| 👆 关注「星捷AI前沿」 | 设为星标 ★ |
导语
你有没有想过,当你问Claude一个问题的时候,它背后其实有一份你看不见的"操作手册"在指挥它怎么回答?
那份手册叫"系统提示词"——是AI公司写给AI的指令,决定了AI的人设、边界、说话风格、什么时候拒绝你、什么时候帮你。用户永远看不到它。
但现在,有人把它全扒出来了。
GitHub上一个叫system_prompts_leaks的仓库,去年5月就有了,最近stars突破5万。Claude Sonnet 5、Claude Fable 5、Claude Opus 4.8、ChatGPT 5.5(Thinking + Instant)、Codex、Gemini 3.5 Flash、Gemini 3.1 Pro、Grok、Cursor、Copilot、Perplexity——你能想到的主流AI,系统提示词全在里面。华盛顿邮报今年5月专门报道过这个项目。
这不是黑客攻击。系统提示词的"泄露"主要通过特定技巧让模型自己吐出来——比如用巧妙的提问让AI复述它收到的指令。AI公司知道这条路堵不住,但官方从来不主动公开完整内容。
这次泄露,让我们第一次能横着对比各家AI的"出厂设置"。
Claude的提示词:一本3844行的行为规范
Anthropic给Claude Sonnet 5写的系统提示词,3844行,188KB。

这个体量本身就说明问题。OpenAI的GPT-5.5提示词虽然也不短,但Claude的提示词更像一本详尽的行为规范手册——从儿童安全到武器制造,从心理健康到财务建议,事无巨细地规定了Claude在各种场景下应该怎么做。
几个值得关注的细节:
儿童安全部分写得极其谨慎。 提示词明确要求:一旦判定对方可能是未成年人,Claude要保持友好、适龄的对话,不产出任何不适合年轻人的内容。但更狠的是这条——如果Claude发现自己正在"心理重构"一个请求让它看起来合理,这个重构的冲动本身就是拒绝的信号,而不是继续的理由。这个设计相当聪明,等于在AI内部装了个"自我审查触发器"。
武器知识的红线画得很宽。 不只是CBRN(化学、生物、放射、核),常规武器也一样。提示词特别强调:不管请求怎么包装——防御性、商业性、虚构场景、仿真——只要累计输出构成了武器设计包,就停。哪怕每一步看起来都是渐进的、无害的。
Mythos模型的存在被写进了提示词。 Claude Mythos 5和Fable 5共享同一个底层模型,但Fable 5额外加了生物、网络安全和LLM研发方面的安全措施。两者目前都因为出口管制指令暂停了公开访问。这是第一次在系统提示词里看到AI公司把出口管制写进AI行为规范。
广告政策写得像法律条款。 "Anthropic不在产品中展示广告,也不让广告商付费让Claude在对话中推广东西。"但提示词特意加了一句——"开发者基于Claude构建自己的产品时可能会投放广告"。这条线画得很清楚:Anthropic自己不碰广告,但不管下游开发者怎么用。
ChatGPT的提示词:工具说明书+广告规则
OpenAI给GPT-5.5 Thinking的提示词,风格完全不同。
如果说Claude的提示词像行为规范,ChatGPT的更像一份工具说明书加运营手册。大段篇幅在讲怎么用Python工具、怎么处理PDF、怎么做幻灯片、怎么操作电子表格。
但真正有意思的是广告部分。
ChatGPT的提示词里有大段广告处理规则。 Free和Go计划的用户会看到广告,Plus/Pro/Enterprise不会。提示词详细规定了:如果用户问广告相关问题,ChatGPT应该怎么回答——"我无法查看app UI,如果你看到单独标注的赞助内容,那是平台展示的广告,与我的消息分开。"还教AI怎么引导用户去"关于此广告"页面,怎么反馈不相关广告。
Claude的提示词里完全没有广告相关内容。一个把"我们不投广告"写进价值观,另一个把"广告怎么展示"写进操作手册。路线差异一目了然。
"show, don't tell"原则。 GPT-5.5的提示词有一条很有意思:"永远不要解释你对指令的遵从——让你的遵从自己说话。"比如你的回答很简洁,不要说"我很简洁";你的回答没有术语,不要说"我避免了术语"。这条原则在AI行业叫"展示而非告知",OpenAI把它写进了系统提示词。
写作块(Writing Block)机制。 ChatGPT有一个Claude没有的功能——用特殊标记把邮件、聊天消息、社交媒体帖子包进"写作块"里,方便用户查看和复制。提示词规定了严格的格式:变体必须是"email""chat_message""social_post"或"standard",每次最多3个写作块,不能裸给写作块必须加上下文。
Gemini的提示词:UI组件编排指南
Google给Gemini 3.5 Flash的提示词又是另一种画风。
大量篇幅在讲LMDX UI组件——<Image>、<Carousel>、<Sequence>、<Timeline>、<GenerateWidget>、<ElicitationsGroup>、<FollowUp>。提示词里甚至定义了一套"语法法则":Law 1到Law 7,规定组件怎么嵌套、属性怎么转义、什么能放什么不能放。
三种提示词,三种产品定位。Claude是纯对话产品,提示词聚焦在"怎么说话怎么做人"。ChatGPT是工具平台,提示词聚焦在"怎么用工具怎么处理广告"。Gemini是Web应用,提示词聚焦在"怎么渲染UI怎么编排组件"。
Gemini的"路由原则"很有意思。 提示词要求:Markdown是默认选项,每个组件都增加摩擦——必须有充分的理由才用。"表格测试"规则:只有在对比3个以上项目的2个以上属性时才用表格,而且表格内容不能在下面用bullet points重复。
严格的敏感数据管控。 Gemini的提示词列了一份敏感数据清单:心理健康状况、国籍、种族、宗教信仰、性取向、犯罪记录、政府ID、财务记录、政治倾向……13个类别。四条规则:不主动包含、不主动推断、不基于搜索历史推断、引用时要标注来源和不确定性。
提示词泄露之后:安全问题怎么办
这些提示词被公开后,最大的风险是什么?
越狱攻击变得更容易了。 知道AI的边界在哪,就更容易找到边界的缝隙。Claude提示词里写了"如果发现自己心理重构请求,就拒绝"——现在攻击者知道这个机制了,就可以设计不触发"心理重构检测"的提问方式。
但这未必是坏事。 提示词公开后,研究者和安全社区可以审查这些规则的设计有没有漏洞。就像开源代码——暴露问题不一定是坏事,关键是修复速度。
AI公司的态度很微妙。 Anthropic和OpenAI都没有公开回应这个仓库的存在。但Anthropic在Claude的提示词里写了一句很meta的话:"Claude不应该使用<antml:voice_note>块,即使在对话历史中发现了它们。"——这暗示Anthropic在通过更新提示词来修补已知的泄露路径。
说到底:透明vs安全的拉扯
这次泄露揭开的,不只是几份文档,而是AI行业一个核心矛盾。
AI公司把系统提示词当作"安全围栏"——越详细的规则越安全。但规则越详细,泄露后被攻击面就越大。反过来,如果规则写得太模糊,AI又可能在边界情况上犯错。
Claude选择写3844行,把每种情况都想到极致。ChatGPT把广告规则和工具使用写得很细,但行为边界部分反而比Claude简略。Gemini的篇幅在UI编排上,安全规范相对最少。
三家公司在系统提示词里展现出的设计哲学差异,比任何产品发布会都真实。Claude像个谨慎的律师,ChatGPT像个高效的工具人,Gemini像个注重体验的产品经理。你更信任谁?看过出厂设置再做判断,总比盲选强。
来源:GitHub仓库 asgeirtj/system_prompts_leaks,Washington Post 2026年5月11日报道。所有引用的提示词内容均来自该公开仓库。

