asgeirtj/system_prompts_leaksというGitHubリポジトリが4万673スターを突破した。anthropicのClaude Opus 4.7・4.6・Sonnet 4.6、OpenAIのGPT 5.5系、Gemini 3.5 Flashなど主要AIの社外秘システムプロンプトを抽出して並べた集積所だ。AIが「なぜそう答えるか」の設計図が公開された意味を、エンジニア視点で読み解く。
何が起きたか
抽出元はチャット製品に組み込まれたシステムプロンプト、つまりユーザー入力の手前でモデルに渡されている社外秘の指示文だ。anthropic製のOpus 4.7・4.6・Sonnet 4.6、OpenAIのChatGPT 5.5 ThinkingとGPT 5.5 Instant、さらにGemini 3.5 Flashまでが並ぶラインナップは、現行フラッグシップ世代をほぼ網羅している。
スター数4万673という数字は、GitHub上で「ライブラリでもツールでもないただのテキスト集」が獲得した数として異例だ。比較すると、有名OSSフレームワークでも年単位でようやく到達する規模である。プロンプト設計者・レッドチーマー・AI研究者がフォークし、差分を読み比べて挙動の根拠を逆算する流れが起きている。
anthropicの設計思想は何が露呈したか
エンジニアにとって、このリポジトリは「LLMの取扱説明書」ではなく「LLMの内部規程集」として読むべきものだ。とくにanthropicのOpus 4.7と4.6を並べて読めば、世代間でガードレールがどう書き換わったか、ツール呼び出しの優先順位がどう調整されたか、Constitutional AIの理念が具体的な命令文へどう翻訳されているかが推定できる。
これはAPIドキュメントには絶対に載らない情報だ。anthropicは外向きには「安全性と有用性のバランス」と語るが、その実装はシステムプロンプト内のIF-THEN記述や禁則リストとして実在する。流出によって、競合のシステムプロンプト設計者は「他社はここまで明示的に書いているのか」「自分たちは過剰に冗長だったのか」を実コードベースで比較できるようになった。LLM応用開発の世界で、暗黙知だった「プロンプトの相場観」が一気に公開知になったのが今回の本質である。
技術的な深掘り:プロンプトは「コード」ではなく「設定ファイル」だった
長年、システムプロンプトは知的財産として扱われてきた。だが今回の流出が示したのは、プロンプトはコードというより「設定ファイル」に近いという冷徹な事実だ。コードは難読化や最適化で守れるが、設定ファイルはモデルに平文で渡される以上、十分に巧妙な誘導で必ず引き出せる。事実、過去2年で主要LLMのプロンプト抽出手法は成熟し、今や「リーク可能性」は前提条件と化した。
ここから導かれる設計原則は明確だ。第一に、機密ロジックはシステムプロンプトに書かず、ツール呼び出しの先にあるサーバー側ロジック(RAGのリトリーバ、関数実行、後処理フィルタ)に逃がす。第二に、プロンプトはあくまで「振る舞いの宣言」に留め、ビジネスルールはコード側に置く。第三に、流出時の影響範囲をプロンプト単独で完結させ、認証情報や内部APIスキーマを混在させない。anthropicやOpenAIの流出プロンプトを読むと、彼ら自身がこの分離を徹底していることが分かる。模倣すべきはプロンプトの文面ではなく、この分離アーキテクチャの方だ。
経営者として次に取るべき動き
第一に、自社プロダクトのシステムプロンプトを「流出済み」と仮定した監査を即座に実施すること。プロンプト内に競合優位の核心ロジック、内部用語、契約上の禁則が直書きされていないかを点検し、サーバーサイドに退避する。
第二に、競合のシステムプロンプトを読む側に回ること。4万スターのリポジトリは、最先端LLMアプリの設計思想を学べる無料の教材でもある。自社プロンプトエンジニアに最低週1時間、anthropicとOpenAIの実プロンプトを読ませる時間を取れ。
第三に、差別化の軸を「指示文」から「独自データ × 業務工程」へ明確に移すこと。プロンプトが資産でなくなった今、模倣困難なのは社内データの量と質、そしてAIを組み込んだ業務フロー設計そのものだ。ここに投資配分をシフトする経営判断が、今期中に問われる。