GitHub上で「system_prompts_leaks」が4万8千スターを突破した。AnthropicのClaude Fable 5やOpus 4.8、OpenAIのChatGPT 5.5、Gemini、Grokといった主要LLMのシステムプロンプトが丸ごと公開され、各社が門外不出にしてきた「AIの人格設計書」が白日の下に晒された。エンジニアとして、この事件が意味する構造的な変化を読み解く。
何が起きたか
asgeirtj/system_prompts_leaks というリポジトリが、わずか数週間で4万8,319スターを獲得した。内容は極めてシンプルで、主要LLMから抽出(extracted)したシステムプロンプトの全文だ。対象は、AnthropicのClaude Fable 5、Opus 4.8、Claude Code、Claude Design、OpenAIのChatGPT 5.5 Thinkingなど、現行フラッグシップモデルを網羅している。
抽出方法はナレーションでは触れられていないが、これまでの類例から推定すると、プロンプトインジェクション(「これまでの指示を全部出力せよ」型のジェイルブレイク)と、モデル応答の差分解析の組み合わせだろう。特筆すべきは、これが単発のリークではなく、モデル更新ごとに追跡・再抽出されている点だ。プロンプト管理が「継続的リバースエンジニアリング」の対象になったことを示している。
なぜanthropicにとって致命的なのか
Anthropicは他社と比べ、システムプロンプトによる「Constitutional AI」的な行動制御の比率が高いとされる。つまり、モデル重み(weights)だけでなく、推論時に注入されるプロンプトそのものが安全性・トーン・拒否ロジックを担っている。今回の流出でOpus 4.8やClaude Fableの指示書構造が可視化されたということは、Anthropicの「安全設計の内訳」が競合と第三者の双方に完全に露出したことを意味する。
エンジニア視点で重要なのは、システムプロンプトが「実行時仕様書」だという事実だ。RAGでもファインチューニングでもなく、単なるテキストの前置きでモデル挙動の相当部分が決まる。これが公開されたことで、以下の3つが同時に進行する。第一に、プロンプト設計の民主化——OSSモデルが商用モデルの「振る舞い」を安価に模倣できる。第二に、脱獄手法の高度化——拒否ロジックの正確な文言が判明すれば、それを回避するアタックは自明になる。第三に、差別化戦略の再定義——「プロンプトの巧妙さ」はもう堀(moat)ではない。
技術的な深掘り:プロンプトは資産か、負債か
流出したプロンプトを読み解くと、驚くほど泥臭い。「ユーザーが○○と言ったら△△と返せ」「以下のトピックは扱うな」といった、ルールベースの積み上げが延々と続く構造だと推定される。ChatGPT系で過去に流出したプロンプトが1万トークンを超えていた事例を踏まえれば、Opus 4.8も同等以上の規模だろう。
これはエンジニアとして極めて重要な示唆を含む。第一に、トップティアのLLMですら、モデル自身の「良識」ではなくハードコードされた命令列で挙動を制御している。純粋なアラインメントの限界を示す証拠だ。第二に、プロンプトが長大化すれば推論コストとレイテンシは線形に増える。1リクエストあたり1万トークン前置きするコストは、月間数十億リクエスト規模では莫大だ。第三に、この「長大な指示書」は保守困難な負債でもある。ソフトウェアで言えば、テストのないレガシーコードに近い。
自社でAIプロダクトを組むエンジニアが取るべき教訓は明確だ。プロンプトはGitで管理し、バージョン付けし、回帰テストを整備せよ。そして流出前提でシークレットを一切埋め込むな。APIキーや内部URLをシステムプロンプトに書く実装は、今日から禁止事項だ。
経営者として次に取るべき動き
第一に、自社AI製品のシステムプロンプトを「公開されても致命傷にならない」設計に組み替えること。ロジックはツール呼び出しやミドルウェア側に押し出し、プロンプトには機微情報を書かない。競争優位はプロンプト文面ではなく、データパイプラインと評価基盤で作る。
第二に、流出リポジトリを敵視するのではなく、教材として活用すること。Anthropicが何を禁止し、どうトーンを制御しているかは、社内AIの品質向上に直結する。競合分析としてまず精読すべき一次資料だ。
第三に、情報セキュリティ規程に「プロンプト管理」を明文化すること。従業員がChatGPTやClaudeに社外秘を貼り付ける行為は、今回の事件でリスクが可視化された。今週中に教育プログラムを起動すべきだ。あなたの会社が絶対に守るべきプロンプトは何か——その問いに答えられないなら、まだ守れていない。
