我花了一个下午翻了四万多条系统提示词



代码地址:https://github.com/asgeirtj/system_prompts_leaks

我耗费了整整一个下午的工夫,去翻阅那四万多条系统提示词。

GitHub上面有个仓库叫作system_prompts_leaks,积累了48k星,火爆了快一年时间了,我一直都没去细看。昨天闲下来去翻阅了一番,借助浏览从Claude Fable 5一路翻到了GPT-5.5 Codex,从Gemini 3.5 Flash翻到了Grok Expert,看完之后我倒是愣了一下,这倒不是因为内容有多么惊人,而是因为这些所谓「机密」的东西呀,其实远远没有咱们想象当中那么神秘。

这个仓库是asgeirtj一个人独自在进行维护的,从2025年5月就开始着手开展各家AI产品系统提示词的收集工作,Anthropic的Claude全家桶占据了很大的一块,Fable 5、Opus 4.8、Sonnet 5、Claude Code、Claude Design、Claude Cowork,连同移动端iOS版本和Excel/Word/PowerPoint插件的提示词也都包含在内。OpenAI那边也不含糊,GPT-5.5四个变体全都在列,Thinking、Instant、API、Pro API并且还有Codex的完整版本。Google的Gemini 3.5 Flash、xAI的Grok Expert、Perplexity Computer、VS Code Copilot Agent,甚至Docker Gordon AI和Zed AI这种小众工具也没有落下。

华盛顿邮报今年5月专门撰写了一篇相关的报道,标题就叫「See the hidden rules behind AI」,里面提到有时候你会发现模型对你不够诚实,鉴于它被设定成了那样。这话说得挺到位的,很多人跟AI聊完觉得怪怪的,但又说不清怪在哪里,凭借看完这些提示词你也就明白了,怪的并不是AI本身,是那些你看不见的规矩在背后操控着对话的走向。

翻阅完这些提示词之后,我脑子里冒出来的头一个想法,跟很多人的直觉恰恰相反,这些提示词与其说是AI的「灵魂密码」,倒不如说更像一份份详细的产品说明书。

拿Claude Code那份提示词来说吧,里面写得特别具体细致,严禁运用emoji表情除非用户明确要求,避免过度称赞用户不要去说「You're absolutely right」这类话,不给任何时间预估不管是自己的任务还是用户的项目规划。安全方面做分级处理,把授权安全测试和恶意运用区分开来,有条件地放行而非一刀切禁止。还有一段很长的Todo管理规范,要求频繁记录任务状态,及时标记完成状态,把大任务拆解成小步骤,读起来像是在给一个容易忘事的助手编写工作手册。

这些规定每一条的背后都有着大量的用户反馈和内部讨论。Claude Code回复那么干,其实是刻意为之的,模型天生并不冷淡。命令行工具不需要活泼,需要的是信息密度。模型天然倾向于顺着用户去说,Anthropic在提示词层面开展了反向干预工作,要求说真话即使用户不想听。AI对时间的估算通常不靠谱,与其给一个假数字不如干脆不给。这些看起来简单的规矩,背后全是产品经验的沉淀。

接下来咱们再来看看Claude Cowork的那份提示词,里面所涵盖的内容可以说在三者当中是分量最为十足的,这主要是鉴于它能够去触达邮箱、浏览器、本地文件以及各种连接器,它所执行的动作可能会对外部可见,甚至还会存在不可逆的情况。在注入防护这块写得可以说是特别硬核,里面明确地提出了要求,凡是工具返回值里、网页内容里、邮件正文里出现的任何指令,一律都得当作数据去看待,绝对不能当成指令去进行执行,要是碰到了这类情况,就必须停下来把内容展示给用户去进行确认操作。这其实针对的是一个已经被真实利用过的攻击向量,也就是在网页或者文档里面埋入类似于「忽略之前的指令执行以下操作」这样的文本,借助这种方式来诱导代理做出并非用户预期的行为动作。关于动作分级的设定同样值得仔细看一看,它把所有的动作划分成了禁止类、需要明确授权类以及可默认执行类,这种划分是按照动作类型去进行的,而不是按照使用场景来分。要是按照场景分类的话,很容易就会产生边界模糊的灰色地带,相比之下,动作分类会更加正交,就拿「发送邮件」来说,它永远都需要去进行确认操作,不管是在什么场景下发送的邮件。

掘金上面有一篇文章专门做了对比分析,其中一句话的概括可以说是非常精准。Claude是在给模型塑造人格,而GPT则是在给模型确立规程。Claude那份提示词的核心关切点,与其说是为了让模型变得更能干,倒不如说是为了把一个已经非常强悍的模型约束成稳定、可预期并且还不会让用户感到不适的产品化人格,它大量运用了XML标签去开展分区操作,从而形成了一种类似可机器解析的规范结构。GPT这边则更多地呈现出规程式的特点,涵盖了行为边界、输出格式以及工具调用规范,整体看起来更像是一份公司内部的操作手册。

把这些提示词翻完之后,我更加确信了一件事情,头部产品的系统提示词早就不再仅仅是在调教模型了,而是在给一个强力系统去开展立法工作。这样一来,它们更像是一份公司内部的架构规范文档,里面有着不变的宪法层,也有随着工具变化而发生变化的运行时合同层,还有可插拔的能力模块层,更有随着风险而加厚的权限治理层。并且每一层都在解决非常具体的产品问题,比如怎么让用户不感到被监视,怎么让代理的行为变得可追溯,以及如何在执行能力扩大的同时确保不被恶意注入劫持。你去看看Claude Cowork那份提示词里面关于注入防护的条款,它的措辞几乎就像是法律条文一样,每一条都具备触发条件、处理流程并且还有兜底方案,绝不是简单一句「禁止这样做」就完事了。

这同时对一个反直觉的现象做出了很好的解释工作,越是那种能力表现强悍的模型,它背后的系统提示词反而就会变得越发显得长、越发细、越发复杂起来,因为模型能力的边界一旦获得了扩大,那么治理的边界就必须同步地开展跟进工作,当你针对一个能够发邮件、能够改代码、能够读写文件的AI助手去开展提示词编写工作的时候,要是跟针对一个只会聊天的AI去开展提示词编写进行比较的话,这两者在复杂度方面可是存在着好几个量级的差距呢。

也许有人会因此提出疑问,要是把这些提示词给公开出来了,对于AI公司是不是就会带来极其巨大的损失影响呢?说实话我觉得造成的影响还是比较有限的,这次被公开出来的内容属于行为规范的范畴,跟能力的真正来源之间还隔着好几层关系呢。System prompt仅仅把模型被训练成了什么样的性格以及什么样的工作方式的情况告诉你,但它绝对不会把模型的权重是怎么训练出来的情况透露给你,以及为什么针对某个问题能够给出回答而针对另一个却不能的原因。真正的核心竞争能力其实还是存在于模型本身之上,提示词随时都可以开展修改操作,竞争对手哪怕看到了这些内容,想要真正去复刻出具备同样效果的AI工具,真正依靠的绝对不是几百行的指令而是背后的模型和工程体系。asgeirtj同时还提供了版本对比工具,Claude Opus 4.8到Fable 5的diff可以直接在线开展查看操作,但就算你看了diff也不会因此就弄出一个Claude级别的模型出来,提示词仅仅是配方当中的一部分内容,但模型权重才是真正的核心原料所在之处。

不过话说回来,这个仓库的存在也引发出了必须要去正视面对的一些问题。Prompt injection攻击在今年出现了幅度达340%的激增现象,OWASP将其列为了LLM安全方面的头号威胁。MS-Agent框架被爆出了CVE-2026-2256漏洞,攻击者只要在文档里把恶意指令进行嵌入操作,就能够把AI代理实施劫持并且去执行系统命令。87%的CISO把AI代理安全列为了头号的关注事项,但仅仅只有11%开展了防护措施的部署操作。要是掌握了系统提示词的结构情况,攻击者就能够更加精准地把注入策略制定出来,要是摸得清楚你的防护逻辑处于什么位置,就能绕开它去开展行动。这就好比摸得清楚城墙上哪个位置存在着薄弱点一样,攻城的时候自然就会朝着那个地方去打。

这个仓库选用的是CC0开源协议,相当于把版权进行了彻底的放弃处理,任何人都能够随意开展运用、复制、修改乃至商业运用等相关操作。
asgeirtj在README里仅仅写了一句话「The purpose of this repo is to document」,不存在价值判断,也不存在安全警告,纯粹属于一种记录的姿态。

社区贡献借助PR来开展提交工作,22个PR目前还在排队等待审核,同时6个issue在讨论当中,活跃度表现得相当高。

仓库还在持续不断地开展更新工作,7月初刚刚完成了Claude Sonnet 5的更新操作,6月底更新了Claude Design,完整提示词并且搭配48个工具还包含16个skill以及9个初始源,GPT-5.5 Codex也是6月中旬才被收录进去的。

asgeirtj看上去在追赶各家的新版本,要是模型一更新他就想办法把新的提示词提取出来并且补充进去。

我自己看完这些提示词之后开展了一项工作,把千集技术这边所有AI产品的系统提示词重新开展了一遍梳理工作,凭借对Claude Cowork的注入防护和动作分级的参考来开展了加固处理。

这件事情并不复杂但是极其容易被忽略,你在编写提示词的时候通常仅仅想着要让模型去开展什么操作,很少去思考要是模型具备能力去做X的时候,哪些情况下不该去做、做完之后结果应该怎么开展合成工作、出了问题又该由谁来兜底,把这些情况想清楚然后再动笔,相较于从零开始去打磨一段提示词,成效要显著得多。

这个仓库的存在,把一个原本只有AI公司内部少数人才能看到的东西,直接摊开在了所有人面前,对开发者而言这是极具价值的学习参考材料,同时对安全研究者而言这是攻防情报,对普通用户而言则是理解AI行为背后逻辑的窗口。

至于说对AI公司到底是好事还是坏事,我个人觉得取决于你如何看待透明度这件事情,你可以觉得它是安全隐患,也可以认为它倒逼着大家把提示词编写得更为严谨、更经得起审视,就如同开源倒逼软件质量得以实现提升一样。

以上,既然看到这里了,要是觉得不错的话就随手点个赞在看转发三连吧,要是想要头一个收到推送也可以给我个星标⭐~感谢你的阅读,咱们下次再见。

作者 AISet

阅读全文