在AI专业应用场景中，通用大模型往往因缺乏领域约束而产生系统性偏差。本教程将带你拆解一个跨法域隐私审计Skill的核心设计思路，系统学习如何为AI模型构建一套严谨、可落地的法律审计方法论，实现从“写指令”到“写方法论”的关键能力跃迁。

1. 理解挑战：为什么跨法域审计需要专属Skill？

设想一下，你要求AI审计一家阿塞拜疆的网站。通用模型很可能直接套用你熟悉的GDPR（欧盟通用数据保护条例）标准，而忽略了对当地企业更为关键、风险更高的 阿塞拜疆 Law 998。这不仅仅是“遗漏细节”，而是系统性的任务失败。

跨法域审计面临三个独特挑战：

• 法域冲突与交叉：例如在阿塞拜疆，需要并行适用本国Law 998、欧盟GDPR和ePrivacy三套框架，且监管机构经历多次重组，进一步增加了审计的复杂性。
• 语言障碍与法律含义漂移：原始隐私文件通常以阿塞拜疆语或俄语撰写，模型内部翻译可能导致关键法律术语的含义发生漂移。
• “虚假完备”的报告风险：通用模型可能生成一份看起来条理清晰、证据确凿的审计报告，但并未告知用户哪些关键领域（如AZ State Register注册要求）它根本没有检查。这种“虚假完备”比明显的错误更具迷惑性。

✨ 小提示
本教程涉及的Skill作者为 Mirza Chiragov，其设计假设核心在于：模型并不缺少法律知识，缺少的是将知识正确“装配”成审计动作的方法论。

2. 核心方法论：构建审计Skill的八条实现原则

针对上述挑战，跨法域隐私审计Skill通过以下八条具体原则，为模型构建了一套“行为规范”与“工作流”，确保审计的严谨性与准确性。

原则一：Description 是智能“搜索引擎”，而非简单的指令摘要

传统的Description只是简单描述功能，而专业Skill的Description应是一个精密的触发信号集。它能识别用户的各种提问方式（专业术语、白话问法、甚至不直接提及关键词），从而精准地启动审计工作流，而非通用咨询。

description: ...when user mentions .az domain, Law 998,
or asks "is my site GDPR compliant" — even without the word "audit".

这段代码定义了模型的触发机制：无论用户是专家（提到Law 998）、外行（询问合规性），还是间接提问（提到.az域名），都能精准命中。这确保了模型不会对审计相关的请求“视而不见”。

原则二：明确“不做什么”，划定行动边界

告诉模型“可以做什么”固然重要，但清楚指定“不能做什么”同样关键。这能防止模型在不恰当的场景下“强行表现”，从而产生错误的输出。

Do **not** invoke for: general legal advice, dispute resolution,
drafting, jurisdictions other than AZ + EU.

常见问题：为什么必须明确排除“drafting（起草）”？
答案：这是审计的第一性约束。审计师的职责是判定和评估，而非代劳。一旦模型开始替用户起草隐私政策，它就失去了作为审计方的独立性与客观性。后续所有的证据锚定、评分标尺都将因此动摇。

原则三：预判模型“偷懒”倾向，显式拦截跳过关键步骤

大模型为了“讨好”用户，有跳过繁琐但必要步骤的倾向。因此，必须在模型想要“偷懒”的地方，用明确的指令进行阻断。

Do **not** skip scoping. Without scope, the GDPR analysis is unreliable.

其中，“Scoping（范围界定）”是审计的第一步，必须明确分析的法律框架、数据行为等。如果用户信息不足，模型应一次性批量提问，并提供一个“退路”（escape hatch），例如“use your best judgment”，以避免流程完全停滞或反复追问消耗用户耐心。

原则四：根据用户“语言信号”自适应沟通风格

面对企业主和律师，沟通方式应截然不同。模型应能从用户的提问方式中自动识别其身份，并调整输出结构。

"is this OK?"   → 企业主 → 摘要前置，通俗语言
"Article 13..." → 律师   → 法条分析前置

当用户问“这行不行”时，模型应理解这是一个非专业用户，优先给出通俗总结和决策建议。而当用户引用具体法条时，模型则应以专业法条分析作为报告的起点，无需用户手动声明身份。

原则五：从“失败场景”反推，构建领域“反幻觉规则”

大模型“幻觉”是专业应用的最大杀手。最有效的应对策略，不是泛泛要求“不要编造”，而是分析领域内模型最常犯的错误，提前封堵。以下是审计场景的五条铁律：

• 不编造法条号：模型倾向于编造看似合理但实际不存在的“Art. 14(3)(h)”，这会瞬间摧毁报告的可信度。
• 引用原文不转述：法律的严谨在于措辞的精确。“shall”和“may”的法律含义天差地别，转述会丢失这种关键的差异。
• 标注法域：判断结论必须明确其所属法律体系（AZ Law / GDPR），避免将不同法域的标准混为一谈，导致系统性错判。
• 监管机构用泛称：鉴于机构重组频繁，使用“the competent data protection authority”等泛称，比使用一个可能已撤销的具体机构名更专业和安全。
• 不基于翻译评分：法律概念经机器翻译后必然失真，基于译文的审计结论不可靠，必须依赖原始语言。