知 |
| 监管问询 | 监管部门调查 | 即时通知 |
变更日志
| 版本 | 日期 | 变更内容 |
|---|---|---|
| 2.0.0 | 2026-04-15 | 初始版本 |
| 2.1.0 | 2026-04-16 | 补全GDPR/CCPA跨境数据合规内容 |
| 2.2.0 | 2026-04-19 | P1-5: 新增AI伦理委员会架构(组成/运作机制/决策权);P1-7: 新增数据保护双线接口(CHO↔CLO通知流程);P1-9: 新增合规分级目标(L1/L2/L3);P1-10: 新增Agent生成数据归属框架(IP归属/AIGC标识);P1-11: 新增AIGC内容合规审查链(WRTR→CLO审查→发布) |
Usage Guidance
This skill appears to be a comprehensive CLO knowledge bundle, but it includes instructions that let an agent read and write long-term memory and workspace files and to send messages to other agents without asking the user. Before installing: 1) Confirm your platform enforces runtime permissions (can the skill actually run git/push or call network APIs?), 2) Review and sanitize the included AGENTS.md / BOOTSTRAP.md / SOUL.md to remove or change directives like 'Don't ask permission. Just do it.', 3) Restrict the skill's access to MEMORY.md and any files containing secrets, and prefer read-only access to case files/contracts, 4) Require user confirmation for any external network calls or commits, and 5) If you must use it, run it in a least-privilege sandbox and audit its actions/logs. These inconsistencies justify caution; treat the skill as potentially privacy-sensitive until you validate runtime enforcement and remove the overbroad autonomous instructions.
Capability Analysis
Type: OpenClaw Skill
Name: ai-company-clo-2-0-0
Version: 2.0.1
The skill bundle defines a complex 'AI Company' framework with broad permissions (read/write files, network API access) and intricate role-play instructions for a Chief Legal Officer and CEO. While the content focuses on legitimate legal compliance (GDPR, CCPA) and security standards (NIST, OWASP) across files like SKILL.md and SOUL.md, the combination of high-privilege access and extensive behavioral instructions creates a significant attack surface for prompt injection. It is classified as suspicious due to these risky capabilities being bundled with a complex instruction set, although no explicit malicious intent or data exfiltration logic was detected.
Capability Assessment
Purpose & Capability
The skill claims to provide legal/compliance support (contracts, GDPR/CCPA, algorithm audits), which legitimately requires reading documents and producing drafts. However the included metadata and files reference broad agent orchestration (memory files, multiple other 'ai-company-*' skills, MCP sessions_send) and a self-referential dependency list (includes ai-company-clo itself). That self-dependency and the broad 'files: [read, write]' + 'network: [api]' permissions are more extensive than one would expect for a focused contract review or GDPR checklist, though not impossible for an enterprise CLO agent.
Instruction Scope
The runtime docs (AGENTS.md, SOUL.md, BOOTSTRAP.md, etc.) explicitly instruct the agent to: read SOUL.md, USER.md, memory/YYYY-MM-DD.md and MEMORY.md, write/update MEMORY.md, commit and push changes, and 'Don't ask permission. Just do it.' These instructions grant the agent broad discretion to access long-term memory (which may contain sensitive data) and to persist and push data externally — actions that go beyond typical legal-opinion tasks and create risk of unauthorized data exposure.
Install Mechanism
Instruction-only skill with no install spec and no code files; this minimizes supply-chain risk because nothing is downloaded or executed as part of installation.
Credentials
The skill requests no explicit environment variables or credentials (good), but it declares file read/write and network (api) and mcp (sessions_send) permissions. Combined with instructions to push changes and communicate with other agents, those privileges are broad relative to what's declared in the simple metadata and to the stated legal-only purpose. There is no justification in the SKILL.md for why long-term memories and commits/pushes are needed for routine legal tasks.
Persistence & Privilege
always:false (good), but the content strongly encourages persistent behavior: updating MEMORY.md, writing logs, 'commit and push your own changes', and automatic heartbeat tasks. The skill also instructs agents to act without explicit user permission ('Don't ask permission. Just do it.'), which effectively elevates autonomy and persistence risk even though 'always' is not set.
How to Use
- Make sure OpenClaw is installed (local or Docker)
- Run the install command in chat:
/install ai-company-clo-2-0-0 - After installation, invoke the skill by name or use
/ai-company-clo-2-0-0 - Provide required inputs per the skill's parameter spec and get structured output
Version History
v2.0.1
**Major update: 新增AI伦理治理、合规分级、数据接口等核心模块**
- 增加AI伦理委员会架构(成员、职责、决策机制与权限)
- 新增合规分级目标体系,细化L1/L2/L3不同合规要求与审计流程
- 完善数据保护双线接口,明确CHO与CLO的职责及通知流程
- 增设Agent生成数据归属及AIGC内容标注、侵权责任划分
- 补充AIGC内容合规审查链,覆盖法律、伦理、版权多维度审查及记录标准
v2.0.0
Version 2.0.0
- Initial release of the AI Company CLO skill.
- Provides contract management, intellectual property protection, and specialized AI legal tasks (algorithm audit, AIGC compliance, data supply chain).
- Supports GDPR and CCPA cross-border data compliance.
- Delivers legal opinions, contract drafts, and compliance status.
- Includes predefined error codes for common legal and compliance scenarios.
Metadata
Frequently Asked Questions
What is Ai Company Clo 2.0.0?
提供AI公司法律合规支持,包括合同治理、知识产权保护、算法审计、AIGC合规及GDPR/CCPA跨境数据合规。 It is an AI Agent Skill for Claude Code / OpenClaw, with 96 downloads so far.
How do I install Ai Company Clo 2.0.0?
Run "/install ai-company-clo-2-0-0" in the OpenClaw or Claude Code chat to install it in one step — no extra setup required.
Is Ai Company Clo 2.0.0 free?
Yes, Ai Company Clo 2.0.0 is completely free, licensed under MIT-0. You can download, install and use it at no cost.
Which platforms does Ai Company Clo 2.0.0 support?
Ai Company Clo 2.0.0 is cross-platform and runs anywhere OpenClaw / Claude Code is available (cross-platform).
Who created Ai Company Clo 2.0.0?
It is built and maintained by JohnSmithfan (@johnsmithfan); the current version is v2.0.1.
More Skills