> 📌 **项目地址**:[asgeirtj/system_prompts_leaks](https://github.com/asgeirtj/system_prompts_leaks) | ⭐ 44,220 颗星 | 🔧 JavaScript | 📜 未标注
## 这不是代码,是AI的“行为手册”
[asgeirtj/system_prompts_leaks](https://github.com/asgeirtj/system_prompts_leaks) 仓库有44220颗星,被《华盛顿邮报》2026年5月11日的文章引用过。它做的事很简单:把各大AI厂商给模型写的系统提示原文公开出来。
系统提示就是开发者塞给模型的隐藏指令——模型该用什么语气、能调哪些工具、哪些话题不能碰。普通人聊天时看不见,但模型的每一步都受它们控制。这个仓库截止2026年6月18日还在更新,最新收录了GitHub Copilot for macOS(app版)、Claude Design、GPT-5.5 Codex的完整提示。
我花了一个下午读完里面几十份文件,下面说说我觉得最有价值的部分。
## 直接读原始文件,等于看AI的“宪法”
每个厂商的提示文件都放在对应目录下,Markdown格式,原文完整。比如想查Claude Fable 5的规则,打开 `Anthropic/claude-fable-5.md` 就行。这些提示不是代码,是纯英文的自然语言指令。有的特别长——GPT-5.5 Thinking的提示超过200行,包含思维链的具体要求。有的很短——Docker Gordon AI的提示只有几段,指定它是一个“专门解释Docker的助手”。
读原始文件是理解AI行为最直接的途径。比如我之前一直想不通为什么Claude有时拒绝回答简单问题,看了提示才明白:里面写着“如果你不确定,就回答不知道”。原来不是什么“自主意识”,就是一行明文规则。
## 版本对比:看到AI厂商在改什么
README专门给了[Diffchecker链接](https://www.diffchecker.com/QJn9jFNk/)对比Claude Opus 4.8 和 Fable 5 的系统提示变化。点进去逐行看,能发现具体改动:某条工具定义被删了,语气约束被放松了,或者新增了某个安全规则。
我对比了一下GPT-5.5的 Thinking 和 Instant 两个版本的提示。Thinking版本明确要求“逐步推理并输出中间步骤”,Instant版本则强调“直接给出最终答案,不要展示推理过程”。这种差异直接解释了为什么同一个模型在不同模式下行为不同。
厂商随时在改提示,仓库的更新频率高,但依然赶不上线上版本。不过把几个月的版本排在一起,能看出趋势:Anthropic越来越强调工具调用规范,OpenAI越来越细化安全边界,Google越来越注重简洁输出。
## 对比官方版和“泄露版”:找出被隐藏的内容
部分模型有独立的 `Official` 文件夹,例如 `Anthropic/Official/2026-05-28-claude-opus-4.8.md`。把“泄露版”和“官方版”放一起对比,能找出哪些内容被主版本隐藏了。注意,这里的“官方版”是指厂商当公开文档发布的提示,而不是仓库声称的“泄露版”有多大区别。
我试了一下Claude Opus 4.8的两个版本,发现“泄露版”里多了一段关于“如何审查用户上传的图片”的描述,而官方公布的版本里根本没有这段。这种差异对于做安全研究或者提示工程的人来说,是实打实的情报。
## 工具类提示:开发工具也在被“遥控”
仓库里不仅有聊天机器人的提示,还有开发工具的系统提示。比如 `Anthropic/Claude Code/glob-tool.md` 和 `grep-tool.md` 分别定义了Claude Code的文件搜索能力。`Microsoft/vscode-copilot-agent.md` 定义了Copilot在编辑器里怎么响应。`Docker/gordon-ai.md` 定义了Docker内置AI的规则。
这些提示告诉开发工具什么时候可以执行命令、能不能写文件、遇到错误怎么处理。如果你在用这些工具,读一读它们的系统提示能帮你理解工具的边界——比如为什么有时候Copilot拒绝改代码,可能就是因为提示里写着“除非用户明确要求,否则不要修改 .env 文件”。
## 不同厂商的风格差异
我读了十几份提示,每个人写系统提示的风格差异很大:
– **Anthropic**:像行为规范。大量关于“应该怎么思考”的指令——比如Claude Code的提示里明确要求“先分析问题,再选择合适工具,最后执行”。语气约束也多,要求“保持礼貌但直接”。
– **OpenAI**:像功能清单。GPT-5.5的提示里列了各种函数定义——搜索、生成图片、调用插件。每条工具定义都有参数说明和示例。更像API文档。
– **Google**:偏向安全约束。Gemini 3.5 Flash的提示反复强调“不要生成有害内容”、“不要冒充人类”、“必须引用来源”。几乎没有工具调用定义,因为Gemini本身工具调用是独立配置的。
– **xAI**:Grok Expert的提示很短,只有几条。风格更自由,要求“回答直接、有见解”。
这些差异反映了各家的技术路线和安全哲学。Anthropic专注模型行为控制,OpenAI专注工具集成,Google专注安全合规。
## 实际怎么用(不是场景列表,是具体做法)
1. **学习提示工程**:直接看一线工程师写的系统提示,比任何教程都实在。比如Claude Code的提示里如何定义工具调用的格式、错误处理、重试策略,这些都可以直接借鉴。
2. **逆向分析产品**:如果你想做一个类似的AI产品,看看竞品怎么写的。比如仓库里GitHub Copilot for macOS的提示定义了“何时主动提供代码建议”,能帮你理解微软的设计逻辑。
3. **安全审计**:检查厂商是否在提示里隐藏了不必要的权限。比如有的提示要求模型“记录用户所有输入并发送到指定服务器”,这种信息在提示里明文写着,是很好的检查素材。
4. **对比官方发布**:厂商有时只公布简化版的提示。把“泄露版”和官方版本对比,能发现被刻意隐藏的细节。这个仓库里就有专门的 `Official` 文件夹,方便直接比较。
## 几个提醒
– **时效性**:提示随时会变。我看到GPT-5.5在2026年5月24日更新过,但几天后可能又变了。只能当参考,不能当绝对权威。
– **来源合法性**:仓库没有说明提取方式——可能是prompt injection、逆向工程或者内部泄露。法律风险摆在眼前,别拿这些提示直接商用。仓库本身也没有开源许可证,所有提示原文的版权属于各AI公司。
– **覆盖面有限**:主要厂商都有了,但小众模型(比如国内的、开源的)基本没有。当作学习资源够用,别当成全集。
## 最后说句实话
这个项目最大的价值就是“偷看题本”。你终于知道AI那些奇怪行为背后是什么具体指令。读完之后,我对AI“自主意识”的幻想彻底没了——大部分行为就是几段明文规则驱动的。厂商每天都在改规则,仓库就像一份持续更新的日志。如果你真想理解AI是怎么被设计的,这里是个好起点。
===
AI系统提示, 提示工程, 逆向分析, 模型透明性