想象一个场景:你花每月20美元订阅ChatGPT Plus,以为自己在使用一个由万亿参数神经网络驱动的超级智能。但一个GitHub仓库告诉你,这个"智能"的很大一部分行为,实际上由一段几百字的系统提示词预先规定好了——它被要求"友好""谨慎""不冒犯任何人",而这些规则可以被任何人阅读、分析、甚至利用来绕过限制。
这就是system_prompts_leaks项目正在做的事,而且它做到了惊人的46,000+ GitHub Stars。
由开发者asgeirtj维护的这个仓库,收录了Anthropic Claude Fable 5/Opus 4.8、OpenAI ChatGPT GPT-5.5/5.4/5.3、Google Gemini 3.5/3.1、xAI Grok、Cursor、GitHub Copilot、VS Code Copilot、Perplexity、Notion AI、Meta AI、Mistral Le Chat、Qwen等等几乎所有主流AI产品的系统提示词原文。甚至连Docker内置的Gordon AI助手和Reddit Answers都在列。
它的更新速度甚至比产品发布还快——Claude Fable 5的系统提示词在模型上线当天就被收录,还附带了一份与前代Opus 4.8的逐行diff对比。
数据拆解:46K星背后,是行业集体"裸奔"
来看一组关键数字。这个项目于2025年初开始积累,到2026年6月已收录超过30个组织、50+个独立产品的系统提示词。覆盖面之广,让《华盛顿邮报》在2026年5月11日专门做了专题报道:
"查看隐藏的AI规则,然后用它们改写这篇文章。"——《华盛顿邮报》封面导语
项目的目录结构本身就是一张AI行业势力地图:Anthropic/、OpenAI/、Google/、Microsoft/、xAI/、Meta/、Cursor/、Perplexity/、Mistral/、Notion/、Qwen/……每个文件夹里都是对应产品被"扒光"的系统指令。
以OpenAI GPT-5.5为例,仓库里收录了四个独立变体——Thinking模式、Instant模式、API版本和Pro API版本——各自的系统提示词显露出OpenAI在不同场景下对模型行为的精细调控。而Anthropic Claude系列的收录更为详尽,从Fable 5回溯到Opus 4.1、Sonnet 4.6/4.5/4/3.7,几乎覆盖了Anthropic的全部产品线。
566次commit的记录说明这不是一个静态的快照,而是一个持续追踪AI行业秘密的活档案。
谁在笑,谁在哭?
独立开发者和Prompt工程师是第一受益者。 过去,优化一个AI应用的输出质量需要大量试错和逆向工程,现在直接对照着原版系统提示词来设计自己的prompt,效率提升了不止一个数量级。一个经典的例子:Cursor和VS Code Copilot的系统提示词被公开后,开发者可以直接看到这两个编码助手在生成代码时的"内部准则",从而在自己的项目里设计出更精准的本地prompt。
安全研究者和红队(Red Team)同样获益。 系统提示词里通常包含了大量安全指令——什么能说、什么不能说、遇到敏感话题如何处理。这些指令一旦公开,越狱攻击(jailbreak)的难度大幅降低。攻击者不再需要盲猜模型的防御边界,而是可以对照着规则清单,逐条寻找逻辑漏洞。
但AI公司受到的冲击是双重的。 首先是安全层面——系统提示词相当于模型的"免疫系统说明书",公开后的修补工作永无止境。其次是商业层面——当一个用户发现ChatGPT的"人格"其实是被精心编排过的文字游戏,对产品的敬畏感和付费意愿都可能下降。当用户意识到所谓的"AI智能",相当一部分只是prompt engineering的产物时,"魔法感"就消失了。
连锁反应:护城河变浅,但更深层的壁垒在别处
有人说这个项目是"AI行业的泄密危机",但这种说法可能高估了系统提示词的重要性。真正构成壁垒的从来不是一段prompt,而是数据、算力、和模型架构。 系统提示词被公开,竞争对手也无法据此复制一个Claude或ChatGPT。
但这个项目确实催化了一个行业趋势:Prompt驱动的产品差异化正在贬值。当所有竞争对手都能看到你的系统提示词,靠"会写prompt"建立的优势瞬间归零。剩下的竞争维度只有三个:模型能力本身、产品体验、和用户数据飞轮。
另一个连锁反应是合规风险。各国监管机构正在审视AI系统的透明度和安全性,而一个公开仓库就能展示出哪些产品的安全约束更宽松。例如对比Claude和Grok的系统提示词,可以清晰看到Anthropic和xAI在安全哲学上的差异,这为监管机构提供了直接的比较材料。
展望:Prompt透明化不可逆,但AI的真正"黑箱"依然深不可测
system_prompts_leaks项目会被关闭吗?技术上很难。即便GitHub处理了主仓库,fork版本、镜像站、本地存档已经遍布全球。信息的潘多拉魔盒一旦打开,就没有关闭的可能。
但真正值得思考的问题是:看到系统提示词之后,用户真的就"看透"了AI吗?恰好相反。模型参数的万亿维空间、训练数据中不可追溯的关联模式、自注意力机制在推理时的动态计算——这些才是AI行为的真正根源。 系统提示词只是表面的一层薄薄的指令膜。
然而,当一个充满好奇心的人翻开这个仓库,逐条阅读各大AI产品被"允许"或"禁止"做的事,他看到的不仅是技术文档,更是一面反映AI公司价值观、偏见、和风险偏好的镜子。而这,可能才是这个项目最深远的影响。
LC 智趣厅 · 科技与生活的交点
ihygg.cn
夜雨聆风