GitHubで46,038スターを集めるリポジトリ「system_prompts_leaks」が、anthropicのClaude Opus 4.8やOpenAIのChatGPT 5.5、Gemini、Grokといった主要LLMの内部システムプロンプトを軒並み公開している。隠し台本は逆解析の教材となり、同時に企業のAI運用設計に「漏れる前提」という新常識を突きつけている。
何が起きたか
asgeirtj氏が運営する「system_prompts_leaks」リポジトリが、46,038スターを突破した。掲載対象はanthropicのClaude Fable 5、Opus 4.8、Claude Code、Claude Design、OpenAIのChatGPT 5.5 Thinkingなど、現役商用LLMのほぼ全主要モデルに及ぶ。システムプロンプトとは、ユーザーの入力より上位レイヤで常時挿入されている「裏の指示書」のことで、モデルの口調、禁則事項、ツール呼び出しの作法、安全性ガードの言い回しまで詳細に書かれている。これが第三者によって抽出(extracted)され、定期的に最新版へ更新されている状態だ。プロンプトインジェクション、ジェイルブレイク、出力誘導のパターン解析、競合分析の素材として、研究者と開発者のあいだで事実上の「公式ドキュメント」化が進んでいる。
なぜanthropicと主要LLMの設計思想がここまで重要か
エンジニア視点で見るとき、このリークの本質は「秘密が漏れたこと」ではない。本質は、LLMプロダクトの差別化レイヤーがモデル重み(weights)からシステムプロンプト(context engineering)に移行している事実が、第三者によって可視化されたことだ。anthropicのOpus 4.8のシステムプロンプトを読むと、ツール呼び出しの判断基準、artifactsの生成条件、ユーザー意図の解釈ヒューリスティック、安全性ポリシーの優先順位が、極めて長大かつ精緻に書き込まれていることがわかる。同じTransformerアーキテクチャの上で、GPTとClaudeが「キャラクター」として明確に違って見える理由の相当部分は、ここに集約されている。つまり、モデル開発の天文学的な投資の上に、「言葉で振る舞いを定義する」というソフトウェア工学的な仕事が乗っており、その仕事こそがUXの体感を決めている。この階層構造が46,038スターという数字で社会に晒されたことが重い。
技術的な深掘り:プロンプトはもはやコードである
蛙井の視点で言えば、これは「仕様書とソースコードの境界が溶けた」事件だ。従来のソフトウェアでは、仕様書は内部文書でソースが製品だった。LLMアプリでは、自然言語で書かれたシステムプロンプトそのものが実行ファイルであり、仕様書であり、APIスキーマでもある。Opus 4.8のプロンプトに見られる「最終出力前に内部で要件チェックを行え」「ユーザーが明示しない限りartifactsを使うな」といった命令は、宣言的プログラミングそのものだ。ここから3つの示唆が出る。第一に、システムプロンプトはバージョン管理・差分レビュー・回帰テストの対象にすべきソフトウェア資産である。第二に、漏洩は機能仕様の漏洩と同義であり、競合に1週間でクローンを作られる脅威モデルを前提にすべきだ。第三に、推定だが、anthropicはモデル本体のアップデートよりプロンプト更新の方がリリース頻度が高い。つまり、製品の挙動はweightsより上のレイヤで毎週のように書き換えられている。エンジニアが学ぶべきは、もはやファインチューニングではなく、長大プロンプトの構造化設計とリーク耐性の設計である。
経営者として次に取るべき動き
第一に、自社の社内チャットボットやRAGアプリのシステムプロンプトを「漏洩前提」で棚卸しすること。顧客名、売上数値、取引先のリスト、内部単価をプロンプトに直書きしている実装は即時にツール呼び出し経由のDB参照に切り替える。プロンプトに残してよいのは、漏れても損しない振る舞い定義だけだ。第二に、流出リポジトリを敵視せず、AI活用担当の必読教材に指定すること。anthropicとOpenAIが数百人月かけて磨いたcontext engineeringのベストプラクティスが無料で読める機会は二度とない水準だ。第三に、自社プロンプトのGit管理、レビュー、A/Bテスト、レッドチーミングを内製プロセス化すること。プロンプトは仕様書ではなくソースコードである、という前提に経営の意思決定をアップデートしなければ、次の四半期でAI活用の競争に置いていかれる。