Claude CodeやChatGPT、Gemini、Grokの「中の人マニュアル」を収集したGitHubリポジトリ asgeirtj/system_prompts_leaks が44,323スターを突破した。AI各社が手の内として隠してきたシステムプロンプトが事実上の公開知となり、エンジニアの設計思想を根底から揺さぶっている。プロンプトを資産とみなす経営判断は、もはや成立しない。
何が起きたか
GitHub上の asgeirtj/system_prompts_leaks が44,323スターに到達した。リポジトリには Anthropic の Claude Fable 5、Opus 4.8、Claude Code、Claude Design、OpenAI の ChatGPT 5.5 Thinking 系統など、各社が本番環境のAIに事前注入しているシステムプロンプトが抽出された状態でまとめられている。いわゆる「ジェイルブレイク」や対話履歴からの推定再構築によって取り出されたとみられるテキスト群だ。スターの伸びは典型的な開発者バイラルの軌道を描いており、業務AIを社内構築している現場エンジニアが、自社プロンプトのリファレンスとして実装に即流し込んでいる。Anthropic公式が定めたツール呼び出しの言い回し、安全宣言、思考プロセスの誘導まで丸ごと露出している点で、過去のリーク事案とは粒度が違う。
なぜこのニュースが重要か
エンジニア視点で見たとき、このリークが突きつけたのは「プロンプトはコードではなく仕様書である」という事実だ。各社のシステムプロンプトは数千トークン規模で、ツール呼び出しスキーマ、出力フォーマット、安全性ガード、エージェントループの制御命令まで詰め込まれた、いわば動作仕様の塊である。これが公開知になったということは、Claude Codeのようなコーディングエージェントの「賢さ」の何割かが、モデル重みではなくプロンプト設計に由来していた事実が逆算で証明されたに等しい。検索ボリュームで見ても claude code は月間91,000、関連の anthropic が27,000と需要は厚いが、上位はほぼ公式ドキュメントが占めている。つまり一次情報の不在こそが、この非公式リポジトリへトラフィックとスターを集中させた構造的要因だ。プロンプト秘匿でDR91の公式ドキュメントが情報の希少性を維持してきた均衡が、44,323スターという形で崩れた瞬間といえる。
技術的な深掘り
Claude Codeのシステムプロンプトを読むと、エージェント設計の作法が見えてくる。注目すべきは、ツール使用前に必ず「短い計画」を立てさせる指示、ファイル編集時に diff 形式を強制する制約、そして「ユーザーの意図を超えた変更をしない」という保守的バイアスの埋め込みだ。これらは LLM の確率的暴走をプロンプト層で抑え込むためのガードレールであり、モデル重みのファインチューニングよりも更新コストが低い。逆に言えば、各社の差別化の少なくない部分がこの数千トークンの中に閉じていたわけだ。
ここから導かれる実装上の教訓は明快だ。第一に、プロンプトを暗号化や難読化で守る発想は無意味になった。出力サンプリングを十分繰り返せば、システムプロンプトは統計的に復元可能であることを44,323スターが証明した。第二に、本当の競争優位は「プロンプト+自社データ+ツール権限設計」の三位一体にしか宿らない。RAGのチャンク戦略、関数呼び出しの権限境界、ログからの自動評価ループ。露出しない領域に投資先を移すべきだ。
経営者として次に取るべき動き
第一に、社内AIの仕様レビューを今週中に実施し、システムプロンプトに機密ロジックや内部URL、API キー命名規則を埋め込んでいないか棚卸しすること。流出前提で書き直す。第二に、差別化の源泉を「プロンプト文言」から「自社データのベクトル化品質」「業務フロー連携」「評価指標の独自設計」へ明示的に移管する。Claude Codeレベルのプロンプトが公開知になった以上、文言勝負は無価値だ。第三に、セキュリティ設計の前提を「プロンプトは漏れる」に置き換える。権限分離、ツール呼び出しのallowlist、出力フィルタを多層で重ねる。プロンプト秘匿という単層防御は、今日付けで非推奨である。