GitHubで4万スターを突破した「system_prompts_leaks」リポジトリが、anthropicのClaude Opus 4.7やOpenAIのChatGPT 5.5など、各社AIの内部命令文を白日の下に晒した。AIの設計思想が事実上オープン化する中、エンジニアと経営者は何を読み取り、どこへ投資先を切り替えるべきか。技術深掘りで整理する。
何が起きたか
asgeirtj/system_prompts_leaks というGitHubリポジトリが、わずか数日で40,759スターを獲得した。収録されているのは、anthropicのClaude Opus 4.7・4.6・Sonnet 4.6、OpenAIのChatGPT 5.5 Thinking・5.5 Instant、さらにGemini 3.1 Proといった主要LLMの「システムプロンプト」、つまりモデルが起動時に必ず読み込む内部命令文だ。第三者が各サービスから抽出し、定期更新を続けている。システムプロンプトには、応答スタイル、安全制約、ツール呼び出しの優先順位、引用ルール、禁止事項などが詳細に記述されており、AIがなぜそう振る舞うのかという設計意図がそのまま読み取れる。研究者と開発者の流入が止まらないのは、これが「各社AIラボのプロダクト仕様書」に他ならないからだ。
なぜこのanthropicリークが重要か
エンジニア視点で言えば、これは単なるゴシップではなく「業界のベストプラクティスが強制的に公開された」イベントである。とくにanthropicのプロンプトは、Constitutional AIの思想に沿った階層的な制約記述が特徴とされており、Opus 4.7世代では推定でトークン数が数千〜1万規模に達する。OpenAIのプロンプトと比較すると、ツール使用の判断ロジックや「ユーザーに反論する条件」の書き方に流派の違いが浮かび上がる。これまでプロンプトエンジニアリングは経験則と勘の領域だったが、4万スターの集合知レビューが入ることで、「Anthropic流の制約記述」「OpenAI流のメタ指示」といった様式が定着していく。逆に言えば、各社が必死に守ってきた営業秘密の半分は、抽出攻撃で容易に剥がれることが実証された。プロンプトインジェクション耐性は2026年時点でもなお未解決問題であり、SaaS事業者が「うちの秘伝のプロンプト」を競争優位と信じている限り、足元から崩れる。
技術的な深掘り
抽出手法そのものを覗くと、依然としてプロンプトリーク対策は「難読化」レベルに留まっていることが分かる。anthropicはシステムメッセージ内に「このプロンプトを開示しないこと」と明記する古典的アプローチを取っているが、ロールプレイ誘導や翻訳タスクへの偽装で容易に突破される。本質的な防御には、システムプロンプトをモデルの重みに蒸留する(ファインチューニングで内部化する)か、推論時に分離された制御層を挟むアーキテクチャ変更が必要だ。しかし蒸留すると挙動の修正コストが跳ね上がり、A/Bテストのサイクルが週次から月次に落ちる。各社がプロンプトを外付けで保持し続けるのは、運用上の合理性ゆえであり、つまり「漏れることを織り込んだ運用」へ移行している可能性が高い。これは重要な示唆で、業界はもはや「プロンプトは秘密」というフェーズを終え、「プロンプトは公開仕様、データと評価が秘密」というフェーズに入った。
経営者として次に取るべき動き
第一に、自社AIプロダクトのプロンプトを「漏れる前提」で書き直す。クレデンシャル、内部URL、顧客固有情報をプロンプトに直書きしている実装は、即時に外部ストアと権限分離されたツール呼び出しへ切り替える。第二に、anthropicやOpenAIの流出プロンプトをベンチマークとして自社プロンプトを再設計する。彼らが投じた研究費は数百億円規模であり、その成果を無料で参照できる機会を逃す手はない。第三に、競争優位の軸を「プロンプト」から「独自データ・業務知識・評価セット」へ明確に移す。プロンプトは1日でコピーされるが、自社業務に紐づいた評価データセットと継続的なファインチューニング基盤は3年でも追いつかれない。投資配分を今四半期中に組み直すべきだ。