Claude、ChatGPT、Geminiといった主要LLMのシステムプロンプトを丸ごと抜き出して公開するGitHubリポジトリ「system_prompts_leaks」が、46,329スターを突破した。Claude Code、Opus 4.8、Claude Fable 5など、Anthropicが本来は外に出さないはずの「内部指示書」が、誰でも閲覧可能な状態で晒されている。プロンプト工夫で差別化する時代の終焉と、設計図公開時代の到来を読み解く。
何が起きたか
GitHubリポジトリ「asgeirtj/system_prompts_leaks」が4万6千スターを超えた。中身は、Anthropic(Claude Fable 5、Opus 4.8、Claude Code、Claude Design)、OpenAI(ChatGPT 5.5 Thinking系)、Google Gemini、xAI Grokなど、主要AIプロダクトのシステムプロンプトを抽出してそのまま公開したテキスト群である。システムプロンプトとは、ユーザーが入力する前にモデルへ渡される「振る舞いの設定書」で、口調、禁則ルール、ツール呼び出しの優先順位、安全制御の文言までを規定する、いわばAIプロダクトの設計図そのものだ。リポジトリは定期更新され、各社のバージョンアップに追随する形で差分が積み上がっている。プロンプトエンジニアと開発者の間で「教科書」として急速に拡散している状態だ。
なぜこのニュースが重要か
エンジニア視点で見ると、このリポジトリの本質は「LLMプロダクトのコアIPは、実装ではなくプロンプトに宿る」という事実が可視化された点にある。Claude Codeを例にとれば、月間検索202,000という巨大な需要を抱えるコーディングエージェントの「ツール呼び出しの判断基準」「ファイル編集時の安全確認の挟み方」「タスク分解の手順」が、すべてシステムプロンプトに記述されている。つまり、AnthropicがClaude Codeで実現している「賢さ」の少なくない部分は、モデル本体ではなくプロンプトレイヤーの作り込みに依存している。これが流出するということは、競合が同じ振る舞いを最短経路で模倣できることを意味する。逆に言えば、「自社AIのプロンプトは漏れる前提」で設計しないと、競合優位は数ヶ月で蒸発する。プロンプトリーク攻撃("ignore previous instructions"系)は古典的だが、ユーザーとの会話ログ経由で抽出される事例が積み上がり、もはや「秘密にできるもの」ではなくなった。
技術的な深掘り
公開されているClaude Codeのプロンプトを読むと、設計思想が露骨に見える。典型的には、ツール(Bash、Read、Edit、Glob、Grepなど)の使用順序を明示し、「まず探索、次に最小編集、破壊的操作の前に確認」というガードレールをハードコードしている。さらに「ユーザーに不要な前置きを返さない」「マークダウンの装飾を控える」といった出力スタイルまで指定されており、Claude Codeのあの簡潔な応答は、モデルの素の性格ではなくプロンプトで矯正された結果だと判る。ここから読み取れる重要な示唆は2つある。第一に、自社でAIエージェントを作る際、Anthropicが何百回もイテレーションして辿り着いた「ツール選択ロジック」「安全確認の文面」をベースラインとして無料で入手できる。第二に、モデル本体の能力差が縮まる中、差別化はプロンプト設計ではなく「そのプロンプトに何を食わせるか」、つまり自社固有のコンテキスト(コードベース、業務データ、顧客履歴)の供給パイプラインに移った。RAG基盤、MCPサーバ、社内APIの整備こそが堀になる。
経営者として次に取るべき動き
第一に、自社AIプロダクトのシステムプロンプトを「公開資産」として扱う前提でアーキテクチャを見直す。プロンプトに業務ロジックを埋め込むのではなく、ロジックは外部のツール・APIに分離し、プロンプトは「ツールの使い方の説明書」に徹する設計に寄せる。流出してもダメージが最小化される構造だ。第二に、Claude CodeやChatGPTのプロンプトを社内エンジニアに精読させ、ツール定義の粒度、禁則の書き方、エラー時のリトライ指示の文面を自社エージェントに移植する。これだけで開発期間は数ヶ月単位で短縮できる。第三に、プロンプト差別化への投資を絞り、自社固有データをAIに渡すパイプライン(社内ナレッジのベクトル化、MCP対応、権限制御)に予算を振り替える。Anthropicと同じプロンプトを使っても、自社データを繋いだ瞬間に競合不可能な体験になる。これが流出時代の唯一の堀だ。